可适应网络安全技术.ppt

《可适应网络安全技术.ppt》由会员分享，可在线阅读，更多相关《可适应网络安全技术.ppt（108页珍藏版）》请在三一办公上搜索。

1、可适应网络安全技术,网络安全专题,主要内容,信息系统安全概述网络安全网络攻击手法分析可适应安全与安全检测,信息系统安全概述,信息系统安全的概念安全的威胁脆弱性常见的攻击手段如何实现信息系统安全机构、法规和标准,信息系统安全,信息系统安全的目标信息系统的数据与信息的安全与保密信息系统自身的安全信息系统安全的三个方面机密性信息完整性（一致性）行为完整性（服务连续性）,信息系统安全概念,信息系统安全,“安全”（security）的含义,“防范潜在的危机”全面内涵面向数据和信息的安全面向访问（人）的安全,信息系统安全,信息系统安全的威胁,迫在眉睫,信息系统安全,国内外安全事件实例（1）,1998年计算

2、机病毒感染事件比1997年增加1倍。宏病毒入侵占60%，其种类有1300多种，而1996年只有40种网上攻击事件大幅度增加，且成功率高对50个国家的抽样调查显示，73%的单位受到攻击。对美军非绝密计算机系统的攻击，成功率达88%网上攻击造成巨大损失网上敲诈达6亿美元网上赌博达百亿美元网上洗钱达千亿美元,信息系统安全,国内外安全事件实例（2）,CSI根据收集的超过1000个攻击实例分析发现 由于窃取研究成果造成的损失在$25 million-$50 million72%的受攻击者承受了损失，只有16%的人报告了他们的损失数量。总损失在$136 million攻击来源内部攻击 独立的黑客 竞争对手

3、 只有 17%的攻击行为被报告给警方，超过80%由于公司形象问题没有报告根据CSI和FBI的调查，计算机网络攻击事件的年增长率为22%,信息系统安全,国内外安全事件实例（3）,经常遭到攻击的站点美国航空航天总署(NASA)美国白宫美国国防部五角大楼北约各种政府网站、企业网站等,信息系统安全,国内外安全事件实例（4）,1998年10月26日和12月1日，天津科技网主页，先后两次受到同一群黑客的攻击。贵州169(Web主页更改)我国人权主页国务院新闻办(遭到黑客组织“地下兵团”攻击)工商银行扬州案件某银行站点手机病毒的传言,信息系统安全,国内外安全事件实例（5）,花旗银行($14 Million)

4、NASA(喷汽推进技术)Intel(Pentium 设计),信息系统安全的威胁,威胁来源内部人员准内部人员特殊身份人员外部个人和小组（所谓黑客）竞争对手和恐怖组织敌对国家和军事组织自然和不可抗力,信息系统安全,信息系统安全的威胁（续）,威胁种类好奇的黑客（Hacker）可耻的小偷（Phreaker）诈骗者（Nobbler）可恶的破坏者（Cracker）,信息系统安全,公开的黑客站点,www.1 www.r t.org/warez.htmlwww.m www.f t/phrack.html,容易得到的黑客工具,SATANIP WatcherCrackRed BoxANV(R)CRACKer 2.

5、0 ZIPZipCrack V1.0 ZipMicrosoft Word Unprotect V1.2,信息系统安全的脆弱性,系统自身导致的脆弱性原理性BUG有意（恶意）管理不当导致的脆弱性,信息系统安全,常见的攻击手段,环境攻击系统攻击一般性攻击渗透性攻击拒绝服务攻击（Denial-of-Service）,信息系统安全,如何实现信息系统安全,一般性步骤明确保护的对象判断可能出现的安全问题判断可能的威胁选择保护方式、方法、技术、产品等,信息系统安全,如何实现信息系统安全,权衡可用性与安全性易用性与安全性经济性与安全性只有相对的安全，没有绝对的安全,信息系统安全,如何实现信息系统安全,安全的层次

6、性安全的分布性安全的功能分散性和组合性安全的时效性/时代性安全的多样性/复杂性环境、实体、网络、系统、信息、人员等安全管理,信息系统安全,信息系统安全技术,信道防泄漏和加密网络和系统隔离（防火墙等）网络和系统安全扫描安全实时监控系统和入侵发现操作系统和数据库安全加固应用系统安全加固可生存技术加强安全管理,信息系统安全,信息安全研究机构,专业机构ICSA（国际计算机安全协会，原NCSA）CSI大学和研究机构 RSAPurdue 大学计算机系紧急响应组织机构CERT 组织FIRST 事件与响应安全小组公司和企业如ISS、CheckPoint等,信息系统安全,信息安全法规,“中华人民共和国计算机安全

7、保护条例”“中华人民共和国计算机信息网络国际联网管理暂行办法”“关于对与国际联网的计算机信息系统进行备案工作的通知”“计算机信息网络国际联网安全保护管理办法”等。我国目前的信息安全法律法规急待完善,信息系统安全,信息安全标准,美国情况：DOD85 TCSEC TCSEC网络解释（87）TCSEC DBMS解释（91）FC（联邦评测标准）欧洲情况(ITSEC、CC)Internet标准（IETF/RFC等）,信息系统安全,美国国防部公布的“可信计算机系统评估标准TCSEC”彩虹系列标准,为计算机安全产品的评测提供了测试准则和方法 指导信息安全产品的制造和应用,国际上最据权威的评估标准,信息系统安

8、全,可信赖计算机系统安全等级,信息系统安全,信息系统安全小结,网络安全,网络安全隐患分析网络安全的脆弱性水桶效应网络安全技术,网络安全,应用层数据库层操作系统层网络层,网络安全,网络安全隐患分析,典型网络结构,网络结构,Firewall,E-Mail Server,Web Server,Router,Servers,Clients&Workstations,Network,应用层,Applications,E-CommerceWeb Server,SAP,Peoplesoft,Firewall,E-Mail Server,Web Browsers,数据库层,Databases,Oracle,M

9、icrosoftSQL Server,Sybase,操作系统层,Operating Systems,Solaris,Windows NT,HP-UX,AIX,Windows 95&NT,Solaris,网络层,Networks,TCP/IP,Netware,网络安全的脆弱性,信道容易遭到中途黑客攻击 计算机局域网的传输体制容易使黑客截获数据包信息 网络用户认证方式简单 容易遭受强力攻击和拒绝服务攻击,网络安全,利用脆弱性的攻击事件,滥用FTP：1993年4月，7月，8月CERT报告TFTP：1991年10月CERT报告。一名17岁的黑客所为，窃取口令文件SNIFFER：1993年3月开始的一系

10、列CERT报告，美国、欧洲、南美许多站点遭受此类攻击等1990年12月和1991年8月，在意大利分别发生两次黑客攻击事件。只是两名非精通专业的学生，凭借一些关于黑客的书籍和一般的专业知识。,网络安全,“传统”网络安全技术,网络对外连接与防火墙网络管理网络安全集中控制与分布控制访问控制鉴别与授权备份与恢复日志和审计,网络安全,网络安全小结,网络攻击方法分析,安全事件的模式攻击的一般过程黑客攻击手法,攻击方法分析,安全事件的模式,攻击工具攻击命令,攻击机制,目标网络,目标系统,攻击者,攻击方法分析,攻击的一般过程,侦察（Gather Info.）接入（Access）获得管理权限（Root）消灭踪迹

11、（Cover Trace）拒绝服务攻击（Denial of Service）,攻击方法分析,攻击过程解析,UNIXFirewall,E-Mail Server,Web Server,Router,NT,Clients&Workstations,Network,UNIX,NT,UNIX,Crack,NetBus,Imap,攻击方法分析,强力攻击拒绝服务攻击未授权访问攻击预攻击探测探测器后门程序缓冲区溢出攻击,黑客攻击方法,攻击方法分析,指反复地应用无任何捷径可言的方法和过程来达到攻击的目的,这种攻击完全依赖于计算能力,即在产生结果之前尝试所有的可能性.,攻击方法分析,强力攻击,强力攻击,获取用户

12、信息缺省帐户名使用口令字典试图登录试图通过一些服务进行登录,如pop3,ftp,telnet,rsh,rexec,攻击方法分析,拒绝服务攻击(DoS)即为入侵者通过发送大量的包含超长的数据段或不正确的包头信息的数据包或超负荷的服务请求来严重限制或摧毁你的系统.,攻击方法分析,拒绝服务攻击,拒绝服务攻击,SYN 风暴 一个标准的 TCP 连接是通过向目标主机发送一个 SYN 包来建立的.如果目标主机在特定的端口上等待连接,那么它会发送一个 SYN/ACK 包来响应.最初的发送者会发送一个ACK包来回答 SYN/ACK,于是连接就建立了.当 SYN/ACK 包被发回源端,系统回分配一块内存来存放关

13、于所建立的连接的状态的信息.在收到最后的 ACK 或超时以前,这块内存回被一直保留并等待接收从源端发来的信息.通过对一个主机发送大量的SYN 包,使得目标主机耗尽了大部分内存来应付打开的连接.合法的连接无法建立.这种状况是由于发送大量的 SYN 包而没有相应的应答造成的.可以通过向目标主机发送 RST 包应答最初的 SYN 包来解决.这样可导致目标主机释放内存块并为新的合法的连接提供空间.,攻击方法分析,Land 拒绝服务攻击Land 攻击以已发布的同名应用程序命名,此攻击以欺骗性的源IP地址和端口号匹配目标IP地址和端口来发送 TCP SYN 包.这导致一些 TCP 行为的循环执行,从而 摧

14、毁主机.Ping 风暴Ping 风暴通过发包试图使网络超负荷,从而减缓或阻塞网络中的合法的数据传输.向目标主机连续地发送一系列的 ICMP Echo Requests,而目标主机回答 ICMP Echo Reply.这种持续的请求和应答使得网络速度缓慢,并导致合法传输的速度大大降低,甚至失去连接.,攻击方法分析,拒绝服务攻击,UDP 炸弹由不合法的数据组成的 UDP 包会导致一些旧版本的操作系统在接收包时被摧毁.如果目标主机被摧毁,一般很难找到原因.许多不存在这一问题的操作系统会自动丢弃无效的数据包,而对其曾经被恶意攻击却不留任何痕迹.Windows Out of Band 攻击这一攻击会导致

15、主机完全瘫痪(蓝屏),或使受害主机失去网络连接.Ascend Kill 攻击通过发送特定格式的错误的 TCP 包给含有一定版本的 Ascend 操作系统的 Ascend 路由器,使得路由器产生一个内部错误,而导致路由器重新启动.,攻击方法分析,拒绝服务攻击,拒绝服务攻击,Chargen and Echo 攻击服务可以被欺骗,从一个主机的一个服务端口发数据给另一个主机的另一个服务端口.这样会导致死循环,从而建立了一个拒绝服务攻击.这个攻击会不断地增长性地消耗网络带宽,导致这个网段性能的损失或全部瘫痪.,攻击方法分析,未授权访问,入侵者未经授权而试图读、写或修改文件，或未经授权执行他无权执行的命令

16、。还包括未经授权获取访问权限（如root,Administrator).,攻击方法分析,E-Mail DEBUGSendmail 中存在的DEBUG 命令允许远程 Sendmail 守护进程的调试.现在的 Sendmail 版本中已经不存在这个问题,但是老的版本允许入侵者通过远程使用这一命令获取该主机的root访问权限.FTP CWD root某些版本的 FTP 守护进程允许通过一系列的命令,最终为 CWD root 来实现对主机文件的访问.E-Mail Pipe Vulnerability Check通过将管道符号(|)插入 e-mail 的特定区域,Sendmail 会被强迫在远程主机上执

17、行命令.这导致了远程入侵者可以以root身份在受侵害主机上执行命令.,攻击方法分析,未授权访问,FTP Site Exec.FTP CWD root一些版本的 wu-ftpd 允许使用站点可执行命令在远程主机上执行命令.通过提供一定特征的路径名,远程用户可以在 FTP 服务器上执行任意的命令.HP/UX RemoteWatch一些安装了 RemoteWatch 的HP/UX 版本有这样的漏洞,它允许远程入侵者通过 RemoteWatch 服务在目标主机上执行任意命令.HP OpenView SNMP Backdoor一个隐藏的community 字符串被编码在 HP Openview 4.x

18、and 5.x management Agent中.这个 community string 具有对 Agent配置的读写访问权.,攻击方法分析,未授权访问,IP Fragmentation用来越过路由器或防火墙的过滤规则和访问控制模块的攻击.HTTP SGI WebDistwebdist cgi-bin 程序存在一个漏洞,它允许远程入侵者在远程主机上执行任意命令.这个 webdist 程序是 Outbox Environment Subsystem for IRIX的一部分,被缺省安装在所有的 运行 IRIX 6.2 或更高版本的SGI系统上.老版本的 IRIX 中为可选的安装.,攻击方法分析

19、,未授权访问,Ident Buffer Overflow连接 ident 服务来记录用户信息需要一个正确格式的应答.如果应答信息比所需要的长,应答的读缓冲就会溢出,使得远程用户能够在该主机上执行命令.HTTP IIS 3.0 Asp DotMicrosoft 的 IIS 3.0 服务器有一个安全漏洞,它允许通过在活动的URL后面插入一个.来执行代码.NFS UID Check入侵者会递交一个非零的32位用户ID,这在实际中会被操作系统认为是16位的全零的用户ID.,攻击方法分析,未授权访问,入侵者试图获取网络信息(如 用户名,口令文件，服务版本号),这些信息在随后的未授权访问攻击中将被使用.,

20、攻击方法分析,预攻击探测,E-Mail EXPN-mail serverEXPN 命令被用来扩张远程系统上的用户的地址.有时也合法的用于发现某个邮件容器的完整地址.有时也通过发现是否存在一般的帐户来获取系统中的用户的信息.E-Mail VRFYVRFY 命令用于核实是否一个用户在远程系统中存在.它有时被合法地用于发现目标主机上的消息容器是否能够接收消息.有时也通过发现主机上是否存在一般的帐户来获取系统的用户信息.,攻击方法分析,预攻击探测,IP Half Scan一个标准的TCP连接首先向目标主机发送一个SYN请求包，如果目标主机对指定端口处于等待连接状态，则响应 SYN应答包。初始连接者以应

21、答数据包响应，这样一个连接建立成功。如果目标主机对指定端口未处于等待连接状态，将以RST包作为响应。多数系统日志对这种不完全连接不做记录，只有当收到最后的应答包以后才会记录下来。发送 RST包而非最后的ACK应答包将导致连接不成功，因此不会记录任何日志。源主机可以判断目标主机发送了 SYN/ACK 或是RST，攻击者可决定哪个端口开放、哪个端口关闭，完全在目标主机未察觉的情况下进行。,攻击方法分析,预攻击探测,Portscan该检查识别发生在你的网络中的端口扫描。Portscan即端口扫描，攻击者根据探测每个端口的响应识别哪个端口正在运行。SATANSATAN 是一个免费工具用来扫描目标系统的

22、服务和少量的已知漏洞。HTTP test-cgi该程序存在于Apache和 NCSA Web servers的某些版本中，使远程攻击者可以获得cgi-bin目录内容的 有关信息，作为进一步攻击的基础。,攻击方法分析,预攻击探测,网卡被设置成乱序状态.获取全部的网络数据包.,攻击方法分析,探测器,有时也叫 trapdoor.是一个对程序或在线服务获取访问权限的秘密的方法.后门程序被最初的编程人员放入软件中作为获取特殊功能的权限的一种方法.例如,操作系统的后门程序会允许对运行该软件的任何主机的无限的访问权限.,攻击方法分析,后门程序,NetBusNetBus 是一个 Windows 95 和 Wi

23、ndows NT 的后门程序,根据 NetBus web 主页,它会让入侵者对你的主机执行如下动作:打开/关闭 CD-ROM.显示一个 BMP/JPG 图象.交换鼠标按钮.启动一个应用.播放一个音频文件.控制鼠标.显示不同种类的消息.关闭 Windows.下载一个文件.去Internet上的一个 URL.,攻击方法分析,后门程序,Back Orifice一个叫 Cult of the Dead Cow 的黑客组织发布了一个 Windows 95/98 的后门程序名叫 Back Orifice(BO).一旦安装了这个后门,就允许非授权的用户在受害主机上执行特权操作.允许任何知道监听端口号和 BO

24、 口令的人远程控制该主机.入侵者用基于文本或图形的客户端访问 BO 服务器.服务器允许入侵者执行命令,列出文件,启动服务,共享目录,上载和下载文件,操纵注册表,杀死进程,列出进程,等等.,攻击方法分析,后门程序,缓冲区溢出包括传递长度大于函数所允许的参数.函数将会失效,原因是参数的长度大于或等于所期望的长度.函数于是将长度很大的参数完全拷贝到一个很小的缓冲区,结果是函数的内存的某些部分被重写,这样会改变参数/调用堆栈.一个有目的的缓冲区溢出攻击会将特定的数值放入调用堆栈,从而导致在溢出函数的安全上下文中特定的操作会被执行.如果这个函数运行在不同的调用环境中,甚至它被远程调用并以本地root身份

25、运行,这个攻击会避开认证.,攻击方法分析,缓冲区溢出,网络攻击方法小结,新的网络安全方向,可适应网络安全网络漏洞检测网络入侵发现安全事件紧急响应,可适应网络安全,信息系统安全方案,防火墙加密集中认证B级系统安全检测,可适应网络安全,系统安全建设不单纯是保护,攻击不可避免：CSI在1995年9月，考察了Furtune 500家公司中的320家的计算机网,结果是20%的网站经历过安全事件，而这其中又有30%的Internet安全事故发生在防火墙安装之后。大至是配置不当，未检查后门连接等问题造成的。,可适应网络安全,系统安全建设要考虑成本效益,英国 1）英国国防部建立了世界上最大的计算机网络有五万个

26、终端，称之为CHOTS。2）该网络按TCSEC B2级的要求建设的。3）CHOTS花费了10亿美金，4）10年过去了，应用系统已无用，是世界上最贵的E-mail系统美国 用25年时间花费几十亿美金，建立的美军计算机安全系统，有的安全有的不安全，企图建立一个绝对安全的，不可侵入的安全系统，该系统中的大部分系统已过时，不能使用。,可适应网络安全,1）TCSEC是针对孤立计算机系统，特别是小型机和主机系统。假设有一定的物理保障，该标准适合政府和军队，不适和企业。这个模型是静态的。2）NCSC的TNI是把TCSEC的思想用到网络上，缺少成功实践的支持。3）Moores Law:计算机的发展周期18个月

27、，现在还有可能减少到一年。不允许长时间进行计算机安全建设，计算机安全建设要跟随计算机发展的规律。,经典计算机安全模型,可适应网络安全,静态安全技术的不足,加密/认证防止数据传输过程中被偷听只能在“传输中”保护数据,可适应网络安全,静态安全技术的不足,防火墙/路由器限制来自外部的访问配置和管理方面的问题无法限制modems和远程访问60-80%的攻击来自内部本身的安全隐患,可适应网络安全,安全需要引入时间概念风险是动态变化的，安全模型应当是自适应的。计算机安全应当建立成本效益观念，称之为效益安全要承认系统的安全漏洞，正视计算机的威胁。,需要建立新的安全模型,可适应网络安全,可适应网络安全,以安全

28、策略为核心,可适应网络安全,企业安全策略,可适应网络安全,可适应安全管理体系,企业安全策略,数据库应用程序操作系统网络,可适应网络安全,可适应安全管理体系,企业安全策略,策略违反风险评估,可适应网络安全,可适应安全管理体系,企业安全策略,报告报警自动修正实时响应决策分析,可适应网络安全,可适应安全管理体系,什么是安全？,新的定义,可适应网络安全,安全及时的检测和处理,时间,可适应网络安全,安全及时的检测和恢复,时间,可适应网络安全,可适应网络安全的核心,可适应网络安全的核心问题检测和响应网络漏洞扫描系统漏洞扫描、数据库漏洞扫描实时监控（入侵发现）,可适应网络安全,网络漏洞扫描,可适应网络安全,

29、网络安全评估,企业安全策略,可适应网络安全,网络安全评估报告,不增加网络负载直观、易懂的评估报告全面的漏洞检测广泛的平台覆盖率,可适应网络安全,网络风险评估,网络漏洞扫描检查的内容(1),Browser：Browser Policy test your Internet Explorer and Netscape Navigator web browsers.Brute Force：Brute Force contains the default user checks.In order to run the Brute Force checks,at least one default us

30、ers list must be selected.CGI-Bin：CGI-Bin tests for the presense of vulnerable CGI scripts.Critical NT Issues：Critical NT Issues tests and monitors security-related activities on a Windows NT computer.DNS：DNS tests Distributed Naming Service implementations for vulnerabilities.Daemons：Daemons determ

31、ines the presence of various processes and vulnerabilities assocatiated with them.Denial of Service：Denial of Service tests for weaknesses and runs attacks that could disable your systems.E-mail：E-mail tests the Simple Mail Transfer Protocol(SMTP)and its implementations.FTP：FTP tests weaknesses in t

32、he File Transfer Protocol and its implementations.Firewalls：Firewalls tests firewalls for default user security weaknesses.,IP Spoofing：IP Spoofing tests for TCP sequence number predictability.LDAPNFS/X Windows：NFS/X-Windows tests the NFS file system and X-Windows interface.NIS：NIS tests Network Inf

33、ormation System implementations for vulnerabilities.NT Groups/Networking：NT Groups/Networking determines user group membership and network security weaknesses specific to Windows NT.NT Password：NT Password tests Windows NT accounts,including User,Password policy,and Lockout policy checks.NT Registry

34、：NT Registry tests the security of a hosts抯 registry,including keys that protect the Simple Network Management Protocol(SNMP).NT Services：NT Services detect running Windows NT services and security weaknesses associated with services.,网络漏洞扫描检查的内容(2),NT Users：NT Users determine if additional user-lev

35、el security has been implemented.NetBIOS Misc.：NetBIOS Misc.performs patch and operating system versions tests,determines log access,and displays information available through the NetBIOS protocol.Network：Network tests for TCP,IP,and data transport vulnerabilities.Oracle Passwords：Oracle Passwords a

36、ttempts to guess passwords required to log in to an Oracle database.Pre-attack probeProxy：Proxy/DNS performs proxy server and DNS testing.RPC：RPC tests Remote Procedure Call(RPC)services and vulnerabilities.Router/Switch：Router/Switch tests packet routers and networking hardware for vulnerabilities.

37、,网络漏洞扫描检查的内容(3),SNMP：SNMP tests Simple Network Management Protocol implementations for vulnerabilities.Security Zones：Security Zones test URL security levels depending on how you classify a host or web site.Shares/DCOM：Shares/DCOM tests NetBIOS shares,DCOM Registry keys,and DCOM permissions.Unauthor

38、ized access attemptWeb Scan：Web Scan tests HTTP web server vulnerabilities.Other,网络漏洞扫描检查的内容(4),系统漏洞扫描,可适应网络安全,系统漏洞扫描检查的内容(1),Browser：Browser Policy test your Internet Explorer and Netscape Navigator web browsers.Critical NT Issues：Critical NT Issues tests and monitors security-related activities on

39、 a Windows NT computer.DNS：DNS tests Distributed Naming Service implementations for vulnerabilities.Daemons：Daemons determines the presence of various processes and vulnerabilities assocatiated with them.Denial of Service：Denial of Service tests for weaknesses and runs attacks that could disable you

40、r systems.E-mail：E-mail tests the Simple Mail Transfer Protocol(SMTP)and its implementations.FTP：FTP tests weaknesses in the File Transfer Protocol and its implementations.NT Groups/Networking：NT Groups/Networking determines user group membership and network security weaknesses specific to Windows N

41、T.NT Password：NT Password tests Windows NT accounts,including User,Password policy,and Lockout policy checks.,NT Registry：NT Registry tests the security of a hosts抯 registry,including keys that protect the Simple Network Management Protocol(SNMP).NT Services：NT Services detect running Windows NT ser

42、vices and security weaknesses associated with services.NT Users：NT Users determine if additional user-level security has been implemented.NetBIOS Misc.：NetBIOS Misc.performs patch and operating system versions tests,determines log access,and displays information available through the NetBIOS protoco

43、l.Oracle Passwords：Oracle Passwords attempts to guess passwords required to log in to an Oracle database.SNMP：SNMP tests Simple Network Management Protocol implementations for vulnerabilities.Security Zones：Security Zones test URL security levels depending on how you classify a host or web site.,系统漏

44、洞扫描检查的内容(2),Shares/DCOM：Shares/DCOM tests NetBIOS shares,DCOM Registry keys,and DCOM permissions.Web Scan：Web Scan tests HTTP web server vulnerabilities.,系统漏洞扫描检查的内容(3),数据库漏洞扫描,可适应网络安全,网络入侵发现,可适应网络安全,来自外部的攻击,ALERT!ATTACK DETECTED,RECORD SESSION,TERMINATE SESSION,ALERT!ATTACK DETECTED,EMAIL/LOG/REPOR

45、T,EMAIL/LOG/REPORT,RECORD SESSIONSEND EMAILLOG SESSION,入侵监控,集中管理远程监控自动响应与其它网管系统、静态安全技术协同工作犯罪取证在危险发生时保护网络,可适应网络安全,入侵监控,入侵发现检查的内容（1）,拒绝服务攻击An attempt to cause a victim device to stop providing some or all of its services,usually by over-loadinga critical system resource.Examples of denial of service a

46、ttacks include SYN Flood,PingFlood,and Windows Out of Band(WinNuke)attacks.非法访问企图An attackers attempt to read,writer,or execute protected files.This also includes attempts togain protected access privileges.Examples of such attempts include FTP root and e-mail WIZ.,入侵发现检查的内容（2）,侦察、预攻击An attempt by a

47、n attacker to gain information from or about a network(e.g.,user names,pass-words)that will be used in a subsequent unauthorized access attempt.Examples of pre-attack probes include SATAN scans,port scans,and IP half scans.可疑事件Network traffic patterns that lie outside the usual definitions of standa

48、rd traffic and which might indicate undesired activity on the network.Examples of suspicious activity include Dupli-cate IP Address and IP Unknown Protocol events.,入侵发现检查的内容（3）,协议分析Network activity that can be used in one of the undesired methods above and which has been decoded and displayed for th

49、e benefit of the network or security administrator.Decoded proto-col information may or may not indicate undesirable activity.Examples of protocol decodes include FTP User and Portmapper Proxy decodes.针对主机的攻击These attacks are launched against an individual host,not a network.These are monitored by t

50、he RealSecure System Agent.,网络入侵发现的模式,统计异常发现方法模式匹配发现方法基于主机的发现方法基于网络的发现方法,可适应网络安全,检测体系的建立,网络漏洞扫描Internet Scanner,系统漏洞扫描System Scanner,基于主机的入侵发现RealSecure System Agent,基于网络的入侵发现RealSecure Network Engine,数据库漏洞扫描DBS Scanner,控制管理中心Console集成网管系统,可适应网络安全,异常处理的通常规则,不要惊慌记录入侵发现确定处理程序理解和判定入侵的性质、危险性确定是否制止入侵拷贝和备