安全防护与入侵检测S.ppt
《安全防护与入侵检测S.ppt》由会员分享,可在线阅读,更多相关《安全防护与入侵检测S.ppt(52页珍藏版)》请在三一办公上搜索。
1、安全防护与入侵检测,5.1 Sniffer Pro网络管理与监视5.1.1 Sniffer Pro的功能,Sniffer Pro支持各种平台(Windows XP/2000/NT/ME/9X/2003),性能优越,是可视化的网络分析软件,主要功能有以下几点。实时监测网络活动。数据包捕捉与发送。网络测试与性能分析。利用专家分析系统进行故障诊断。网络硬件设备测试与管理。,5.1.2 Sniffer Pro的登录与界面,1Sniffer Pro的登录(单块网卡时),5.1.2 Sniffer Pro的登录与界面,1Sniffer Pro的登录(多块网卡时),5.1.2 Sniffer Pro的登录与
2、界面,2Sniffer Pro的界面,菜单栏,捕获栏,工具栏,状态栏,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,仪表盘:提供实时信息,判断网络是否异常。仪表显示网络利用率、数据包流量、错误统计率表格显示网络利用率、数据分布规模、错误详细统计,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,主机列表:收集发出流量的节点,显示节点的流量统计信息支持4种视图:大纲、详细资料、直方图、饼图,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,矩阵:收集网络主机间的会话内容并进行流量统计,根据MAC、IP地
3、址查看矩阵内容。支持5种查看方式:地图、大纲、详细资料、直方图、饼图。,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,应用程序响应时间:主要用于对服务器的监控,了解网络应用的响应状况,及时发现服务存在的问题。,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,历史抽样:用于确定基准,即网络的正常运行情况。,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,协议分布:收集网络上所有可见的协议,查看协议分布情况。,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,全局统计:显
4、示捕获过程的整体统计信息。,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,警告日志:显示警告信息。,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,捕获面板:显示捕获过程中所捕获数据包的数量和当前缓存的使用情况。,5.1.2 Sniffer Pro的登录与界面,2Sniffer Pro的界面,地址本:保存节点的地址信息,便于管理和分析网络状况。,5.1.3 Sniffer Pro报文的捕获与解析,Sniffer Pro是一款比较完备的网络管理工具,可以用来捕获流量。对于蠕虫病毒、广播风暴或者网络攻击,识别它们最好的方法是,分析问
5、题并将之分类,这样就可以全面了解网络的现状,并针对不同的问题采取不同的解决方法。首先了解一下捕获栏的使用,如表5.1所示。捕获栏,表5.1捕获栏功能介绍,表5.1捕获栏功能介绍,定义过滤器,捕获ARP帧的结果,5.1.4 Sniffer Pro的高级应用,表5.2 Sniffer Pro高级系统层次与OSI对应关系,入侵检测系统,5.2 入侵检测系统,5.2.1 入侵检测的概念与原理,入侵检测是指“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。,入侵检测技术是用来发现内部攻击、外部攻击和误操作的一种方法。是一种动态的网络安全技术,传统的操作系
6、统加固技术等都是静态安全防御技术。,入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。,5.2 入侵检测系统,5.2.1 入侵检测的概念与原理,图5.26 通用入侵检测模型,入侵检测利用不同的引擎实时或定期地对网络数据源进行分析,并对其中的威胁部分提取出来,触发响应机制。,将入侵检测的软件与硬件的组合称为入侵检测系统(IDS),5.2.2 入侵检测系统的构成与功能,入侵检测系统一般由4个部分的组成:事件发生器、事件分析器、响应单元、事件数据库。,图5.27 入侵检测系统的组成,提供事件记录流的信息源,收集信息源
7、的数据,对基于分析引擎的数据结果产生反应,存放各种中间和最终数据的地方的统称,5.2.2 入侵检测系统的构成与功能,入侵检测系统的功能:(1)检测和分析用户与系统的活动(2)审计系统配置和漏洞(3)评估系统关键资源和数据文件的完整性(4)识别已知攻击(5)统计分析异常行为(6)操作系统的审计、跟踪、管理、并识别违反安全策略的用户活动,5.2.3 入侵检测系统的分类,1按照检测类型划分,(2)特征检测模型(Signature-based detection),(1)异常检测模型(Anomaly detection),2按照检测对象划分,(1)基于主机的入侵检测产品(HIDS)安装在被检测的主机上
8、,对该主机的网络进行实时连接以及系统审计日志进行智能分析和判断。(2)基于网络的入侵检测产品(NIDS)放置在比较重要的网段内,不停地监视网段中的各种数据包。,5.2.3 入侵检测系统的分类,5.2.4 入侵检测系统的部署,一般入侵检测产品都由传感器和控制台两个部分组成。传感器负责采集、分析数据并生成安全事件。控制台主要起到中央管理的作用。基于网络的入侵检测系统需要有传感器才能工作。入侵检测系统的位置主要是传感器的部署位置。如果传感器放的位置不正确,入侵检测系统也无法工作在最佳状态,一般可以采取以下4个选择:放在边界防火墙之内,传感器可以发现所有来自Internet 的攻击,然而如果攻击类型是
9、TCP攻击,而防火墙或过滤路由器能封锁这种攻击,那么入侵检测系统可能就检测不到这种攻击的发生。放在边界防火墙之外,可以检测所有对保护网络的攻击事件,包括数目和类型。但是这样部署会使传感器彻底地暴露在黑客之下。,5.2.4 入侵检测系统的部署,放在主要的网络中枢中,传感器可以监控大量的网络数据,可提高检测黑客攻击的可能性,可通过授权用户的权利周界来发现未授权用户的行为。放在一些安全级别需求高的子网中,对非常重要的系统和资源的入侵检测,比如一个公司的财务部门,这个网段安全级别需求非常高,因此可以对财务部门单独放置一个检测器系统。,5.2.5 入侵检测系统的选型,表5.5入侵检测系统选择标准,5.2
10、.5 入侵检测系统的选型,Axent Technologies公司网址:http:/Cisco Systems公司网址:http:/Internet Security Systems公司网址:http:/Intrusion Detection公司网址:http:/Network Associates公司网址:http:/http:/Computer Associates公司网址:http:/Trusted Information Systems公司网址:http:/Network Security Wizards公司网址:http:/Network Ice公司网址:http:/NFR公司网址:
11、http:/CyberSafe公司网址:http:/中科网威公司网址:http:/启明星辰公司网址:http:/,IDS软件厂商的网址,入侵检测系统软件介绍,BlackICE Server Protection 软件 萨客嘶入侵检测系统,入侵检测系统BlackICE,BlackICE Server Protection 软件(以下简称BlackICE)是由ISS安全公司出品的一款著名的入侵检测系统。该软件在九九年曾获得了PC Magazine的技术卓越大奖。专家对它的评语是:“对于没有防火墙的家庭用户来说,BlackICE是一道不可缺少的防线;而对于企业网络,它又增加了一层保护措施它并不是要取
12、代防火墙,而是阻止企图穿过防火墙的入侵者。BlackICE集成有非常强大的检测和分析引擎,可以识别多种入侵技巧,给予用户全面的网络检测以及系统的呵护。而且该软件还具有灵敏度及准确率高,稳定性出色,系统资源占用率极少的特点。软件版本:3.6、软件大小:6.11 M、软件语言:英文、软件类别:国外软件/注册版/网络安全、运行环境:Win9x/NT/2000/XP/2003/、下载地址:http:/,入侵检测系统BlackICE,BlackICE安装后以后台服务的方式运行,前端有一个控制台可以进行各种报警和修改程序的配置,界面很简洁。BlackICE软件最具特色的地方是内置了应用层的入侵检测功能,并
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 安全 防护 入侵 检测
链接地址:https://www.31ppt.com/p-6156996.html