收藏
下载资源下载资源 加入VIP,免费下载

信息安全专题培训IDS和CERTPPT文件格式下载.ppt

上传人:b****1 文档编号:14340549 上传时间:2022-10-22 格式:PPT 页数:111 大小:3.05MB
下载 相关 举报
信息安全专题培训IDS和CERTPPT文件格式下载.ppt_第1页
第1页 / 共111页
信息安全专题培训IDS和CERTPPT文件格式下载.ppt_第2页
第2页 / 共111页
信息安全专题培训IDS和CERTPPT文件格式下载.ppt_第3页
第3页 / 共111页
信息安全专题培训IDS和CERTPPT文件格式下载.ppt_第4页
第4页 / 共111页
信息安全专题培训IDS和CERTPPT文件格式下载.ppt_第5页
第5页 / 共111页
点击查看更多>>
下载资源
资源描述

信息安全专题培训IDS和CERTPPT文件格式下载.ppt

《信息安全专题培训IDS和CERTPPT文件格式下载.ppt》由会员分享,可在线阅读,更多相关《信息安全专题培训IDS和CERTPPT文件格式下载.ppt(111页珍藏版)》请在冰豆网上搜索。

信息安全专题培训IDS和CERTPPT文件格式下载.ppt

NSFocusInformationTechnologyCo.Ltd.IDS和CERT,徐毅XTrainingdept.,CustomerSupportCenterAugust2005,StrictlyPrivate&@#@Confidential,IDS概述,为什么需要IDS,技术进步迅速,发展很快漏洞“无穷”,你我智力和精力有限未知/暂时未知的漏洞存在的隐患很多人的“梦想”是.,浪漫主义的黑客,写实主义的黑客,IDS定义,IDS(IntrusionDetectionSystem)就是入侵检测系统,它通过抓取网络上的所有报文,分析处理后,报告异常和重要的数据模式和行为模式,使网络安全管理员清楚地了解网络上发生的事件,并能够采取行动阻止可能的破坏,形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它也是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。

@#@它还不仅仅只是摄象机,还包括保安员的摄象机,能够对入侵行为自动地进行反击:

@#@阻断连接、关闭道路(与防火墙联动),IDS图示,IDS功能,Firewall,Servers,DMZ,Intranet,监控中心,router,攻击者,发现攻击,发现攻击,发现攻击,报警,报警,利用入侵检测保护网络应用

(一),DMZE-MailFileTransferHTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,利用入侵检测保护网络应用

(二),DMZE-MailFileTransferHTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,内部攻击行为,警告!

@#@启动事件日志,发送消息,利用入侵检测保护网络应用(三),DMZE-MailFileTransferHTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,防火墙与IDS联动,时间,Dt-检测时间,Pt-防护时间,Rt-响应时间,Pt-防护时间,+,Internet,NetworkIDS,NetworkIDS,黑客入侵的过程和阶段回顾,Internet,Desktops,WebServers,Telecommuters,Customers,Servers,Network,BranchOffice,Partners,Network-basedIDS,Network-basedIDS,Network-basedIDS,Network-based入侵检测,IDS原理,Internet,NIDS,网络服务器1,数据包=包头信息+有效数据部分,客户端,网络服务器2,检测内容:

@#@包头信息+有效数据部分,基于网络入侵检测系统工作原理,IDS原理和配置,IDS的数据源IDS模型IDS技术细节入侵检测技术发展方向IDS存在的问题IDS躲避技术,IDS的数据源,入侵检测的第一步入侵检测利用的数据一般来自以下几个信息源主机系统信息网络信息其他安全产品,IDS模型,入侵模式,数据库,模式匹配机,异常检测器,系统剖析引擎,数据源,响应和恢复机制,CIDF模型,CommonIntrusionDetectionFramework组件事件产生器(Eventgenerators)事件分析器(Eventanalyzers)响应单元(Responseunits)事件数据库(Eventdatabases)已经过时,组件间通信协议,IntrusionDetectionWorkingGroupIDWG协议IntrusionDetectionMessageExchangeFormatIDXP(IntrusionDetectionExchangeProtocol)IAP(IntrusionAlertProtocol),NIDS抓包,PF_PACKET从链路层抓包libpcap提供API函数winpcapWindows下的抓包库,分析数据包,Ethernet,IP,TCP,模式匹配,Ethernet,IP,TCP,协议分析,HTTP,Unicode,XML,模式匹配,00050dac6f2d600b0d04dcbaa08004500.P.M.E.10015731054000800600000a0a0231d850.W1.1.P20111106a30050df62322e413a9cf15018.P.b2.A:

@#@.P.3016d0f6e50000474554202f70726f6475.GET/produ406374732f776972656c6573732f696d61cts/wireless/ima506765732f686f6d655f636f6c6c616765ges/home_collage60322e6a706720485454502f312e310d0a2.jpgHTTP/1.1.704163636570743a202a2f2a0d0a526566Accept:

@#@*/*.Ref80657265723a20687474703a2f2f777777erer:

@#@http:

@#@/www902e616d657269746563682e636f6d2f70a0726f64756374732f776972656c657373roducts/wirelessb02f73746f72652f0d0a4163636570742d/store/.Accept-c04c616e67756167653a20656e2d75730dLanguage:

@#@en-us.d00a4163636570742d456e636f64696e67.Accept-Encodinge03a20677a69702c206465666c6174650d:

@#@gzip,deflate.f00a557365722d4167656e743a204d6f7a.User-Agent:

@#@Moz100696c6c612f342e302028636f6d706174illa/4.0(compat11069626c653b204d53494520352e30313bible;@#@MSIE5.01;@#@1202057696e646f7773204e5420352e3029WindowsNT5.0)1300d0a486f73743a207777772e616d6572.Host:

@#@www.amer14069746563682e636f6d0d0a436f6e6e65.Conne1506374696f6e3a204b6565702d416c6976ction:

@#@Keep-Aliv160650d0a0d0ae.,协议分析,00050dac6f2d600b0d04dcbaa08004500.P.M.E.10015731054000800600000a0a0231d850.W1.1.P20111106a30050df62322e413a9cf15018.P.b2.A:

@#@.P.3016d0f6e50000474554202f70726f6475.GET/produ406374732f776972656c6573732f696d61cts/wireless/ima506765732f686f6d655f636f6c6c616765ges/home_collage60322e6a706720485454502f312e310d0a2.jpgHTTP/1.1.704163636570743a202a2f2a0d0a526566Accept:

@#@*/*.Ref80657265723a20687474703a2f2f777777erer:

@#@http:

@#@/www902e616d657269746563682e636f6d2f70a0726f64756374732f776972656c657373roducts/wirelessb02f73746f72652f0d0a4163636570742d/store/.Accept-c04c616e67756167653a20656e2d75730dLanguage:

@#@en-us.d00a4163636570742d456e636f64696e67.Accept-Encodinge03a20677a69702c206465666c6174650d:

@#@gzip,deflate.f00a557365722d4167656e743a204d6f7a.User-Agent:

@#@Moz100696c6c612f342e302028636f6d706174illa/4.0(compat11069626c653b204d53494520352e30313bible;@#@MSIE5.01;@#@1202057696e646f7773204e5420352e3029WindowsNT5.0)1300d0a486f73743a207777772e616d6572.Host:

@#@www.amer14069746563682e636f6d0d0a436f6e6e65.Conne1506374696f6e3a204b6565702d416c6976ction:

@#@Keep-Aliv160650d0a0d0ae.,模式匹配,PatternMatchingPayloadSearchngrep效率低误报多,协议分析,FrameHeader,IPDatagramHeader,ICMP/UDP/TCPHeader,FrameDataArea,IPData,ProtocolData,InterfaceLayer,InternetLayer,TransportLayer,协议解码,ProtocolAnalysisEther、IP、ARPTCP、UDP、ICMPHTTP、Telnet、DNS、FTP、IRC、NetBIOS、SMB、SMTP、SNMP、TFTP、RPC、POP3、Finger、rlogin、MIME、IMAP4、VNC、RealAudio、NetGames、MSSQL有效降低误报率,协议分析的优势,效率高检测0-day漏洞脚本例如大量的90字符可能是ShellCode中的NOOP操作依据RFC,执行协议异常分析,IDS技术细节,IDS特征库的创建特征(signature)的基本概念来自保留IP地址的连接企图带有非法TCP标志联合物的数据包含有特殊病毒信息的Email查询负载中的DNS缓冲区溢出企图通过对服务器发出上千次同一命令而导致DoS攻击未登录使用命令对FTP服务器的文件访问攻击,特征代表:

@#@报头值,比较简单可以很清楚地识别出异常报头信息是特征数据的首席候选人严格基于RFC的IDS特征数据有可能漏报误报,确定特征候选,例:

@#@针对Synscan扫描的包头有以下特征不同的来源IP地址信息TCP来源端口21,目标端口21服务类型0IP鉴定号码39426(I

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 经管营销 > 生产经营管理

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1