正文內(nèi)容

windows系統(tǒng)安全14防火墻與入侵檢測系統(tǒng)(參考版)

2025-01-14 15:34本頁面

　　

【正文】 ? 編寫程序?qū)崿F(xiàn)每十秒檢查一次與端口關聯(lián)的應用程序。 ? 編寫防火墻規(guī)則：禁止除管理員計算機（ IP為）外任何一臺電腦訪問某主機（ IP為）的終端服務（ TCP端口 3389）。 85 本章習題 ? 簡述防火墻的分類，并說明分組過濾防火墻的基本原理。 ? 重點理解入侵檢測系統(tǒng)的基本概念、檢測的方法以及入侵檢測的步驟。 ? 重點理解防火墻的概念、分類、常見防火墻的系統(tǒng)模型以及創(chuàng)建防火墻的基本步驟。 83 167。 ? 依靠單一的中心監(jiān)測不可能檢測所有的入侵，已不能滿足系統(tǒng)安全性和性能的要求。 IDS目前存在的問題 ? 關于入侵檢測方法的研究仍在進行中，較成熟的檢測方法已用于商業(yè)軟件的開發(fā)中。商業(yè)的入侵檢測產(chǎn)品 ? CyberCop Monitor, NAI ? Dragon Sensor, Enterasys ? eTrust ID, CA ? NetProwler, Symantec ? NetRanger, Cisco ? NID100/200, NFR Security ? RealSecure, ISS ? SecureNet Pro, 81 入侵檢測系統(tǒng)面臨的挑戰(zhàn) ? 一個有效的入侵檢測系統(tǒng)應限制誤報出現(xiàn)的次數(shù)，但同時又能有效截擊。入侵檢測產(chǎn)品 167。 78 ? 可以查看主機入侵的信息，選擇屬性頁“ Intruders”，如圖所示。 77 案例：入侵檢測工具： BlackICE ? BlackICE是一個小型的入侵檢測工具，在計算機上安全完畢后，會在操作系統(tǒng)的狀態(tài)欄顯示一個圖標，當有異常網(wǎng)絡情況的時候，圖標就會跳動。 76 案例：檢測與端口關聯(lián)的應用程序 ? 網(wǎng)絡入侵者都會連接到主機的某個非法端口，通過檢查出與端口關聯(lián)應用程序，可以進行入侵檢測，這種方法屬于靜態(tài)配置分析。 ? 其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發(fā)現(xiàn)。誤用檢測 ? 誤用檢測的缺點 ? 被動 ? 只能檢測出已知攻擊 ? 新類型的攻擊會對系統(tǒng)造成很大的威脅 ? 模式庫的建立和維護難 ? 模式庫要不斷更新 ? 知識依賴于 ? 硬件平臺 ? 操作系統(tǒng) ? 系統(tǒng)中運行的應用程序 75 167。誤用檢測 ? 采用模式匹配技術檢測已知攻擊 ? 提前建立已出現(xiàn)的入侵行為特征 ? 檢測當前用戶行為特征 73 167。 ? 因為并不是所有入侵者的行為都能夠產(chǎn)生明顯的異常性，所以在入侵檢測系統(tǒng)中，僅使用異常性檢測技術不可能檢測出所有的入侵行為。異常檢測 ? 異常檢測的缺點： ? 漏報、誤報率高 ? 入侵者可以逐漸改變自己的行為模式來逃避檢測 ? 合法用戶正常行為的突然改變也會造成誤警 ? 統(tǒng)計算法的計算量龐大，效率很低 ? 統(tǒng)計點的選取和參考庫的建立比較困難 71 167。異常檢測 ? 基本原理 ? 一般采用統(tǒng)計方法建立正常行為的特征輪廓 ? 檢查系統(tǒng)的運行情況 ? 是否偏離預設的門限？ 69 167。 ? 快速的模式匹配算法 ? 根據(jù)數(shù)據(jù)分析的不同方式可將入侵檢測系統(tǒng)分為三類： ? 異常入侵檢測 ? 誤用入侵檢測 ? 完整性檢測 67 167。網(wǎng) 絡報文數(shù) 據(jù)協(xié) 議分析上報事件事件數(shù) 據(jù) 庫比較數(shù) 據(jù)讀取網(wǎng) 絡數(shù) 據(jù)網(wǎng) 絡數(shù) 據(jù)63 IDS分類主機型入侵檢測系統(tǒng) (Host Intrusion Detection System， HIDS)：系統(tǒng)安裝在主機上面，對本主機進行安全檢測往往以系統(tǒng)日志、應用程序日志等作為數(shù)據(jù)源，當然也可以通過通過查詢、監(jiān)聽當前系統(tǒng)的各種資源的使用運行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用和修改的事件，進行上報和處理。一般地，用戶可將某臺主機網(wǎng)卡設定為混雜模式，以監(jiān)聽本網(wǎng)段內(nèi) 所有數(shù)據(jù)包，判斷其是否合法。 58 1 入侵檢測系統(tǒng) (IDS)的概念 ? 入侵檢測系統(tǒng) IDS（ Intrusion Detection System）指的是一種硬件或者軟件系統(tǒng)，該系統(tǒng)對系統(tǒng)資源的非授權使用能夠做出及時的判斷、記錄和報警。 ? (3) 根據(jù)內(nèi)部服務器的敏感程度和訪問方式，將它們放置在內(nèi)部防火墻之后。 ? (1) 通過邊界路由過濾設備保護外部服務器，或?qū)⑺鼈兎胖迷谕獠?DMZ中。 ? DMZ是作為內(nèi)外網(wǎng)都可以訪問的計算機系統(tǒng)和資源的連接點，比如 Web服務器、郵件服務器、 VPN網(wǎng)關、 DNS服務器等，這些系統(tǒng)和資源不能放置在內(nèi)部保護網(wǎng)絡內(nèi) 。這樣的數(shù)據(jù)包自稱來自內(nèi)部的網(wǎng)絡，但實際上

點擊復制文檔內(nèi)容

試題試卷相關推薦