windows系统安全14防火墙与入侵检测系统-资料下载页
2025-01-11 15:34本页面
【正文】 知识 70 167。 异常检测 异常检测的缺点: 漏报、误报率高 入侵者可以逐渐改变自己的行为模式来逃避检测 合法用户正常行为的突然改变也会造成误警 统计算法的计算量庞大,效率很低 统计点的选取和参考库的建立比较困难 71 167。 问题: 在许多环境中,为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事。 因为并不是所有入侵者的行为都能够产生明显的异常性,所以在入侵检测系统中,仅使用异常性检测技术不可能检测出所有的入侵行为。 72 167。 误用检测 采用 模式匹配技术 检测已知攻击 提前建立已出现的入侵行为特征 检测当前用户行为特征 73 167。 误用检测 误用检测的优点 算法简单 系统开销小 准确率高 效率高 74 167。 误用检测 误用检测的缺点 被动 只能检测出已知攻击 新类型的攻击会对系统造成很大的威胁 模式库的建立和维护难 模式库要不断更新 知识依赖于 硬件平台 操作系统 系统中运行的应用程序 75 167。 完整性分析 通过检查系统的当前系统配置,诸如系统文件的内容或者系统表,来检查系统是否已经或者可能会遭到破坏。 其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。 缺点是一般以批处理方式实现,不用于实时响应。 76 案例: 检测与端口关联的应用程序 网络入侵者都会连接到主机的某个非法端口,通过检查出与端口关联应用程序,可以进行入侵检测,这种方法属于静态配置分析。 利用工具软件 ,执行程序如图所示。 77 案例: 入侵检测工具: BlackICE BlackICE是一个小型的入侵检测工具,在计算机上安全完毕后,会在操作系统的状态栏显示一个图标,当有异常网络情况的时候,图标就会跳动。主界面如图所示。 78 可以查看主机入侵的信息,选择属性页“ Intruders”,如图所示。 79 167。 入侵检测产品 167。 免费的入侵检测产品 Snort SHADOW 80 167。 商业的入侵检测产品 CyberCop Monitor, NAI Dragon Sensor, Enterasys eTrust ID, CA NetProwler, Symantec NetRanger, Cisco NID100/200, NFR Security RealSecure, ISS SecureNet Pro, 81 入侵检测系统面临的挑战 一个有效的入侵检测系统应限制误报出现的次数,但同时又能有效截击。 82 167。 IDS目前存在的问题 关于入侵检测方法的研究仍在进行中,较成熟的检测方法已用于商业软件的开发中。 各种监测方式都存在不同的问题,例如,误报率高、效率低、占用资源多或者实时性差等缺点。 依靠单一的中心监测不可能检测所有的入侵,已不能满足系统安全性和性能的要求。 目前,国内只有少数的网络入侵检测软件,相关领域的系统研究也刚刚起步,与外国尚有很大差距。 83 167。 发展趋势及主要研究方向 针对分布式攻击的分布式入侵检测方面的研究 用于大规模高速网络入侵检测系统的研究 应用层入侵检测的研究 智能入侵检测的研究 基于神经网络 免疫系统方法 遗传算法 基于代理检测 数据挖掘 84 本章总结 本章介绍了防御技术中的防火墙技术与入侵检测技术。 重点理解防火墙的概念、分类、常见防火墙的系统模型以及创建防火墙的基本步骤。 掌握使用 Winroute创建简单的防火墙规则。 重点理解入侵检测系统的基本概念、检测的方法以及入侵检测的步骤。 掌握编写简单入侵检测的程序,掌握一种入侵检测工具。 85 本章习题 简述防火墙的分类,并说明分组过滤防火墙的基本原理。 常见防火墙模型有哪些?比较他们的优缺点。 编写防火墙规则:禁止除管理员计算机( IP为)外任何一台电脑访问某主机( IP为)的终端服务( TCP端口 3389)。 什么是入侵检测系统?简述入侵检测系统目前面临的挑战。 编写程序实现每十秒检查一次与端口关联的应用程序
试题试卷相关推荐
鄂ICP备17016276号-1