S08-网络安全防范课件.pptx

上传人:yan****nan 文档编号:88486031 上传时间:2023-04-26 格式:PPTX 页数:42 大小:1.20MB
返回 下载 相关 举报
S08-网络安全防范课件.pptx_第1页
第1页 / 共42页
S08-网络安全防范课件.pptx_第2页
第2页 / 共42页
点击查看更多>>
资源描述

《S08-网络安全防范课件.pptx》由会员分享,可在线阅读,更多相关《S08-网络安全防范课件.pptx(42页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、凌力网络协议网络协议&网络安全网络安全S08网络安全网络安全防范防范lingli主要知识点主要知识点网络安全防范技术要点网络安全防范技术要点嵌入式安全防范技术嵌入式安全防范技术n防火墙防火墙n代理代理主动式安全防范技术主动式安全防范技术n安全口令安全口令nVLANnVPN被动式安全防范技术被动式安全防范技术n网页防篡改网页防篡改n入侵检测入侵检测n安全审计安全审计网络安全防范412lingli网络网络安全防范安全防范Network Security Defencen针对网络安全威胁,使用各种技术和管理手段,达到防止、发现、针对网络安全威胁,使用各种技术和管理手段,达到防止、发现、遏制、消除网络

2、攻击的目的,保障网络与信息系统遏制、消除网络攻击的目的,保障网络与信息系统安全安全n网络安全防范技术要点:网络安全防范技术要点:(1)有的放矢地选择技术,在深入需求分析的基础上有所取舍。不做简单堆砌的泥水匠,要成为用心设计的建筑师(2)一项技术解决一类问题,相互结合、相互补充才能形成完善的防范体系,不能有失偏颇,应该以全局的观点,注重全面防范效果提升(3)讲究策略,讲究平衡,以最小的代价获得最佳防范效果(4)不断跟踪网络安全威胁与防范的最新技术动态,不断调整和更新技术,才能保持长效的安全防范能力(5)关注防范技术可能造成的负面影响,因为坚固的城堡可以更好地抵挡入侵,但同时也会在一定程度上禁锢自

3、身网络安全防范341lingli网络安全防范的认识网络安全防范的认识水桶法则(短板效应水桶法则(短板效应)n技术技术措施应与非技术措施(包括物理安全、人员安全、安全管理措施应与非技术措施(包括物理安全、人员安全、安全管理等)紧密配合,等)紧密配合,不可或缺,不可厚此薄彼不可或缺,不可厚此薄彼因噎废食不可取因噎废食不可取n为了所谓的安全,不用网络或采用完全为了所谓的安全,不用网络或采用完全物理隔离的办法,变成一物理隔离的办法,变成一个个信息孤岛个个信息孤岛,将使网络,将使网络的的优势丧失殆尽优势丧失殆尽树欲静而风不止树欲静而风不止n安全安全防范技术再出色,也不是万无一失防范技术再出色,也不是万无

4、一失的,技术的,技术能力具有能力具有相对性,相对性,应当在应当在战略上藐视网络黑暗势力战略上藐视网络黑暗势力,在,在战术上足够重视,未雨绸缪,战术上足够重视,未雨绸缪,让安全防范系统时刻处于活跃的、临战的、健康的、最佳的让安全防范系统时刻处于活跃的、临战的、健康的、最佳的状态状态网络安全防范441lingli网络安全防范技术分类网络安全防范技术分类(1)嵌入式)嵌入式安全防范(安全防范(embedded defence)n在在信息交换路径上部署相应的安全防范信息交换路径上部署相应的安全防范技术技术n可以可以是具有特定功能的设备(硬件),也可以是专门设计的协议、是具有特定功能的设备(硬件),也可

5、以是专门设计的协议、软件软件n嵌入式嵌入式安全防范技术安全防范技术包括:安全包括:安全协议(或协议补丁)、虚拟专用网(协议(或协议补丁)、虚拟专用网(VPN)、地址翻译()、地址翻译(NAT)、)、访问代理(访问代理(proxy)、网络防火墙()、网络防火墙(firewall)、病毒和木马查杀网关、垃圾邮件过滤)、病毒和木马查杀网关、垃圾邮件过滤等等(2)主动式)主动式安全防范(安全防范(active defence)n对对网络信息系统的操作层面(用户)、信息层面(内容)、通信层面(组网)等关键环节加强网网络信息系统的操作层面(用户)、信息层面(内容)、通信层面(组网)等关键环节加强网络安全防

6、范措施,主动发现安全隐患、及时进行改进调整,络安全防范措施,主动发现安全隐患、及时进行改进调整,防患于未然防患于未然n主动式主动式安全防范技术包括:网络管理与系统管理、信息加密、数字证书、安全访问认证、虚拟子安全防范技术包括:网络管理与系统管理、信息加密、数字证书、安全访问认证、虚拟子网(网(VLAN)、网络安全扫描与评估、软件安全修补)、网络安全扫描与评估、软件安全修补等等(3)被动式)被动式安全防范(安全防范(passive defence)n指指两类安全防范措施两类安全防范措施:通过部署的系统在网络安全威胁发生时能够及时发现、及时预警、及时采取措施,尽可能减少损失、防止灾难蔓延通过对历史

7、数据的分析,找出已经发生的攻击行为和事件、发现潜在的缺陷,以便采取针对性措施亡羊补牢n被动式被动式安全防范不仅能够弥补嵌入式安全防范和主动式安全防范的不足和遗漏之处,而且具有动安全防范不仅能够弥补嵌入式安全防范和主动式安全防范的不足和遗漏之处,而且具有动态检测的能力,是网络安全防范体系的重要态检测的能力,是网络安全防范体系的重要组成部分组成部分n被动式被动式安全防范技术包括入侵检测系统(安全防范技术包括入侵检测系统(IDS)、安全审计系统()、安全审计系统(SAS)、网页防篡改、实时监控)、网页防篡改、实时监控系统、运行日志(系统、运行日志(system log)等等网络安全防范541ling

8、li防火墙防火墙FireWall,FWn防火墙作为一种网关(防火墙作为一种网关(gateway),起),起到隔离内部网络和外部网络到隔离内部网络和外部网络的的作用,阻断来自外部网络的安全攻击作用,阻断来自外部网络的安全攻击n防火墙的技术优势在于其透明性,即对内部网络的组网结构、计防火墙的技术优势在于其透明性,即对内部网络的组网结构、计算机设备数量和分布、网络应用类型等均不敏感,有利于安装和算机设备数量和分布、网络应用类型等均不敏感,有利于安装和使用使用网络安全防范641lingli防火墙类型防火墙类型从安全防范方法从安全防范方法上上n过滤过滤(filtering)、代理()、代理(agent/

9、proxy)从从层次结构层次结构上上n三三层(层(IP)、四层()、四层(TCP/UDP)、七层(应用层协议)、七层(应用层协议)从从防范对象防范对象上上n内内网防火墙、病毒网防火墙、病毒/木马防火墙、垃圾邮件木马防火墙、垃圾邮件防火墙防火墙从从技术实现技术实现上上n硬件硬件防火墙、软件防火墙、软件防火墙防火墙网络安全防范741lingli防火墙的过滤和代理功能防火墙的过滤和代理功能过滤和代理的共同点:过滤和代理的共同点:n对协议报文、信息内容进行筛选,剔除不安全元素、放行安全的对协议报文、信息内容进行筛选,剔除不安全元素、放行安全的访问访问n具有不对称性,主要对来自外部网络(如具有不对称性,

10、主要对来自外部网络(如Internet)的信息流进行)的信息流进行严格检查,而对内部网络发起的会话,检查力度相对较弱严格检查,而对内部网络发起的会话,检查力度相对较弱过滤和代理的不同点:过滤和代理的不同点:n过滤(过滤(filter)对每个通过的报文进行依次处理是无状态的报文间相互独立、互不影响,可以达到很高的处理速度n代理(代理(proxy)参与协议会话过程(中介)有状态的同一个会话(或同一个流)的报文间相互有关联性网络安全防范841lingli防火墙功能防火墙功能网络安全防范941lingli防火墙防火墙IP报文过滤操作流程报文过滤操作流程网络安全防范1041lingli防火墙抵御防火墙抵

11、御TCP同步洪水攻击示例同步洪水攻击示例(1)外)外网攻击者发送网攻击者发送SYN,请求会话,请求会话连接连接(2)防火墙)防火墙接收到接收到SYN,检查,检查IP地址的有效性、源地址是否地址的有效性、源地址是否内网地址等,若判断为可疑的连接请求,丢弃报文(可不予内网地址等,若判断为可疑的连接请求,丢弃报文(可不予以响应,以对抗探测),以响应,以对抗探测),结束结束(3)防火墙)防火墙响应响应SYN-ACK,启动超时,启动超时计时器计时器n防火墙防火墙只需匹配极少只需匹配极少资源资源n计时器计时器长度可以依据不同需求进行调整,适当长度可以依据不同需求进行调整,适当缩短缩短(4)若)若计时器计时

12、器超时未超时未收到收到ACK,则,则释放连接,结束释放连接,结束(5)防火墙)防火墙若收到若收到ACK,则立即向内网指定计算机(第,则立即向内网指定计算机(第步步已缓存)发送已缓存)发送SYN,当接收到,当接收到SYN-ACK后立即响应后立即响应ACK(6)TCP连接建立连接建立成功,之后内外网直接通信成功,之后内外网直接通信网络安全防范1141lingli访问控制列表访问控制列表Access Control List,ACLn用于防火墙实现灵活的管理用于防火墙实现灵活的管理过滤过滤机制机制nACL存放用于判别报文、连接与操作是否合法的相关参量,如存放用于判别报文、连接与操作是否合法的相关参量

13、,如IP地址、端口号等,可以动态维护、地址、端口号等,可以动态维护、更新更新nACL类型:类型:黑名单(black list;forbid list)显性指出禁止访问的项目,如某个IP地址(或网段)、某个TCP/UDP端口号访问控制引擎对黑名单采用负逻辑(negative logic)判别方式,即符合条件者不通过,否则通过。白名单(white list;permission list)显性指出允许访问的项目访问控制引擎对白名单采用正逻辑(positive logic)判别方式,即符合条件者通过,否则不通过灰名单(grey list)一种特殊ACL黑名单机制,可称为临时黑名单灰名单可以由防火墙自

14、动地、动态地进行调整,更为灵活网络安全防范1241lingliACL引擎控制流程引擎控制流程网络安全防范1341匹配ACL每一行匹配?最后行?允许/拒绝?YNN丢弃报文结束Y最后行隐式Deny anyDeny报文通过Permitlingli双防火墙机制双防火墙机制实现目标:实现目标:n某些内部某些内部网络网络需要对外需要对外提供访问服务提供访问服务,需要,需要一定的安全保护,但一定的安全保护,但应避免复杂性、提高访问应避免复杂性、提高访问效率效率n对外对外服务系统与内部应用系统间要有一定的互连关系,用于安全服务系统与内部应用系统间要有一定的互连关系,用于安全地交换地交换数据数据n内内网中的计算

15、机可以访问外部网络网中的计算机可以访问外部网络网络安全防范1441非军事区非军事区 De-Military ZoneLAN DMZ WAN带DMZ的FWlingli双防火墙应用效果双防火墙应用效果网络安全防范1541内部网络DMZInternetDBServerWebServerEmailServerdata最高的安全保障有效的安全保障无安全保障来自外部网络的访问仅限于到达DMZ区域lingli双防火墙应用示例双防火墙应用示例网络安全防范1641lingli防火墙评价指标防火墙评价指标误报率(误报率(rate of false detection)nfalse positiven指正指正常访问

16、或数据误遭防火墙拦截,直接造成访问失败、数据(如邮件)常访问或数据误遭防火墙拦截,直接造成访问失败、数据(如邮件)丢失丢失n误报率越低越好误报率越低越好漏报漏报率(率(rate of missing)nfalse negativen是是检出率(检出率(rate of detection)的反面,指防火墙未能发现安全攻击的访问或数据,)的反面,指防火墙未能发现安全攻击的访问或数据,使漏网之鱼进入网络使漏网之鱼进入网络系统系统n漏报率越低越好漏报率越低越好矛盾性矛盾性n漏报率与误报率的降低存在一定的矛盾漏报率与误报率的降低存在一定的矛盾n应根据应用需求进行协调,寻找最佳平衡点应根据应用需求进行协调

17、,寻找最佳平衡点网络安全防范1741主要针对模糊判别lingli代理代理Proxy/Agentn计算机网络体系中的一种网关设备,用于协助网络用户完成访问计算机网络体系中的一种网关设备,用于协助网络用户完成访问任务,即用户将访问请求提交给代理,由代理完成对指定资源的任务,即用户将访问请求提交给代理,由代理完成对指定资源的访问,并把访问结果转交给访问,并把访问结果转交给用户用户n代理的作用:代理的作用:代理主要起到类似中间人的访问隔离作用,帮助网络用户完成其不能直接实施的任务代理可以设定缓存空间,存储网络访问的结果,以便向下一个相同的访问(可能来自不同用户)提供本地响应的、快速的服务,不占用珍贵的

18、Internet接入带宽资源对访问进行白名单式的控制,通过代理的设置,向指定的用户开放指定的应用、指定的URL、指定的通信流量、指定的访问时段等,使用户的访问行为得到有效的约束,也限制了外部网络用户对内部网络用户不安全的直接访问行为网络安全防范1841lingli代理功能示意代理功能示意网络安全防范1941网络A网络B应用系统A应用系统B应用系统C用户x用户y用户zProxy允许访问A|B|C允许访问B|C允许访问Alingli代理与防火墙代理与防火墙/网关比较网关比较网络安全防范2041ProxyGateway/RouterFirewall部署位置部署位置任意网络之间内网出口互连层次互连层次

19、7334(部分7)地址转换地址转换IP+PortNAT中继转发中继转发应用落地仅转发TCP落地过滤功能过滤功能应用/内容过滤IP/Port过滤访问控制访问控制限制功能IP/Port ACLDoS防范防范已知攻击防范lingli通过代理穿越防火墙示例通过代理穿越防火墙示例网络安全防范2141lingli一次性一次性口令口令One-Time Password,OTPn口令口令(验证码)只使用一次(验证码)只使用一次,每次使用后进行变化,使每次,每次使用后进行变化,使每次的鉴的鉴别口令都各不别口令都各不相同相同n用于防范口令猜测攻击、重放攻击用于防范口令猜测攻击、重放攻击n技术原理:技术原理:在用户

20、登录过程中的口令传输时加入不确定因子(salt),使用户口令不以固定的明文或密文方式在网络上传输,每次传送的验证码都不相同,而系统收到验证码后可以用相同的算法验证网络安全防范2241lingli简单的一次性口令示例简单的一次性口令示例网络安全防范2341登登录验证码=MD5(口令口令随机数随机数)客户端产生随机数,在发送验证码时一起传送给服务端服务端产生随机数,在询问口令时传送给客户端(即挑战)当前时间lingli口令序列口令序列S/KeynS/KEY口令为一个单向的前后相关的序列,由口令为一个单向的前后相关的序列,由n个口令个口令组成组成nRFC1760定义定义n技术原理:技术原理:客户端的

21、口令序列是由用户口令和服务端提供的种子(seed)经MD4单向函数加密而成客户端再通过连续n次单向函数,生成n个顺序排列的口令验证码序列客户端登录时,逆向使用生成的序列当用户第i次登录时,服务端用单向函数计算收到的验证码,并与上次保存的第i1个验证码比较,以判断用户的合法性客户端按序使用口令序列,而服务端只需记录最新一次成功登录所用的验证码由于口令数是有限的,用户登录n次后必须重新初始化口令序列,且客户端和服务端应始终保持同步网络安全防范2441lingli口令序列原理图口令序列原理图网络安全防范2541lingliVLANVirtual Local Area Network 虚拟局域网虚拟局

22、域网n从逻辑(协议)上对网络资源和网络用户按照一定原则进行的从逻辑(协议)上对网络资源和网络用户按照一定原则进行的划划分,把分,把一个物理网络划分成多个小的逻辑一个物理网络划分成多个小的逻辑网络网络nVLAN标准标准IEEE 802.1qnVLAN功能:功能:限制广播域(广播范围)隔离子网制定各种访问限制可禁止来自其他VLAN的访问可禁止离开VLAN的访问n一一个计算机(用户)可同时从属于不同个计算机(用户)可同时从属于不同VLAN,但需,但需分别遵循相关分别遵循相关VLAN的访问限定的访问限定网络安全防范2641lingliVLAN示例示例网络安全防范2741lingliVLAN报头格式报头

23、格式VLAN协议协议4B标签标签头头:n标签标签协议标识(协议标识(Tag Protocol Identifier,TPID)n标签标签控制信息(控制信息(Tag Control Information,TCI优先级字段,3b规范格式指示符CFI,1bVLAN标识符VID,12b网络安全防范2841lingliVLAN类型类型(1)基于)基于端口的端口的VLANn根据以太网交换机的物理端口来划分根据以太网交换机的物理端口来划分VLAN,可以跨交换机,可以跨交换机进行进行优点是定义VLAN成员时非常简单,只需将所有的端口都设定一遍缺点是如果VLAN的某个用户离开原来端口,连接到新的端口,就必须重

24、新定义n当采用按不同地理位置(如不同楼层、不同大楼)的不同部门划分当采用按不同地理位置(如不同楼层、不同大楼)的不同部门划分VLAN时,这种方式时,这种方式特别简单,因为往往各部门采用单独的特别简单,因为往往各部门采用单独的交换机交换机(2)基于)基于MAC地址的地址的VLANn根据每个主机的根据每个主机的MAC地址来划分地址来划分VLAN,也称为,也称为基于用户的基于用户的VLAN优点就是当用户物理位置移动时,即使移动到另一个交换机,VLAN也不用重新配置缺点是初始化时,所有的用户都必须进行配置,如果用户很多,配置的工作量非常大,也会导致交换机执行效率降低,在每一个交换机的端口都可能存在很多

25、个VLAN组的成员,无法有效限制广播包,而且如果网卡可能经常更换,VLAN就必须不停地更新(3)基于)基于协议的协议的VLANn通过第二层通过第二层报文的报文的协议字段,协议字段,识别上层识别上层运行的网络层协议,如运行的网络层协议,如IP或或IPXn现有现有的系统中一般仅有的系统中一般仅有IP,所以基于协议的,所以基于协议的VLAN很少有机会很少有机会使用使用(4)基于)基于子网的子网的VLANn根据报文中的根据报文中的IP地址决定报文属于哪个地址决定报文属于哪个VLAN,同一个,同一个IP子网的所有报文属于同一个子网的所有报文属于同一个VLAN优点是可针对具体应用服务来组织用户,用户可在网

26、络内部自由移动而不用重新配置缺点是效率较低,检查每一个报文的IP地址很耗时,同时一个端口可能存在多个VLAN的成员,对广播报文无法有效抑制网络安全防范2941lingliVLANVirtual Private Network 虚拟专用网虚拟专用网n用于在不安全的网络用于在不安全的网络环境上环境上构建安全的互连构建安全的互连关系关系nVPN技术原理:技术原理:VPN采用安全隧道(secure tunnel)跨越Internet,采用安全协议来实现安全认证和数据加密,构造安全的数据传输通道,进而实现计算机设备或子网间的安全互连网络安全防范3041lingliIntranet企业内部企业内部网网n采

27、用采用VPN构造的安全网络,是企业(或机构)生产、办公、管理等经营活构造的安全网络,是企业(或机构)生产、办公、管理等经营活动的信息化基础动的信息化基础设施设施nIntranet功能:功能:单一地理位置的安全内部网络多个地理位置的子网络互连成为统一的安全内部网络Internet终端的安全接入网络安全防范3141lingliExtranet企业外部企业外部网网n基于基于Internet并采用并采用VPN安全隧道技术安全隧道技术,通过,通过Internet实现实现不同企业不同企业Intranet中中各自各自外联设备间的安全外联设备间的安全互连互连n依据依据合作关系的变动,合作关系的变动,Extra

28、net的成员可以动态的成员可以动态调整调整例如:汽车公司与其配件公司的合作,保证配件供应、售前/售后服务准确配合“零库存”生产计划、销售计划,既相互独立,又可在安全的前提下实现各企业在生产、仓储、物流等方面紧密关联,并灵活适应变化网络安全防范3241lingliVPN组网技术组网技术VPN安全安全隧道协议:隧道协议:nPPTPnL2TPnIPsecnSSLVPN组组网网方案:方案:(1)网络)网络透明方式透明方式:由用户自行配置VPN设备和系统,ISP及Internet只提供普通的IP互连服务(2)用户)用户透明方式透明方式:由ISP提供VPN服务,用户端使用普通IP互连设备网络安全防范334

29、1lingli网页防篡改网页防篡改Webpage Tamper-Proof n专门设计用于防止网站网页被篡改行为,一旦发现文件有任何修专门设计用于防止网站网页被篡改行为,一旦发现文件有任何修改的迹象,立即予以改的迹象,立即予以恢复恢复n网页防篡改本质上是一种文件保护网页防篡改本质上是一种文件保护措施措施(1)所有文件更新并发布时,采用数字签名技术,当文件因访问需要而被调用时,使用数字签名检查是否有改变(2)监测用户URL,防止注入式攻击(3)定时轮询检查所有已发布的文件的完整性,并检查是否有未知的新增文件(4)检测Web服务器运行情况,包括负载情况、带宽占用情况、活跃进程以及系统操作日志,以及

30、时发现异常状况网络安全防范3441lingli网页防篡改系统部署网页防篡改系统部署独立系统方案独立系统方案n部署部署于网站内容发布服务器与网站于网站内容发布服务器与网站Web服务器(集群)服务器(集群)之间之间附属系统方案附属系统方案n作为作为内容发布服务器应用系统的一部分内容发布服务器应用系统的一部分网络安全防范3541lingliIDSIntrusion Detection System 入侵入侵检测检测系统系统n用于在内部网络上探测和发现网络入侵活动的用于在内部网络上探测和发现网络入侵活动的系统系统基于可适应网络安全技术P2DR(Policy Protection Detection R

31、esponse)安全模型nIDS功能:功能:深入解析入侵事件、入侵手段及被入侵目标的漏洞对可能的入侵现象进行及时发现和报告与其他网络安全设备联动,实施拦截nIDS类型:类型:基于主机的IDS基于网络的IDS网络安全防范3641lingliIDS体系结构体系结构探针(探针(probe)n在在网络信息系统中网络信息系统中部署的软件部署的软件或或硬件,用于实时采集信息硬件,用于实时采集信息n对于对于不适合安装探针的设备,可采用智能代理(不适合安装探针的设备,可采用智能代理(agent)n多多台设备可合用一个台设备可合用一个探针探针IDS控制台(控制台(console)或管理)或管理中心中心n探针采集

32、的各种探针采集的各种操作信息,特别是网络访问的有关信息,如源与目的操作信息,特别是网络访问的有关信息,如源与目的IP地址、时间、地址、时间、用户账号、操作序列、访问资源、流量等,汇总用户账号、操作序列、访问资源、流量等,汇总到控制台到控制台n控制台经过控制台经过数据分析,可以得到网络访问的行为模式,并进行分析数据分析,可以得到网络访问的行为模式,并进行分析判定,发现入侵判定,发现入侵行为行为网络安全防范3741lingliIDS通用模型通用模型网络安全防范3841lingliIDS分析方法分析方法(1)模式)模式发现发现技术技术n假定假定所有入侵行为和手段(及其变种)都能够表达为一种模式或所有

33、入侵行为和手段(及其变种)都能够表达为一种模式或特征,那么所有已知的入侵方法都可以用匹配的方法特征,那么所有已知的入侵方法都可以用匹配的方法发现发现n模式模式发现的关键是如何表达入侵的模式,把真正的入侵与正常行发现的关键是如何表达入侵的模式,把真正的入侵与正常行为区分为区分开来开来n模式模式发现的优点是误报少,局限是它只能发现已知的攻击,对未发现的优点是误报少,局限是它只能发现已知的攻击,对未知的攻击知的攻击无能为力无能为力(2)异常)异常发现发现技术技术n假定假定所有入侵行为都是与正常行为有差异所有入侵行为都是与正常行为有差异的,如果的,如果建立系统正常建立系统正常行为的轨迹行为的轨迹,理论

34、上,理论上可以把所有与正常轨迹不同的系统状态视为可以把所有与正常轨迹不同的系统状态视为可疑可疑企图企图n对于对于异常阈值与特征的选择是异常发现技术的异常阈值与特征的选择是异常发现技术的关键,例如关键,例如,通过,通过流量统计分析将异常时间的异常网络流量视为流量统计分析将异常时间的异常网络流量视为可疑可疑n异常异常发现技术的局限是并非所有的入侵都表现为异常,甚至可能发现技术的局限是并非所有的入侵都表现为异常,甚至可能被攻击者被攻击者“训练训练”而而规避规避网络安全防范3941lingliSASecurity Audit 安全审计安全审计n对日志、系统文件等大量数据进行分析,除了采用模式匹配方法对

35、日志、系统文件等大量数据进行分析,除了采用模式匹配方法外,还可以采用数理统计分析、数据完整性分析等技术外,还可以采用数理统计分析、数据完整性分析等技术手段手段nSA与与IDS相比不同点在于:相比不同点在于:SA以分析静态数据为主SA以“事后”分析为主nSA优势:优势:可以进行海量信息的分析数据分析也能更为深入和细致能够进行回顾性分析,使用最新的分析模型对原有技术条件下曾判别为干净的记录重新进行安全隐患挖掘网络安全防范4041lingli攻击陷阱攻击陷阱Attacking Trapn由由IDS和和SA系统部署的特殊设备,用于吸引安全攻击系统部署的特殊设备,用于吸引安全攻击n作用:作用:诱使网络安

36、全攻击进入预设的目标转移攻击者注意力,防止真正的数据被窃取或破坏通过特别预设的监控程序及时发现攻击行为,并进一步跟踪和寻找攻击源n方法:方法:部署看上去比其他主机更像核心服务器的设备开设具有通用的管理员账户名称的虚假管理员账户存放显得很有价值的杜撰用户信息列表文件或数据库等网络安全防范41411、有时候读书是一种巧妙地避开思考的方法。4月-234月-23Tuesday,April 25,20232、阅读一切好书如同和过去最杰出的人谈话。12:48:0512:48:0512:484/25/2023 12:48:05 PM3、越是没有本领的就越加自命不凡。4月-2312:48:0512:48Apr

37、-2325-Apr-234、越是无能的人,越喜欢挑剔别人的错儿。12:48:0512:48:0512:48Tuesday,April 25,20235、知人者智,自知者明。胜人者有力,自胜者强。4月-234月-2312:48:0512:48:05April 25,20236、意志坚强的人能把世界放在手中像泥块一样任意揉捏。25四月202312:48:05下午12:48:054月-237、最具挑战性的挑战莫过于提升自我。四月2312:48下午4月-2312:48April 25,20238、业余生活要有意义,不要越轨。2023/4/2512:48:0512:48:0525 April 20239

38、、一个人即使已登上顶峰,也仍要自强不息。12:48:05下午12:48下午12:48:054月-2310、你要做多大的事情,就该承受多大的压力。4/25/2023 12:48:05 PM12:48:0525-4月-2311、自己要先看得起自己,别人才会看得起你。4/25/2023 12:48 PM4/25/2023 12:48 PM4月-234月-2312、这一秒不放弃,下一秒就会有希望。25-Apr-2325 April 20234月-2313、无论才能知识多么卓著,如果缺乏热情,则无异纸上画饼充饥,无补于事。Tuesday,April 25,202325-Apr-234月-2314、我只是自己不放过自己而已,现在我不会再逼自己眷恋了。4月-2312:48:0525 April 202312:48谢谢大家谢谢大家

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 管理文献 > 管理手册

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁