概述
承接网络防御技术(一)
五、入侵检测技术
入侵是对信息系统的非授权访问以及(或者)未经许可在信息系统中进行的操作。对这种入侵行为作出记录和预测的技术称之为入侵检测技术。智能化、自动化软件或硬件组成入侵检测系统(IDS)
入侵检测技术作为一种主动防御技术,是信息安全技术的重要组成部分,是传统计算机安全机制的重要补充
入侵检测通过执行以下任务来实现:
- 监视、分析用户及系统活动
- 系统构造和弱点的审计
- 识别反映已知进攻的活动模式并向相关人士报警
- 异常行为模式的统计分析
- 评估重要系统和数据文件的完整性
- 操作系统的审计跟踪管理,并识别用户违反安全策略的行为
入侵检测系统一般分为:基于主机、基于网络、混合型
基于主机:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录
主机型入侵检测系统保护的一般是在所在的主机系统,是由代理(agent)来实现的,代理是运行在目标主机上的小的可执行程序,它负责与命令控制台(console)进行通信
基于网络:系统分析的数据是网络上的数据包
网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器(sensor)组成,传感器是一台将以太网卡置于混杂模式的计算,用于嗅探网络上的数据包
混合型:综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况
六、日志和审计
日志:日志文件中记录了用户对某个文件或服务访问和操作的细节,一些出错信息也将记录在日志当中
审计(审核统计):通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。
管理员可以通过日志来检查错误发生的原因,有效地利用日志文件可以在系统发生断电或者其他系统故障时保证整体数据的完整性,对数据进行恢复
不会出错的、安全的日志是对入侵提供重要证据的唯一方法
七、蜜罐技术
蜜罐是一种在互联网上运行的计算机系统,它是专门为吸引并“诱骗”那些试图非法闯入他人计算机系统的人而设计的
蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标
蜜罐的主要功能是对系统中所有的操作和行为进行监视和记录,是拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间
蜜罐也可以为追踪者提供有用的线索,为起诉攻击者搜集有力的证据
八、取证技术
计算机取证是指对能够为法庭接受的、足够可靠和有说明力的、存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程
它能推动或促进犯罪事件的重构,或者帮助预见有害的未经授权的行为。
九、虚拟专用网(VPN)技术:在公用网络上建立专用网络,并在专用网络中进行加密通讯的技术
称为虚拟网的原因:整个VPN网络的任意两个节点之间的连接并没有传统专用网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台,如Internet等之上的逻辑网络。
VPN属于远程访问技术,简单地说,就是利用公用网络架设专用网络
最后
以上就是贪玩黄蜂为你收集整理的网络攻防-网络防御技术(二)的全部内容,希望文章能够帮你解决网络攻防-网络防御技术(二)所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
发表评论 取消回复