467-第六章 入侵检测技术与密罐技术.pptVIP

第六章 入侵检测技术与密罐技术 入侵检测（Intrusion Detection）是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 6.1 网络入侵检测概述? 入侵检测（Intrusion Detection）是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统IDS（Intrusion Detection System）。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。 1．信息收集? 入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息。一是要尽可能扩大检测范围，二是因为虽然来自一个源的信息有可能看不出疑点，但来自几个源的信息的不一致性却是可疑行为或入侵的最好标识。 2．信号分析? 6.2 分层协议模型与TCP/IP协议 6.2.1 OSI参考模型 为了减少网络协议在设计上的复杂性，大多数的协议采用了层次模型。每一较低层次的模型都向其高一层的协议提供一定的服务，这些服务的具体实现方法对上一动协议而言是透明不可见的。相邻层的协议之间采用原主进行交互，这样的设计提供了各层协议在实现上的独立性。同样层的协议在不同的机器和操作系统上可能有不同的实现方式，但是只要它正确实现了下协议层的交互界面原语，提供了一致的服务，就可以确保网络通信的正常进行。 OSI参考模型层次划分的主要原则 网络中个结点都具有相同的层次 不同结点的同等层具有相同的功能 同一结点内相邻层之间通过接口通信 每一层可以使用下层提供的服务,并向其上层提供服务 不同结点的同等层通过协议来实现对等层之间的通信 OSI参考模型的七个层次： TCP/IP最早起源与1969年美国国防部(DOD赞助研究的网络ARPANET----世界上第一个采用分组交换技术的计算机通信网。TCP/IP协议模型从更实用的角度出发，形成了具有高效率的4层体系结构，即： 6.2.2 TCP/IP协议报文格式 从体系结构看，TCP/IP可分为应用层，网络层和网络接口层.其中，网络接口层相当于OSI定义的七层模型中的物理层和数据链路层。每层包含的主要协议类型如表6-1所示。 表6-1TCP/IP协议族及分层结构 1. 网络接口层协议 实际上，TCP/IP协议并不包括物理层协议，只定义了各种物理协议与TCP/IP之间的接口信息.这些物理网络包括了多种广域网，如ARPANET，MILNET和X.25公用数据网以及各种局域网，如Ethernet，Token-Ring等IEEE定义的标准局域网类型等.由于该层与各种具体的物理网络打交道，所以其协议帖的格式随着所采用的网络类型的不同而不同，如以太网(Ethernet)的帖格式和令牌环网(Token-Ring)的帖格式就不一样。 IEEE802.3的帧头格式包括6B(48位)的目标主机以太网地址，6B的源主机的以太网地址和2B的帧类型，其中帧类型指明所采用的协议.常见的协议类型如下： (1)IP协议，类型值0x800 (2)ARP协议，类型值0x0806 (3)RAPR协议，类型值0x8035 2. ARP协议和RARP协议 为了使TCP/IP协议与具体的物理网络无关，将物理地址隐藏而统一使用IP地址进行网际通信，就必须提供一种在IP地址和物理地址之间进行映射的机制.对于像以太网这样的具备广播能力的网络，TCP/IP使用地址解析协议(Address Resolution Protocol，ARP)， 来提供从物理地址到IP地址映像服务的则是逆像地址解析协议(Reverse Address Resolution Protocol，RARP)。 (1) ARP协议 ARP是采用一种称为”动态绑定”(Dynamic Binding)的技术来解析对方物理地址的。ARP协议的报文格式如图6-3所示： (2) RARP协议 RARP协议的报文格式与ARP相同。当发送方以广播方式发送RARP请求报文时，在源主机硬件地址和目的主机硬件地址字段中都填入本机物理地址。RARP服务器接收到该请求报文后，就回送一个RARP响应报文，在其目的主机IP地址字段中返回发送方的IP地址。 3. IP协议 IP协议(Internet Protocol)是TCP/IP协议族的核心协议这一，它提供了无连接数据包传输和网际路由服务。 （1）IP数据报格式 IP数据报由报头和报文数据两部