第8章网络安全课件.pptVIP

SNMPv1管理模型提定义了四种操作： GET：从被管对象处提取特定的网络管理信息； GET-NEXT：通过遍历活动来提供更强的管理信息提取能力； SET：对管理信息进行修改和控制； Trap：陷阱操作，由被管对象用来向管理者汇报本地发生的异常现象。 网络管理应用 Manager SNMP UDP IP 物理层 Agent 网络管理应用 SNMP UDP IP 物理层 MIB 被 管 对 象 Trap GET,SET 网络管理工作站 Trap GET,SET 通信介质 网络元素 8.11.1 网络管理系统 网络管理平台指包括网络管理软件和网络管理应用程序的网络管理系统。 网络管理应用软件建立在网络管理工具之上，包括计费系统、防火墙等。 常见的能作为管理者运行的网络管理软件有：HP的OpenView、IBM的Tivioli TME 10、SUN的SunNet Manager,Cabletron的SPECTRUM等。 常用网络管理软件 其他网络公司推出的网络管理产品基本上都是网络管理代理，可以作为SNMP代理接受管理者的管理，这些网络管理工具基于具体的网络管理平台。 例如：3COM公司的网络管理工具Transcend，是基于HP公司的OpenView网络管理平台，用于管理3COM公司的网络设备。 Cisco公司的网络管理工具Cisco Works，它可基于三种流行的网络管理平台：HP的OpenView，Sun的SunNet Manager和IBM的Tivioli TMEl0，用于管理Cisco公司的网络设备。 Bay Networks公司的网络管理工具Optivity，是基于HP公司的OpenView网络管理平台，管理Bay Networks公司的网络设备。 8.12 其他网络安全技术 8.12.1 入侵检测技术 入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图” 防火墙不能阻止入侵，但是可以增加入侵的难度。 过程分为三部分：信息收集、信息分析和结果处理。 入侵检测的分类 （1）按照分析方法/检测原理分类 　　●异常检测（Anomaly Detection）：基于统计分析原理。总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。 　漏报率低，误报率高。 　　●误用检测（Misuse Detection）：基于模式匹配原理。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。 误报低、漏报高。 （2）按照数据来源分类　　●基于主机（HIDS）：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机。　　视野集中；易于用户自定义；保护更加周密；对网络流量不敏感；　　●基于网络（NIDS）：系统获取的数据是网络传输的数据包，保护的是网络的正常运行。　　侦测速度快；隐蔽性好；视野更宽；较少的监测器；占资源少  （3）按照体系结构：集中式；分布式 （4）按照工作方式：离线检测；在线检测 入侵检测技术通过对入侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应，主要包括特征检测、异常检测、协议分析。 入侵检测系统 进行入侵检测的软件与硬件的组合便是入侵检测系统（IntrusionDetectionSystem，简称IDS） 入侵检测通过执行以下任务来实现： 　　监视、分析用户及系统活动； 　　系统构造和弱点的审计； 　　识别反映已知进攻的活动模式并向相关人士报警； 　　异常行为模式的统计分析； 　　评估重要系统和数据文件的完整性； 　　操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 拒绝服务攻击(DoS) Denial of Service 即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。 分布式拒绝服务攻击(DDoS) Distributed Denial of Service 指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Internet上的许多计算