《CERNET国际出口监测系统.ppt》由会员分享,可在线阅读,更多相关《CERNET国际出口监测系统.ppt(18页珍藏版)》请在三一办公上搜索。
1、CERNET国际出口扫描监测系统,作者:王若伟指导教师:李星 张辉,CERNET国际出口扫描监测系统,项目背景入侵检测系统系统设计,黑客攻击,目前网络安全的主要威胁,也是网络安全中最为引人关注的一个问题 世界上至少有20多万个黑客网站,黑客技术逐渐的被越来越多的人掌握和发展 黑客攻击的隐蔽性好,“杀伤力”强,目前对黑客攻击的解决方案,防火墙、安全扫描软件、入侵检测系统入侵检测系统是近年来发展比较快的一个方向 BACK,入侵检测系统,定义:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。主要功能:监测并分析用户和系统的
2、活动;核查系统配置和漏洞;评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理,并识别违反安全策略的用户活动。,入侵检测方式,基于网络1.低拥有成本。2.攻击者转移证据更困难。3.实时检测和应答。4.能够检测未成功的攻击企图。5.操作系统独立。,基于主机1.非常适用于加密和交换环境。2.近实时的检测和应答。3.不需要额外的硬件。,入侵检测技术,网络型入侵检测系统通常使用两种基本的检测技术 一、是分析数据流量,找出异常的网上交通 二、是分析数据内容,找出黑客攻击的表征 BACK,系统设计,系统设计概述系统结构图数据接口单元 源地址和目标地址处理单元数据库单元
3、 WEB显示和处理结果,系统设计概述,网络攻击的一个通常特征是:在短时间内发送大量的IP包共同的弱点:同一个源地址或目的地址的IP包在网上频繁出现。采用基于网络的对数据流量进行分析的技术 BACK,系统结构图,数据接口单元,源地址处理单元,目的地址处理单元,数据库单元,WEB显示,BACK,数据接口单元,对通过NETFLOW得到的数据文件进行处理,转变成程序可以进行分析处理的数据格式,供后面的分析程序使用。BACK,源地址处理单元(一),源地址单元处理的目的 发现出现频率高的源地址,源地址处理单元(二),通过对源地址的分析处理,设定一个阈值,将超过阈值的地址记录下来 用两个双向链表分别记录正在检查的数据和超过阈值的数据,源地址处理单元(三),分析处理的策略,目标地址处理单元,目标地址处理 BACK,数据库单元,数据进库排序问题 BACK,WEB显示和处理结果,谢谢大家!,
