- 将入侵检测系统置于防火墙内部,使得很多对网络的攻击首先被防火墙过滤,也就是防火墙是首当其冲的,从而也就减少了对内部入侵检测系统的干扰,提高了入侵检测系统的准确率,但是其检测能力不会变化
- VPN的主要安全服务:保密性服务(防止传输的信息被监听)、完整性服务(防止传输的信息被修改)、认证服务(提供用户和设备的访问认证,防止非法接入)
- VPN有多种实现技术,按照VPN在TCP/IP协议层的实现方式,可以将其分为链路层VPN,网络层VPN、传输层VPN。网络层VPN实现方式有受控路由过滤、隧道技术
- IPSec的功能可以分为认证头AH、封装安全载荷ESP以及密钥交换IKE。其中AH用户数据完整性认证和数据认证;ESP提供数据包的机密性服务,也包括完整性和数据源认证
- SSL由Netscape开发,包含握手协议、密码规格变更协议、报警协议和记录层协议。其中,握手协议用于身份鉴别和安全参数协商;密码规格变更协议用于通知安全参数的变更;报警协议用于关闭通知和对错误进行报警;记录层协议用于传输数据的分段、压缩及解压缩、加密及解密、完整性校验
- 国家密码管理局颁布了(IPSec VPN技术规范)和《SSL VPN技术规范》,其中IPSec VPN产品的主要功能要求包括:随机数生成、密钥协商、安全报文封装、NAT穿越、身份鉴别
- 在CIDF模型中,入侵检测系统由事件产生器、事件分析器、响应单元和事件数据库4个部分构成。事件产生器从整个计算环境中获得时间,并向系统的其他部分提供事件;事件分析器分析所得到的数据,并产生分析结果;响应单元对分析结果做出反应,如切断网络连接,改变文件属性、简单报警等应急响应;事件数据库存放各种中间件和最终数据,数据存放的形式既可以是复杂的数据库,也可以是简单的文本文件
- 基于规则的误用检测方法是将攻击行为或入侵模式表示成一种规则,只要符合规则就认定他是一种入侵行为。这种方法的优点是,检测起来比较简单,但是也存在缺点,即检测受到规则库限制,无法发现新的攻击,并且容易受到干扰。目前,大部分IDS采用的是这种方法。Snort是典型的基于规则的误用检测方法的应用实例
- 根据入侵检测应用对象,常见的产品类型有Web IDS、数据库IDS、工控IDS。其中Web IDS利用Web网络通信流量或者Web访问日志等信息,检测常见的Web攻击;数据库IDS检测常见的针对数据库的攻击
- Snort规则由两部分组成,即规则头和规则选项。规则头包含规则操作(action)、协议(protocol)、源地址和目的IP地址及网络掩码、源端口和目的端口信息。规则选项包含报警信息、被检查网络包的部分信息及规则应采取的动作
- 网闸的技术原理是使用一个具有控制功能的开关读写存储设备,通过开关的设置来连接或切断两个独立主机系统的数据交换,两个独立主机系统与网闸的连接是互斥的,因此,两个独立主机不存在通信的物理连接,而且主机对网闸的操作只有“读”和“写”
- 网闸:使用一个具有控制功能的开关读写存储涉笔,通过开关的设置来连接或者切断两个独立主机系统的数据交换
- Windows日志有三种类型:系统日志(Sysevent.evt)、应用程序日志(Appevent.evt)和安全日志(Secevent.evt),安全日志记录与安全相关的事件,只有系统管理员可以访问
- 网络审计数据涉及系统整体的安全性和用户隐私,为保护审计数据的安全,通常的安全技术措施包括:系统用户分权管理、审计数据强制访问、审计数据加密、审计数据隐私保护、审计数据安全性保护
- 网络入侵检测是网络安全审计引用场景类型,对网络设备、安全设备、应用系统日志信息进行实时收集和分析,可检测发现黑客入侵、扫描渗透、暴力破解、网络蠕虫、非法访问、非法外联和DDos攻击。系统漏洞可通过漏洞扫描设备发现,并不能通过网络入侵检测发现
- 依据技术型分类:漏洞分为两大类:非技术型安全漏洞(这方面的漏洞来自制度、管理流程、人员、组织结构等。包括网络安全责任主体不明确、网络安全策略不完备、网络安全操作技能不足、网络安全监督缺失、网络安全特权控制不完备)、技术性安全漏洞(这方面的漏洞来源有设计错误、输入验证错误、缓冲区溢出、意外情况处置错误、访问验证错误、配置错误、竞争条件、环境错误等)
3562
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
