21、网络安全监测与访问控制技术解析

网络安全监测与访问控制技术解析

1. 网络蠕虫与DoS攻击检测技术

1.1 基于NetFlow和CS - MARS的检测

NetFlow和CS - MARS可检测活跃的蠕虫，还能判断感染情况是增加还是减少。CS - MARS能显示所有蠕虫流量的源IP地址，有助于IT人员列出受感染的机器。判断是否存在异常事件的关键因素并非流量大小（以bps为单位），而是新流量的创建速率，因为流量大小并不能真正表明存在攻击或蠕虫。除了CS - MARS，还有其他商业工具（如Arbor Networks PeakFlow/X© ）和非商业工具（如flow - tools和cflowd）可用于检测。

1.2 RMON技术

Remote Monitoring（RMON）是用于网络设备远程监控和管理的特定SNMP管理信息库（MIB），它能将每个支持RMON的网络设备转变为远程协议分析器，可收集多种信息：
- 主机信息 ：通过混杂模式捕获MAC地址，关联网络中发现的每个主机。
- 矩阵信息 ：用于两组地址之间的会话。
- 上层协议信息 ：一些RMON实现能理解IP、IPv6、UDP、TCP等协议，并收集这些协议的主机和会话信息。
- 数据包捕获 ：RMON设备甚至可以捕获数据包，实现远程嗅探。

RMON还具备过滤器（用于仅分析特定帧）和警报（用于在特定事件发生时生成SNMP陷阱）功能。

1.3 Cisco NAM的应用

Cisco