计算机网络安全讲义.pptVIP

计算机网络安全讲义 第七讲：主动防御技术 入侵检测系统（IDS） 解决网络安全问题的主要技术手段有认证授权、数据加密、访问控制等，它们在防御网络入侵方面有一定的作用。但是网络安全是一个综合的、立体的工程，单纯依靠一些防御工具不可能满足全部的安全要求。入侵检测系统应运而生，通过动态探查网络内的异常情况，及时发出警报，有效弥补了其它静态防御工具的不足。 IDS定义 入侵检测从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象 。它是防火墙的合理补充，能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。 IDS功能 入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统的任何变更，还能给网络安全策略的制订提供指南 IDS功能 智能检测攻击行为，及时准确报警和终止会话；◆ 实时监测与追踪，并具有超强的自我防护能力；◆ 性能优越并支持多网卡、多网段同时检测；◆ 支持网络访问策略，能够检测未授权访问；◆ 集中式管理、分布式探测，适合复杂网络；◆ 透明接入不影响网络性能，使用简单方便；◆ 管理功能强大，操作简单，配置灵活方便；◆ 动态调整防火墙安全策略，实时阻断攻击； ◆ 准确检测变形攻击和欺骗攻击，漏报、误报率低；◆ 灵活的报警方式，使管理员及时了解网络安全状况；◆ 自动备份入侵检测日志，自动在线升级攻击特征库；◆ 详尽的日志记录，灵活的查询方法，快速的检索手段；◆?多样化的报表形式，可生成多种形式的统计报表； 通用IDS模型 入侵检测系统的构成 入侵检测系统一般由4个部分的组成：事件发生器、事件分析器、响应单元、事件数据库。 入侵检测系统的分类 1．按照检测类型划分 2．按照检测对象划分 （1）基于主机的入侵检测产品（HIDS） 安装在被检测的主机上，对该主机的网络进行实时连接以及系统审计日志进行智能分析和判断。 （2）基于网络的入侵检测产品（NIDS） 放置在比较重要的网段内，不停地监视网段中的各种数据包。 IDS的部署 放在边界防火墙之内，传感器可以发现所有来自Internet 的攻击，然而如果攻击类型是TCP攻击，而防火墙或过滤路由器能封锁这种攻击，那么入侵检测系统可能就检测不到这种攻击的发生。 ? 放在边界防火墙之外，可以检测所有对保护网络的攻击事件，包括数目和类型。但是这样部署会使传感器彻底地暴露在黑客之下。 放在主要的网络中枢中，传感器可以监控大量的网络数据，可提高检测黑客攻击的可能性，可通过授权用户的权利周界来发现未授权用户的行为。 ? 放在一些安全级别需求高的子网中，对非常重要的系统和资源的入侵检测，比如一个公司的财务部门，这个网段安全级别需求非常高，因此可以对财务部门单独放置一个检测器系统。 IDS的部署 IDS的选择标准 入侵检测系统——BlackICE BlackICE Server Protection 软件（以下简称BlackICE）是由ISS安全公司出品的一款著名的入侵检测系统。该软件在九九年曾获得了PC Magazine的技术卓越大奖。专家对它的评语是：“对于没有防火墙的家庭用户来说，BlackICE是一道不可缺少的防线；而对于企业网络，它又增加了一层保护措施——它并不是要取代防火墙，而是阻止企图穿过防火墙的入侵者。BlackICE集成有非常强大的检测和分析引擎，可以识别多种入侵技巧，给予用户全面的网络检测以及系统的呵护。而且该软件还具有灵敏度及准确率高，稳定性出色，系统资源占用率极少的特点。 软件版本：3.6、软件大小：6.11 M、软件语言：英文、软件类别：国外软件 / 注册版 / 网络安全、运行环境：Win9x/NT/2000/XP/2003/、下载地址： 入侵检测系统——BlackICE BlackICE安装后以后台服务的方式运行，前端有一个控制台可以进行各种报警和修改程序的配置，界面很简洁。BlackICE软件最具特色的地方是内置了应用层的入侵检测功能，并且能够与自身的防火墙进行联动，可以自动阻断各种已知的网络攻击行为。 入侵检测系统——BlackICE BlackICE具有强大的网络攻击检测能力，可以说大部分的非法入侵都会被它发现，并采取Critical、Serious、Suspicious和Information这4种级别报警（分别用红、橙黄、黄和绿4种颜色标识，危险程度依次降低）。同样，BlackICE对外来访问也设有4个安全级别