《04第四讲 计算机网络安全 第3课》.pdf

河海大学郑峋如 电子商务安全与风险管理讲稿 20 10-05 第四讲 计算机网络安全 （第3 课） 目录 第四讲 计算机网络安全 1 4.4 入侵检测系统 1 4.4.1 入侵检测概述 1 4.4.2 入侵检测系统的分类2 4.4.3 入侵检测系统的部署3 4.5 计算机病毒及防治5 4.5.1 计算机病毒概述5 4.5.2 网络防病毒技术6 4.5.4 计算机病毒的清除8 4.5.5 网络防病毒技术发展趋势9 第四讲 计算机网络安全 4.4 入侵检测系统 随着网络技术的发展，网络环境变得越来越复杂，对于网络安全来说，单 纯的防火墙技术暴露出明显的不足和弱点，如无法解决安全后门问题；不能阻止 网络内部攻击，而调查发现，50 ％以上的攻击都来自内部；不能提供实时入侵检 测能力；对于病毒等束手无策等。 因此很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全 性，其中一个有效的解决途径就是入侵检测。入侵检测系统可以弥补防火墙的不 足，为网络安全提供实时的入侵检测并采取相应的防护手段，如记录证据、跟踪 入侵、恢复或断开网络连接等。这引发了人们对入侵检测技术研究和开发的热情。 4.4.1 入侵检测概述 入侵指的就是试图破坏计算机保密性、完整性、可用性或可控性的一系列 活动。入侵活动包括非授权用户试图存取数据，处理数据，或者妨碍计算机的正 常运行。入侵检测就是对计算机网络和计算机系统的关键结点的信息进行收集分 析，检测其中是否有违反安全策略的事件发生或攻击迹象，并通知系统安全管理 员。 入侵检测（intrusion detection ）技术是一种主动保护自己免受攻击的一种网 络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击， 扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应）， 提高了信息安全基础结构的完整性。 一般把用于入侵检测的软件、硬件合称为入侵检测系统（intrusion detection system，IDS ）。入侵检测系统主要执行如下任务： 第 1 页 共 9 页 河海大学郑峋如 电子商务安全与风险管理讲稿 20 10-05 （1）监视、分析用户及系统活动； （2 ）系统构造和弱点的审计； （3 ）识别反映已知进攻的活动模式并向相关人士报警； （4 ）异常行为模式的统计分析； （5 ）评估重要系统和数据文件的完整性； （6 ）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 入侵检测系统被认为是防火墙之后的第二道安全闸门，在不影响网络性能 的情况下能对网络进行监测。它可以防止或减轻上述的网络威胁。 4.4.2 入侵检测系统的分类 入侵检测系统按其输入数据的来源来看，可以分为以下三种：  基于主机的入侵检测系统  基于网络的入侵检测系统  采用上述两种数据来源的分布式入侵检测系统 1. 基于主机的入侵检测系统 其输入数据来源于系统的审计日志，一般只能检测该主机上发生的入侵。 主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以 通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵 检测系统保护的一般是所在的系统。 尽管主机型 IDS 的缺点显而易见：必须为不同平台开发不同的程序、增加 系统负荷、所需安装软件数量众多等，但是内在结构却没有任何束缚，同时可以 利用操作系统本身提供的功能、并结合异常分析，更准确的报告攻击行为。 2. 基于网络的入侵检测系统 其数据来源于网络的信息流，能够检测该网段上发生的网络入侵。网络型 入侵检测系统的数据源则是网络上的数据包。往往将一台机器的网卡设于混杂模 式（promiscuous mode ），监听本网段内所有的数据包并进行判断。一般网络型入 侵检测系统担负着保护整个网段的任务。 不难看出，网络型ID