11.3 防火墙和入侵检测.pptVIP

网络安全 * 1.3 入侵检测技术 　 入侵（Intrusion）是指任何试图危害资源的完整性、可信度和可获取性的动作。 　　 入侵检测（Intrusion Detection）是对入侵行为的检测。即发现或确定入侵行为存在或出现的动作。也就是发现、跟踪并记录计算机系统或计算机网络中的非授权行为，或发现并调查系统中可能为试图入侵或病毒感染所带来的异常活动。 网络安全 * 1.3 入侵检测技术 　 入侵检测作为一种积极主动的安全防御技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 网络安全 * 1.3 入侵检测技术 　 入侵检测系统（Intrusion Detective System，简称IDS）是从计算机网络中的若干关键点收集信息，并分析这些信息，检测网络中是否有违反安全策略的行为和遭到袭击的迹象。将入侵检测的软件与硬件进行组合便是入侵检测系统。它是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。与其他网络安全设备的不同之处在于，IDS采用积极主动的安全防御技术。 网络安全 * 1.3 通用入侵检测模型 网络安全 * 1.3 入侵检测技术 　 通用入侵检测模型（Common Intrusion Detection Framework，CIDF），阐述了一个标准的IDS的通用工作原理模型。CIDF将IDS需要分析的数据统称为事件（event），它可以是基于网络的IDS从网络中提取的数据包，也可以是基于主机的IDS从系统日志等其它途径得到的数据信息。 网络安全 * 1.3 入侵检测技术 　 入侵检测系统的功能有以下几个方面。 　　①监视用户和系统的运行情况，查找非法用户和合法用户的越权操作。 　　②检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞。 　　③对用户的非正常活动进行统计分析，发现入侵行为的规律。 　　④检查系统程序和数据的一致性和正确性。 　　⑤通过检测和记录网络中的安全违规行为，惩罚网络犯罪，防止网络入侵事件发生。 　　⑥评估系统关键资源和数据文件的完整性。 　　⑦识别已知的攻击行为和统计分析异常行为。 　　⑧操作系统日志管理，并识别违反安全策略的用户活动。 网络安全 * 1.3 入侵检测技术 　 入侵检测系统首先要解决的问题是数据源。入侵检测系统根据其检查数据的来源可分为三类： 基于主机的入侵检测系统 基于网络的入侵检测系统 混合型入侵检测系统。 网络安全 * 1.3 入侵检测技术 　 系统类型 优 点 缺 点 基于主机的入侵检测系统 ①判断准确率高 ②监控各种特定的系统活动 ③发现网络IDS系统无法发现的攻击 ④不需要额外的硬件 ⑤入门成本低 ①监测不到网络活动 ②需要占用额外的CPU和存储资源 ③需要适应不同的操作系统 基于网络的入侵检测系统 ①发现主机IDS系统无法发现的攻击 ②攻击者很难毁灭证据 ③快速监测和响应 ④能够监测到失败的攻击行为和恶意行为 ⑤独立于操作系统 ①不能处理加密通信 ②较难处理高速网络 ③不能处理不通过网络发起的攻击 网络安全 * 1.3 入侵检测技术 　 从采用检测技术的不同可将入侵检测系统分为异常检测模型和误用检测模型两种。 （1）异常检测（Anomaly Detection）模型：根据使用者的行为或资源使用状况的正常程度来判断是否入侵，而不依赖于具体行为是否出现异常来检测。异常检测与系统相对无关，通用性较强。由于不可能对整个系统内的所有用户行为进行全面地描述，而且每个用户的行为是经常改变的，所以它的主要缺陷在于误检率很高，尤其在用户数据众多，或工作方式经常改变的环境中。 网络安全 * 1.3 入侵检测技术 （2）误用检测（Misuse Detection）模型：根据已定义好的入侵模式，通过判断在实际的安全审计数据中是否出现这种入侵模式来完成检测功能。这种方法由于依据具体特征库进行判断，所以检测准确度很高，并且因为检测结果有明确的参照，也为系统管理员及时做出相应措施提供了方便。误用检测的主要缺陷在于检测范围受已有知识的局限，无法检测未知的攻击类型。另外检测系统对目标的依赖性太强，不但系统移植性不好，维护工作量大，而且将具体入侵手段抽象成知识也是