网络安全与IDS教案.pptVIP

网络安全与IDS 学习导航 网络安全 什么是网络安全 影响网络安全的因素 入侵基本流程 IDS（入侵检测系统） 什么是IDS IDS的分类及其布曙 IDS系统组成 IDS工作流程 IDS的未来 IDS存在的不足 IPS（入侵防御系统） 网络安全与IDS 网络安全 一.什么是网络安全 网络安全： 是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统能连续可靠正常地运行，网络服务不中断。 网络安全应具有以下五个方面的特征： 保密性： 信息不泄露给非授权用户、实体或过程，或供其利用的特性。 完整性： 数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性： 可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击； 可控性：对信息的传播及内容具有控制能力。 可审查性： 出现安全问题时提供依据与手段构建网络安全系统，一方面由于要进行认证、加密、监听，分析、记录等工作，由此影响网络效率，并且降低客户应用的灵活性；另一方面也增加了管理费用。 二.影响网络安全的因素 网络结构因素 网络基本拓扑结构有3种：星型、总线型和环型。一个单位在建立自己的内部网之前，各部门可能已建 造了自己的局域网，所采用的拓扑结构也可能完全不同。在建造内部网时，为了实现异构网络间信息的通信，往往要牺牲一些安全机制的设置和实现，从而提出更高的网络开放性要求。 网络协议因素 在建造内部网时，用户为了节省开支，必然会保护原有的网络基础设施。另外，网络公司为生存的需要，对网络协议的兼容性要求越来越高，使众多厂商的协议能互联、兼容和相互通信。这在给用户和厂商带来利益的同时，也带来了安全隐患。如在一种协议下传送的有害程序能很快传遍整个网络。 地域因素 由于内部网Intranet既可以是LAN也可能是WAN(内部网指的是它不是一个公用网络，而是一个专用网络)，网络往往跨越城际，甚至国际。地理位置复杂，通信线路质量难以保证，这会造成信息在传输过程中的损坏和丢失，也给一些”黑客”造成可乘之机。 用户因素 企业建造自己的内部网是为了加快信息交流，更好地适应市场需求。建立之后，用户的范围必将从企业员工扩大到客户和想了解企业情况的人。用户的增加，也给网络的安全性带来了威胁，因为这里可能就有商业间谍或“黑客” 主机因素 建立内部网时，使原来的各局域网、单机互联，增加了主机的种类，如工作站、服务器，甚至小型机、大中型机。由于它们所使用的操作系统和网络操作系统不尽相同，某个操作系统出现漏洞(如某些系统有一个或几个没有口令的账户)，就可能造成整个网络的大隐患。 如何保证网络信息安全　 加密技术 对称加密 非对称加密 认证技术 数字签名 数字证书 使用网络安全设备 防火墙 IDS IPS 常见入侵 主要有四种攻击方式中断、截获、修改和伪造。 中断 是以可用性作为攻击目标，它毁坏系统资源，使网络不可用。如Dos拒绝服务，synflood、 arp欺骗、land attack、死亡之PING、 截获 是以保密性作为攻击目标，非授权用户通过某种手段获得对系统资源的访问。 如sniffer，IDS本身就是一个Sniffer 修改 是以完整性作为攻击目标，非授权用户不仅获得访问而且对数据进行修改。 如Tcp会话劫持 伪造 是以完整性作为攻击目标，非授权用户将伪造的数据插入到正常传输的数据中。 基本入侵流程 缓冲区溢出 缓冲区溢出 网络安全与IDS 网络安全 一、什么是IDS 入侵检测： （Intrusion Detection）通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。 入侵检测系统的发展概况 1980年，James P. Anderson的《计算机安全威胁监控与监视》第一次详细阐述了入侵检测的概念 1990年，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM，入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基主机的IDS 从20世纪90年代到21世纪初，入侵监测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。 二. IDS的分类及布曙 根据检测对象的不同： 基于主机的入侵检测系统 基于网络入侵检测 分布式的入侵检测系统 按照其采用的方法： 基于行为的入侵检测系统 基于模型推理的入侵检测系统 按照检测时间分为： 实时入侵检测系统 事后入侵检测系统 基于主机的入侵检测系统 以系统日志、应用程序日志等作为数据源 主机型入侵检测系