安全审核与风险祥解.ppt

入侵检测系统常用的检测方法 入侵检测系统常用的检测方法有： 特征检测 统计检测 专家系统 文件完整性检查 入侵检测系统常用的检测方法 特征检测 特征检测对已知的攻击或入侵的方式做出正确性的描述，形成相应的事件模式 检测方法上与计算机病毒的检测方式类似 应用广泛 预报检测的准确率较高 入侵检测系统常用的检测方法 统计检测 统计模型常为异常检测 在统计模型中常用的测量参数包括： 审核事件的数量 间隔时间 资源消耗情况 常用的入侵检测5种统计模型为： 操作模型 方差 多元模型 马尔柯夫过程模型 时间序列分析 入侵检测系统常用的检测方法 专家系统 专家系统是基于一套由专家经验事先定义的规则的推理系统。 专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审核记录的完备性和实时性。 专家系统对系统的适应性比较强，可以较灵活地适应广谱的安全策略和检测需求。 入侵检测系统常用的检测方法 文件完整性检查 文件完整性检查是指系统检查计算机中自上次检查后文件变化的情况 文件完整性检查系统的优点 文件完整性检查系统的弱点 基于内核的入侵检测系统（LIDS） 什么是LIDS 基于Linux内核的入侵检测和预防系统 LIDS的三点特性 入侵防护 入侵监测 入侵响应 基于内核的入侵检测系统（LIDS） LIDS文档工程 安装LIDS 下载、安装和配置LIDS补丁和相关正式的Linux内核 在Linux系统上安装LIDS和系统管理工具 配置LIDS系统 入侵检测技术发展方向 入侵技术的发展与演变 入侵或攻击的综合化与复杂化 入侵主体对象的间接化 入侵或攻击的规模扩大 入侵或攻击技术的分布化 攻击对象的转移 入侵检测技术的发展方向 分布式入侵检测 智能化入侵检测 全面的安全防御方案 知名的入侵检测系统软件 金诺网安入侵检测系统 Cisco Secure入侵检测统 清华得实NetDT(r)2000 东软Net Eye IDS 东软IDS 中科网威“天眼”入侵侦测系统 汉邦入侵检测系统HBIDS 安氏领信IDS 中联绿盟“冰之眼” 瑞星RIDS-100 如何选择入侵检测产品 可以根据以下因素选择入侵检测产品： 系统的价格 特征库升级与维护的费用 对于网络入侵检测系统，最大可处理流量（包/秒 PPS）是多少 该产品容易被躲避吗 产品的可伸缩性 运行与维护系统的开销 产品支持的入侵特征数 产品有哪些响应方法 是否通过了国家授权的机构的评测 实验8-1：了解和认识CA Session Wall 的功能 在本实验中，我们将会学习到IDS的原理和功能，以及Session Wall的工作环境。 实验8-2：了解和掌握Session Wall 的环境 在本实验中我们将了解Session Wall 的强大功能以及IDS 在网络中的地位与作用 。 实验8-3：在Session Wall 中创建、设置、编辑审核规则 本实验主要要求大家掌握Session Wall 中规则编辑的方法细节 。 EAL的七个类别 类 别 描 述 1 功能上的测试：分析产品的声明，和实施TOE的基本测试。 2 结构上的测试：需要选择TOE的重要元素来经受具有权威资格的测试，例如程序开发者。 3 系统的测试和检查：进行测试的要求非常严格，在有限的基础上，操作系统的所有元素都必须独立地检验。 4 系统地设计，测试和回顾：这一级别的保证是允许已经完成的程序和以前实施的系统进行更改的最高保证。这一级别还需要操作系统通过抵御低级别的攻击的测试。 5 半正式的设计和测试：操作系统必须可以经受适度的，比较复杂的攻击。 6 半正式地验证设计和测试：与EAL 5相同，但是需要第三方的TOE设计核实。 7 操作系统必须经完整地回顾和被证明能够抵御灵活的攻击。 增强路由器安全 增强路由器安全的一般方法包括： 严格控制路由器的物理访问权限 及时获取最新的操作系统（包括NT系统做路由和专门的路由器操作系统，例如Cisco IOS） 确保路由器不受拒绝服务攻击的影响 确保不让路由器在不知情的情况下成为拒绝服务攻击的帮凶 确保路由器不受拒绝服务攻击 过 程 描 述 入口和出口过滤 配置你的路由器只对那些具有合法的内部IP地址的数据包进行路由。你的路由器应当丢弃任何不具有合法的内部IP地址的包。这些设置有助于网络不成为发送虚假IP包的源头。要获得更多的信息请查看Internet Draft ietf-grip-isp-07（ISP的安全展望） 禁