网络安全入侵检测技术要点详解.pptVIP

网络安全入侵检测技术 学习目标 网络安全的现状及产生的原因 入侵检测的概述 入侵检测系统 Snort入侵检测系统 网络安全的现状及产生的原因 现状 任何事物都有它的两面性,网络在带给人们便利的同时,也隐含着巨大的威胁。事实证明,从互联网出现的时刻开始,安全隐患就同时存在。全世界数以千计的企业机构都不同程度的遭到过网络攻击。由于网络系统是一个资源完全开放的系统,黑客就可以利用这个交互式的平台来进行自己的入侵行为。 根据资料统计,80%的网络攻击来自内部,他们的雇员非法滥用互联网资源,包括下载色情图片后进行软件盗版。从这些实例可以看出,现今世界上网络安全问题其实已经愈演愈烈,不管是防范严密的军事系统或是一般公司企业都或多或少的遭受过不同程度的攻击。依据美国安全部门统计,每年美国因为网络安全的损失就高达75亿美元。从此可以看出,绝对安全的系统是不存在的,任何开放的系统都可能有漏洞存在。当这些漏洞被一些拥有很高的技术水平的黑客人员获取后,就有可能给互联网用户带来巨大的损失。因此,网络安全问题是互联网发展的必然产物。 网络安全的现状及产生的原因 产生的原因 （1）人为的无意失误 （2）人为的恶意攻击 （3）网络软件的漏洞和“后门” 入侵检测概述 入侵检测的概念 入侵检测(ID,Instrusion Detection)通过系统审计数据,包括收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为,对企图入侵、正在进行入侵或己发生的入侵进行识别,并采取相应保护措施的一种技术。 入侵检测技术 就是通过从计算机网络或计算机系统的关键点收集信息，然后对这些信息进行分析，从中发现网络或系统中的违反安全策略的行为和被攻击的迹象； 入侵检测技术与防火墙的区别 防火墙是根据事先设定的规则进行被动过滤 入侵检测技术是一种主动保护自己免受攻击的网络防御技术。 入侵检测系统 入侵检测系统的概念 具有入侵检测功能的系统称为入侵检测系统(Ins,Intrusion Detection system)。入侵检测系统的作用主要体现在以下几个方面: (1)识别入侵者; (2)识别入侵行为; (3)检测和监视已成功的安全突破; (4)为对抗入侵及时提供重要信息,阻止事件的发生和事态的继续扩大; (5)使系统恢复正常工作,同时收集证据。 基于主机的入侵检测系统将检测模块驻留在受保护系统上,通过提取被保护系统的运行数据并进行入侵分析来实现检测功能。HIDS的检测目标主要是主机系统和系统本地用户,而不监测网络上的情况,主要目的是检测特权滥用攻击、关建数据访问及修改、安全配置的变化。基于主机的入侵检测产品通常是安装在被重点检测的主机之上,主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。 入侵检测系统（IDS）部署方案 Snort入侵检测系统 概念 Snort是由一个简单的网络管理工具发展分布式入侵检测系统，被用于各种与入侵检测相关的活动，可以用作嗅探器、包记录器或者网络入侵检测系统NIDS。 工作原理 从本质上来说,Snort是一个基于误用检测的NIDS。它使用规则库中的定义的规则来检查网络中有问题的数据包,一个规则被触发后会产生一条报警信息。Snort启动后,进行实始化工作,对命令进行解释,从规则库中读入检测规则,生成用于入侵检测的二维规则链表,然后进行循环抓包、规则匹配过程。数据包嗅探器从网络中抓取数据包,再通过解码器进行解析后转换成特定的数据结构,然后预处理器调用处理函数对解码后的数据包进行预处理,接着检测引擎将数据包与规则连表中的规则进行匹配,若匹配成功,则表明发生了入侵行为,最后调用应用的输出函数进行报警并保存日志。 Snort入侵检测系统 Snort入侵检测系统 Snort系统结构及模块分析 Snort入侵检测系统 Snort系统结构及模块分析 包解码器:Snort的包解码器支持以太网等媒体介质。包解码器所做的所有工作就是为了检测引擎准备数据。 预处理器：预处理器的作用是对数据包进行预处理,以方便检测引擎对数据包进行检查和处理。预处理器并不是简单的数据转换,它具有数据分片重组、流重组、代码转换、一次性检测和过滤数据等功能。 检测引擎:检测引擎是Snort的心脏。它主要负责按照启动时加载的规则,对每个数据包进行分析。检测引擎将Snort规则分解为链表头和链表选项进行引用。链表头由诸如源/目标IP地址及端口号等这些普通信息标识。 日志记录/报警系统:报警和日志是两个分离的子系统。日志允许将包解码收集到的信息以可读的格式或以tCpdump格式记录下来,可以配置报警系统,使其将报警信息发送到sysIog或数据库中。在进行测试或在入侵学习过程当中,还可以关掉