网络安全10-入侵检测.pptVIP

网络安全 入侵检测 网络安全的构成 物理安全性 设备的物理安全：防火、防盗、防破坏等 通信网络安全性 防止入侵和信息泄露 系统安全性 计算机系统不被入侵和破坏 用户访问安全性 通过身份鉴别和访问控制，阻止资源被非法用户访问 数据安全性 数据的完整、可用 数据保密性 信息的加密存储和传输 安全的分层结构和主要技术 主要的传统安全技术 加密 消息摘要、数字签名 身份鉴别：口令、鉴别交换协议、生物特征 访问控制 安全协议： IPSec、SSL 网络安全产品与技术：防火墙、VPN 内容控制: 防病毒、内容过滤等 传统安全技术的局限性 传统的安全技术采用严格的访问控制和数据加密策略来防护 在复杂系统中，这些策略是不充分的 这些措施都是以减慢交易为代价的 大部分损失是由内部引起的 82%的损失是内部威胁造成的 传统安全技术难于防内 传统的安全技术基本上是一种被动的防护，而如今的攻击和入侵要求我们主动地去检测、发现和排除安全隐患 传统安全措施不能满足这一点 入侵检测系统概述 入侵检测系统的定义 入侵（Intrusion） 企图进入或滥用计算机或网络系统的行为 可能来自于网络内部的合法用户 入侵检测（Intrusion Detection） 对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性 入侵检测系统（Intrusion Detection System， IDS） 定义：进行入侵检测的软件与硬件的组合便是入侵检测系统 功能：监控计算机系统或网络系统中发生的事件，根据规则进行安全审计 为什么需要入侵检测系统 入侵很容易 入侵教程随处可见 各种工具唾手可得 防火墙不能保证绝对的安全 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 防火墙是锁，入侵检测系统是监视器 入侵检测系统IDS 通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象 入侵检测的任务 检测来自内部的攻击事件和越权访问 85％以上的攻击事件来自于内部的攻击 防火墙只能防外，难于防内 入侵检测系统作为传统安全工具的一个有效的补充 入侵检测系统可以有效的防范防火墙开放的服务入侵 通过事先发现风险来阻止入侵事件的发生，提前发现试图攻击或滥用网络系统的人员 检测其它安全工具没有发现的网络工具事件 提供有效的审计信息，详细记录黑客的入侵过程，从而帮助管理员发现网络的脆弱性 入侵检测相关术语 IDS(Intrusion Detection Systems) 入侵检测系统 Promiscuous 混杂模式，即IDS网络接口可以看到网段中所有的网络通信量，不管其来源或目的地 Signatures 特征，即攻击的特征 Alerts 警告 Anomaly 异常 Console 控制台 Sensor 传感器，即检测引擎 入侵检测系统分类 - 1 按照数据来源： 基于主机 系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机 基于网络 系统获取的数据是网络传输的数据包，保护的是网络的运行 入侵检测系统分类 - 2 按系统各模块的运行方式 集中式 系统的各个模块包括数据的收集分析集中在一台主机上运行 分布式 系统的各个模块分布在不同的计算机和设备上 根据时效性 脱机分析 行为发生后，对产生的数据进行分析 联机分析 在数据产生的同时或者发生改变时进行分析 基于主机的入侵检测系统 基于主机的入侵检测系统: Host-Based IDS(HIDS) 系统安装在主机上面，对本主机进行安全检测 优点 审计内容全面，保护更加周密 视野集中 适用于加密及交换环境 易于用户自定义 对网络流量不敏感 缺点 额外产生的安全问题 HIDS依赖性强 如果主机数目多，代价过大 不能监控网络上的情况 基于网络的入侵检测系统 基于网络的入侵检测系统：Network-Based IDS(NIDS) 系统安装在比较重要的网段内 在共享网段上对通信数据进行侦听采集数据 优点 检测范围广，提供对网络通用的保护 无需改变主机配置和性能，安装方便 独立性，操作系统无关性 侦测速度快 隐蔽性好 较少的监测器，占资源少 缺点 不能检测不同网段的网络包 很难检测复杂的需要大量计算的攻击 协同工作能力弱 难以处理加密的会话 IDS基本结构 入侵检测系统包括三个功能部件 信息收集 信息分析 结果处理 信息收集 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为 需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点 入侵检测很大程度上依赖于收集信息的可靠性和正确性 要保证用来检