第6章 IDS与IPS-2.pptVIP

第6章 IDS与IPS 本章学习目标 入侵检测系统模型及功能 入侵检测系统的工作原理及分类 常用入侵检测技术 入侵防御系统的工作原理及分类 防火墙、IDS与IPS之间的关系 第6章 IDS与IPS 传统防火墙在使用的过程中暴露出以下的不足和弱点：入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门；防火墙不能防止来自网络内部的袭击，通过调查发现，将近65%的攻击都来自网络内部；传统防火墙不具备对应用层协议的检查过滤功能，无法对Web攻击、FTP攻击等做出响应；防火墙对于病毒蠕虫的侵袭也是束手无策。 因此，人们开始了对入侵检测系统的研究及开发。 6.1 入侵检测系统概述 IDS是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全技术，是进行入侵检测的软件与硬件的组合。 6.1 入侵检测系统概述 6.1.1 入侵检测系统的功能 （1）监视用户和系统的运行状况，查找非法用户和合法用户的越权操作。 （2）对系统的构造和弱点进行审计。 （3）识别分析著名攻击的行为特征并报警。 （4）对异常行为模式进行统计分析。 （5）评估重要系统和数据文件的完整性。 （6）对操作系统进行跟踪审计管理，并识别用户违反安全策略的行为。 （7）容错功能。即使系统发生崩溃，也不会丢失数据，或者系统重新启动时重建自己的信息库。 6.1 入侵检测系统概述 6.1.2 入侵检测系统的模型 公共入侵检测框架（Common Intrusion Detection Framework，CIDF） 模型 6.1 入侵检测系统概述 6.1.3 入侵检测技术及其发展趋势 1．入侵检测技术 入侵检测技术是为保证计算机网络系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机中违反安全策略行为技术。 （1）误用检测技术 误用检测技术应用了系统缺陷和特殊入侵的累积知识 （2）异常检测技术 根据用户的行为和系统资源的使用状况判断是否存在入侵。 6.1 入侵检测系统概述 2．入侵检测技术的发展趋势 （1）分布式入侵检测 （2）智能化入侵检测 （3）全面的安全防御方案 （4）分析技术的改进 （5）向高度可集成性发展 6.1 入侵检测系统概述 6.1.4 入侵检测的流程 1．信息收集 （信息一般来自以下4个方面） （1）系统和网络日志文件 （2）非正常的系统目录和文件改变 （3）非正常的程序执行 （4）物理形式的入侵信息 2．信息分析（3种技术） （1）模式匹配 （2）统计分析 3）完整性分析 6.2 入侵检测系统的分类 6.2.1 基于主机的入侵检测系统（HIDS） 在每个要保护的主机上运行一个代理程序，一般只能检测该主机上发生的入侵 。 1．主机入侵检测系统的优点 （1）主机入侵检测系统对分析“可能的攻击行为”非常有用。 （2）误报率低。 2．主机入侵检测系统的弱点 （1）部署代价较大，降低了应用系统的效率。 （2）依赖于服务器固有的日志与监视能力。 （3）除了监测自身的主机以外，根本不监测网络上的情况。 6.2 入侵检测系统的分类 6.2.2 基于网络的入侵检测系统（NIDS） 该类系统一般被动地在网络上监听整个网络上的信息流，通过捕获网络数据包，进行分析，检测该网段上发生的网络入侵 。 6.2 入侵检测系统的分类 1．网络入侵检测系统的优点 （1）能够检测到超过授权的非法访问。 （2）不需要改变服务器等主机的配置。 （3）不会成为系统中的关键路径。发生故障不会影响正常业务的运行。 2．网络入侵检测系统的弱点 （1）只检查它直接连接网段的通信，不能检测在不同网段的网络包。 （2）可以检测出一些的普通攻击，而很难检测一些复杂的需要大量计算与分析时间的攻击。 （3）产生大量的分析数据流量。 6.2 入侵检测系统的分类 6.2.3 混合型入侵检测系统 基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，两者的优缺点可以互补，如果将它们无缝地结合起来部署在网络内，则会构架成一套完整的、立体的主动防御体系。 一些高端的IDS产品都采用HIDS和NIDS有机结合的混合型IDS架构。 6.3 典型入侵检测产品介绍 6.3.1 金诺网安入侵检测系统KIDS 1．KIDS的模块组成 6.3 典型入侵检测产品介绍 2．KIDS的主要功能 （1）识别各种黑客攻击或入侵的方法和手段。 （2）监控内部人员的误操作、资源滥用或恶意行为。 （3）实时的报警和响应，帮助用户及时发现并解决安全问题。 （4）核查系统漏洞及后门。 （5）协助管理员加强网络安全管理。 6.3 典型入侵检测产品介绍 6.3.2 华强IDS 1