第7章网络防御..pptVIP

主机型入侵检测系统 网络型入侵检测系统 以检测技术为分类标准 基于误用检测（Misuse Detection）的IDS 基于异常检测（Anomaly Detection）的IDS 7.3.3 入侵检测技术 入侵检测技术研究具有综合性、多领域性的特点，技术种类繁多，涉及到许多相关学科。 从误用检测、异常检测、诱骗和响应等四个方面分析一下入侵检测的主要技术方法。 误用检测技术 专家系统 特征分析 模型推理 状态转换分析 完整性校验等 异常检测技术 异常检测是一种与系统相对无关、通用性较强的入侵检测技术。 异常检测的思想最早由Denning提出，即通过监视系统审计记录上系统使用的异常情况，可以检测出违反安全的事件。 通常异常检测都与一些数学分析方法相结合，但存在着误报率较高的问题。 异常检测主要针对用户行为数据、系统资源使用情况进行分析判断。 常见的异常检测方法主要包括统计分析、预测模型、系统调用监测以及基于人工智能的异常检测技术等。 入侵诱骗技术 入侵诱骗是指用通过伪装成具有吸引力的网络主机来吸引攻击者，同时对攻击者的各种攻击行为进行分析，进而找到有效的应对方法。 具有通过吸引攻击者，从而保护重要的网络服务系统的目的。 常见的入侵诱骗技术主要有蜜罐（Honeypot）技术和蜜网（Honeynet）技术等。 响应技术 入侵检测系统的响应技术可以分为主动响应和被动响应。 主动响应是系统自动阻断攻击过程或以其他方式影响攻击过程； 被动响应是报告和记录发生的事件。 7.3.4 Snort系统 Snort入侵检测系统是一个开放源代码的轻量级网络入侵检测系统。 Snort遵循CIDF模型，使用误用检测的方法来识别发现违反系统和网络安全策略的网络行为。 Snort系统包括数据包捕获模块、预处理模块、检测引擎和输出模块四部分组。 Snort规则库 Snort将所有已知的入侵行为以规则的形式存放在规则库中，并以三维链表结构进行组织。 Snort规则例子 Alert tcp any any-10.1.1.0/24 80(content:/cgi-bin/phf；msg:PHF probe!；) 在这个规则中，括号左面为规则头，括号中间的部分为规则选项，规则选项中冒号前的部分为选项关键字(Option Keyword)。 规则头由规则行为、协议字段、地址和端口信息3部分组成。Snort定义了五种可选的行为： Alert：使用设定的警告方法生成警告信息，并记录这个数据报文； Log：使用设定的记录方法来记录这个数据报文； Pass：忽略这个数据报文； Activate：进行alert，然后激活另一个dynamic规则。 Dynamic：等待被一个activate规则激活，被激活后就作为一条log规则执行。 7.4 网络防御的新技术 7.4.1 VLAN技术 VLAN（Virtual Local Area Network）的中文名为“虚拟局域网” 1999年IEEE颁布的802.1Q协议标准草案 定义为：虚拟局域网VLAN是由一些局域网网段构成的与物理位置无关的逻辑组，而每个逻辑组中的成员具有某些相同的需求。 VLAN是用户和网络资源的逻辑组合，是局域网给用户提供的一种服务，而并不是一种新型局域网。 VLAN的划分方式 VLAN的划分可依据不同原则，常见的方式： 基于端口、基于MAC地址和基于IP子网等几种方法。 基于端口的VLAN划分 这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。 基于MAC地址的VLAN划分 按MAC地址把一些节点划分为一个逻辑子网，使得网络节点不会因为地理位置的变化而改变其所属的网络，从而解决了网络节点的变更问题。 基于IP子网的VLAN划分 基于子网的VLAN，则是通过所连计算机的IP地址，来决定其所属的VLAN。 VLAN的安全性 广播风暴防范 广播风暴的控制：物理网络分段和VLAN的逻辑分段，同一VLAN处于相同的广播域，通过VLAN的划分可以有效地阻隔网络广播，缩小广播域，控制广播风暴。 信息隔离 同一个VLAN内的计算机之间便可以直接通信，不同VLAN间的通信则要通过路由器进行路由选择、转发，这样就能隔离基于广播的信息，防止非法访问， 控制IP地址盗用 该VLAN内任何一台计算机的IP地址都必须在分配给该VLAN的IP地址范围内，否则将无法通过路由器的审核，也就不能进行通信， VLAN存在的问题 容易遭受欺骗攻击和硬件依赖性问题。 欺骗攻击主要包括MAC地址欺骗、ARP欺骗以及IP盗用转网等问题； 硬件依赖是指VLAN的组建要使用交换机，并且不同主机之间的信息交换要经过交换机，所以VLAN的安全性在很大程度上依赖于所使用的交换机，以及对交换机的配置。 7.4.2