第7章入侵检测技术2.pptVIP

内容回顾 复习: 测试中的问题 防火墙技术 新内容: 入侵检测技术 防火墙技术 两种主要防火墙技术： 包过滤防火墙 代理防火墙 防火墙的体系结构 双宿主机 防火墙体系结构 被屏蔽子网体系结构 防火墙的局限性 （1）防火墙防外不防内。 （2）防火墙不能防范不通过它的连接。 （3）防火墙只实现了粗粒度的访问控制。 第7章 入侵检测技术 (Instruction Detection System) (IDS) IDS存在与发展的必然性 一、网络攻击的破坏性、损失的严重性 二、日益增长的网络安全威胁 三、单纯的防火墙无法防范复杂多变的攻击 入侵检测系统的概念 入侵检测系统IDS （ Intrusion Detection System）： 通过对计算机网络或计算机系统中若干关键点收集信息，并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。这种进行入侵检测的软件与硬件的组合被称为入侵检测系统。 入侵检测与防火墙、系统扫描器 入侵监测系统的位置： 处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和你的防火墙和路由器配合工作。 入侵检测与系统扫描器 入侵监测系统IDS与系统扫描器system scanner的区别： （1）系统扫描器是根据攻击特征数据库来扫描系统漏洞的，它更关注配置上的漏洞而不是当前进出你的主机的流量。在遭受攻击的主机上，即使正在运行着扫描程序，也无法识别这种攻击 （2）IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。 （3）总之，网络扫描器检测主机上先前设置的漏洞，而IDS监视和记录网络流量。如果在同一台主机上运行IDS和扫描器的话，配置合理的IDS会发出许多报警。 入侵检测系统的作用 入侵检测技术IDS是一种主动保护自己免受攻击的一种网络安全技术。 作为防火墙的合理补充，入侵检测技术通过对计算机网络系统中的若干关键点收集分析信息，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。 入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。它可以防止或减少网络威胁。 入侵检测系统的发展历程 1980年4月，James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》（计算机安全威胁监控与监视）的技术报告，第一次详细阐述了入侵检测的概念。 从1984年到1986年，乔治敦大学的Dorothy Denning和SRI/CSL（SRI公司计算机科学实验室）的Peter Neumann研究出了一个实时入侵检测系统模型，取名为IDES（入侵检测专家系统）。为构建入侵检测系统提供了一个通用的框架。 入侵检测系统的发展历程 1989年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM（Network Security Monitor）。 该系统第一次直接将网络流作为审计数据来源，并可以在不将审计数据转换成统一格式的情况下监控异种主机。 从此之后，入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS。 通用入侵检测系统模型 入侵检测IDS的基本结构 入侵检测系统模型包括以下几个组成部分： （1）信息收集（信息收集器也事件产生器）主要负责收集所有可能的和入侵行为有关的数据。 （2）信息分析（检测器也叫事件分析器）:分析检测入侵行为，并发出警报信号。 （3）知识库（也叫事件数据库）：提供必要的数据信息支持，如用户的历史活动档案、检测规则集合等。 （4）结果处理（控制器也叫响应单元）：根据警报信号，人工或自动做出反应动作。 入侵检测系统基本概念 事件：将IDS需要分析的数据统称为事件（event）,它可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。 事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。 事件分析器分析得到的数据，并产生分析结果。 响应单元则是对分析结果作出作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。 事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。 入侵检测系统的功能 　　 a.监测并分析用户和系统的活动； 　　b.核查系统配置和漏洞； 　　c.评估系统关键资源和数据文件的完整性；