入侵检测原理.pptxVIP

入侵检测原理目录1 常见攻击手段2 入侵检测原理3 入侵检测设备配置4 安全审计概述5 安全事件处理6 入侵态势DDoS远程溢出远程口令猜测SQL注入权限提升本地溢出口令嗅探本地口令破解善后攻击后门安装擦除痕迹目录1 常见攻击手段2 入侵检测原理3 入侵检测设备配置4 安全审计概述5 安全事件处理6 入侵态势传统的防火墙系统L5~L7：应用层7层应用威胁如何应对？L4：传输层L3：网络层IP包头IP包头正文载荷 蠕虫病毒正文载荷 非法内容 L2：数据链路层FW：传统4层安全网关L1：物理层IP状态检测检查地址对和端口动态端口四层访问控制检查五元组静态协议分析检查检查固定端口协议 IP包头非法P2P下载什么是入侵检测系统Intrusion Detection System 能够收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到入侵的迹象，扩展系了统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。 实时监测网络流量的内容和带宽分配情况识别已知的进攻活动模式并报警基于异常行为模式的统计分析识别用户违反安全策略的网络行为基于应用的用户行为审计，安全事件回放什么是入侵检测监视和报警巡逻保安进入系统的安全门网络入侵检测防火墙和路由器访问控制列表安全代理程序闭路电视监控室安全运输读卡器身份识别、AAA认证、访问控制服务器及证书验证加密及虚拟专网 (VPN)中央控制的安全和策略管理入侵检测及防护技术演进历程第三阶段第二阶段IPS+IDS+FW深度融合技术2006年 ~第一阶段IPS防御技术2005年 ~ 2006年IDS检测技术2000年 ~ 2005年NIDS基础能力IDS定义：“Intrusion Detection Systems，入侵检测系统IDS的两个关键特征： 深入七层的数据流攻击特征检测（可检测蠕虫、基于Web的攻击、利用漏洞的攻击、网页篡改、木马、病毒、P2P滥用、DoS/DDoS等） 旁路部署，实时检测报警 NIDS 包头协议数据内容IDS内部网络FW交换机NIPS基础能力IPS定义：Intrusion Prevention System，入侵防御系统IPS的两个关键特征： 深入七层的数据流攻击特征检测（可检测蠕虫、基于Web的攻击、利用漏洞的攻击、网页篡改、木马、病毒、P2P滥用、DoS/DDoS等） 在线部署，实时阻断攻击 NIPS 包头协议数据内容内部网络IPSFW交换机IPS和IDS的对比Attack Time NIDS Response TimeDetect TimeIPSIDS部署方式在线部署旁路部署对网络设备要求不依赖网络设备依赖于网络设备的流量镜像响应方式主要是阻断加告警，也可设置为仅告警告警，后续需要人为干预，支持与防火墙联动，但标准为统一实现思路精确检测、实时阻断检测告警检测引擎多维度检测，智能分析多重检测可靠性机制很高低，旁路部署，可靠性要求低入侵检测的产生与发展1980年，James Anderson最早提出入侵检测概念1986年，D．E．Denning首次给出了一个入侵检测的抽象模型，并将入侵检测作为一种新的安全防御措施提出。1988年，创建了基于主机的系统，IDES，Haystack等1990年，提出基于网络的IDS系统,有NSM，NADIR， DIDS等1999年，SRI研究出用于大型网络的EMERALD2003年6月Gartner发布了题为《入侵检测系统已“死”》的研究报告。IDS基本结构入侵检测系统包括三个功能部件（1）信息收集（2）分析引擎（3）响应部件入侵检测系统工作模式Step1 ： 从系统不同环节收集信息，并向系统的其他部分提供此事件Step2 ： 分析信息寻找入侵活动特征，并产生分析结果Step3： 自动对检测到的行为做出响应，它可以切断连接、改变文件属性等强烈反应，也可以只是简单的报警Step4 ： 事件数据库是存放各种中间和最终数据的地方的统称事件收集器Event Generators事件分析器Event Analyzers响应单元Response Units网络Network主机Host应用程序Aplication入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息尽可能扩大检测范围从一个源来的信息有可能看不出疑点信息收集信息收集的来源系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为分析引擎模式匹配统计分析完整性分析，往往用于事后分析分析引擎模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为一般来讲，