[网管员必读——网络安全第2版第六章.ppt

[网管员必读——网络安全第2版第六章.ppt

  1. 1、本文档共31页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
[网管员必读——网络安全第2版第六章

第六章 IDS与IPS 本章介绍的是IDS(入侵检测系统)和IPS(入侵防御系统)两种网络安全防护技术及应用。 本章重点如下: 什么是入侵检测系统及主要类型 主要IDS技术 主要IDS模型及各自特点 IDS工作原理 IPS工作原理 IPS的分类IDS的主要不足和IPS的主要优势 防火墙、IDS和IPS比较 6.1 入侵检测系统(IDS)基础 入侵检测系统(IDS,Intrusion Detection Systems)是目前预防黑客攻击应用最为广泛的技术之一。 6.1.1 入侵检测系统概述 入侵检测(Intrusion Detection,ID)就是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS)。 入侵检测系统通常包含3个必要的功能组件:信息来源、分析引擎和响应组件。目前,IDS策略按检测范围分为十二大类,其中包含了1400余种入侵规则,包括TCP、UDP、ICMP、IPX、HTTP、FTP、Telnet、SMTP、NFS、rsh、DNS、POP2、POP3、IMAP、TFTP、Finger、SSL、NETBIOS等协议类型。 具体内容参见书中介绍。 6.1.2 主要入侵检测技术 入侵检测系统中最核心的问题是数据分析技术,包括对原始数据的同步、整理、组织、分类以及各种类型的细致分析,提取其中所包含的系统活动特征或模式,用于对正常和异常行为的判断。采用哪种数据分析技术,将直接决定系统的检测能力和效果。 ?数据分析技术主要分为两类:误用检测(Misuse Detection)和异常检测(Anomaly Detection)。误用检测搜索审计事件数据,查看是否存在预先定义的误用模式,其典型代表是特征模式匹配技术、协议分析技术和状态协议分析技术等;异常检测提取正常模式审计数据的数学特征,检查事件数据是否存在与之相违背的异常模式,其典型代表有统计分析技术、数据重组技术、行为分析技术。 除了以上两类主要数据分析技术外,研究人员还提出了一些新的分析技术,如免疫系统、基因算法、数据挖掘、基于代理的检测等。 具体内容参见书中介绍。 6.1.3 主要入侵检测模型 如果按照检测对象划分,入侵检测技术又可分为“基于主机的检测”、“基于网络的检测”和“混合型检测”三大类。 1. 基于主机的检测(HIDS) 基于主机的入侵检测系统是早期的入侵检测系统结构,通常是软件型的,直接安装在需要保护的主机上。其检测的目标主要是主机系统和系统本地用户,检测原理是根据主机的审计数据和系统日志发现可疑事件。 这种检测方式的优点主要有:信息更详细、误报率要低、部署灵活。这种方式的缺点主要有:会降低应用系统的性能;依赖于服务器原有的日志与监视能力;代价较大;不能对网络进行监测;需安装多个针对不同系统的检测系统。 2. 基于网络的检测(NIDS) 基于网络的入侵检测方式是目前一种比较主流的监测方式,这类检测系统需要有一台专门的检测设备。 检测设备放置在比较重要的网段内,不停地监视网段中的各种数据包,而不再是只监测单一主机。它对所监测的网络上每一个数据包或可疑的数据包进行特征分析,如果数据包与产品内置的某些规则吻合,入侵检测系统就会发出警报,甚至直接切断网络连接。目前,大部分入侵检测产品是基于网络的。 这种检测技术的优点主要有:能够检测那些来自网络的攻击和超过授权的非法访问;不需要改变服务器等主机的配置,也不会影响主机性能;风险低;配置简单。其缺点主要是:成本高、检测范围受局限;大量计算,影响系统性能;大量分析数据流,影响系统性能;对加密的会话过程处理较难;网络流速高时可能会丢失许多封包,容易让入侵者有机可乘;无法检测加密的封包;对于直接对主机的入侵无法检测出。 3. 混合型(Hybrid) 基于网络的入侵检测和基于主机的入侵检测产品都有不足之处,单纯使用一类产品会造成主动防御体系不全面。但是它们可以互补构成一套完整的主动防御体系,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。 具体内容参见书中介绍。 6.1.4 当前入侵检测技术的不足 目前的IDS还存在很多问题,主要表现在如下: 误报率高:主要表现为把良性流量误认为恶性流量进行误报。还有些IDS产品会对用户不关心事件的进行误报。 产品适应能力差:传统的IDS产品在开发时没有考虑特定网络环境下的需

文档评论(0)

wangz118 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档