电子科技大学防火墙病毒第6章 防火墙及相关技术.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * 五、基于网络的入侵检测 优点： 1）成本低：可在几个关键访问点上进行配置，不要求在各主机上装载并管理软件。 2）通过检测数据包的头部可发现基于主机的IDS所漏掉的攻击（如：DOS 、碎片包Teardrop攻击）。基于主机的IDS无法查看包的头部。 3. 攻击者不易销毁证据：可实时记录攻击者的有关信息（不仅包括攻击的方法，还包括可识别黑客身份和对其进行起诉的信息）。黑客一旦入侵到主机内部都会修改审记记录，抹掉作案痕迹。 五、基于网络的入侵检测 4. 实时检测和响应： 可以在攻击发生的同时将其检测出来，并做出更快的响应。例如，对拒绝服务攻击发出TCP复位信号，在该攻击对目标主机造成破坏前将其中断。而基于主机的系统只有在可疑的登录信息被记录下来以后才能识别攻击并做出反应。而这时关键系统可能早就遭到了破坏。 5. 能检测未成功的攻击和不良意图。基于主机的系统无法查到未遂的攻击，而这些丢失的信息对于评估和优化安全策略至关重要。 6. 操作系统无关性 五、基于网络的入侵检测 网络入侵检测系统的弱点： 只检查它直接连接网段的通信； 为了不影响性能，通常采用简单的特征检测算法，难以实现复杂计算与分析； 会将大量的数据传给检测分析系统； 难以处理加密会话。目前通过加密通道的攻击尚不多，但这个问题会越来越突出。 六、基于主机的入侵检测 通常是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律)，入侵检测系统就会采取相应措施。 优点： 1．比基于网络的IDS更加准确地判断攻击是否成功。 2． 监视特定的系统活动：监视用户和访问文件的活动，包括文件访问、改变文件权限；记录帐户或文件的变更，发现并中止改写重要系统文件或者安装特洛伊木马的企图。 六、基于主机的入侵检测 3．检测被基于网络IDS漏掉的、不经过网络的攻击。 4． 可用于加密的和交换的环境。 交换设备可将大型网络分成许多的小型网络部件加以管理，所以很难确定配置基于网络的IDS的最佳位置。基于主机的入侵检测系统可安装在所需的重要主机上，在交换的环境中具有更高的能见度。 由于加密方式位于协议堆栈内，所以基于网络的IDS可能对某些攻击没有反应，基于主机的IDS没有这方面的限制，因为这时数据流已经被解密了。 六、基于主机的入侵检测 5． 接近实时的检测和响应 目前，基于主机的IDS显著减少了从攻击验证到作出响应的时间延迟，大多数情况下，系统能在遭到破坏之前发现并阻止入侵者攻击。 6． 不要求维护及管理额外硬件设备。 7． 记录花费更加低廉：尽管很容易就能使基于网络的IDS提供广泛覆盖，但其价格通常是昂贵的。 六、基于主机的入侵检测 基于主机的入侵检测系统的弱点： 1、会降低应用系统的效率。此外，安装了主机入侵检测系统后，扩大了安全管理员访问权限。 2、依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能，则必需重新配置。 3、全面布署，代价较大。若部分安装，则存在保护盲点。 4、无法监测网络上的情况。对入侵行为的分析的工作量将随着主机数目增加而增加。 七、混合入侵检测 基于网络的和基于主机的IDS对攻击的反应方式有：告警、存贮和主动响应。 单纯使用一类产品的防御体系是不完整的，两类产品结合起来部署，可以优势互补。既可发现网络中的攻击信息，也可从系统日志中发现异常情况。 八、技术分类 入侵检测技术分为两种：特征检测、异常检测。 多数IDS以特征检测为主，异常检测为辅。 1）特征检测（误用检测、模式匹配） 假设入侵者活动可以用某种模式来表示，系统的目标是检测主体活动是否与这些模式匹配。 关键：入侵模式描述，区分入侵与正常行为。 优点：误报少。 局限：不能发现未知的攻击。 八、技术分类 2）异常检测（异常发现） 按照统计规律，建立主体正常活动的“简档” ，若当前主体活动偏离“简档”相比较，则认为该活动可能是“入侵”行为。例：流量统计分析，将异常时间的异常网络流量视为可疑。 难点：建立“简档”；统计算法；异常阈值选择。 避免对入侵的误判或漏判。 局限性：“入侵”与“异常”并非一一对应。而且系统的轨迹难于计算和更新。 九、常用检测方法 IDS常用的检测方法: 特征检测、统计检测与专家系统。 据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95％是属于使用入侵模板进行模式匹配的特征检测产品，其他5％是采用概率统计的统计检测产品与基于日志的专家知识库系产品。 九、常用检测方法 1）特征检测 ：对攻击方式作出确定性的描述?事件模式。当被审计