题目外部不同域之间邮件收发.pptVIP

第21讲 入侵检测技术 本讲要求 1、掌握网络行为管理系统平台的功能与特点 2、掌握入侵检测系统的基本结构与分类。 3、熟悉基于网络和基于主机的入侵检测系统 4、掌握入侵检测软件的使用。 本讲内容 1、入侵检测系统的分类与基本结构。 2、基于网络的入侵检测系统结构与特点。 3、基于主机的入侵检测系统结构与特点。 4、入侵检测系统的使用与配置。 8.3.3 入侵检测系统的分类 1. 根据分析方法和检测原理分类 基于异常的入侵检测。首先总结出正常操作应该具有的特征(用户轮廓)，当用户活动与正常行为有重大偏离时即被认为是入侵。 基于误用的入侵检测。收集非正常操作时的行为特征，建立相关的特征库，当被监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。 2. 根据数据来源分类 基于主机的入侵检测系统(HIDS)。系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机。 基于网络的入侵检测系统(NIDS)。系统获取数据的依据是网络传输的数据包，保护的是网络的正常运行。 分布式入侵检测系统(混合型)。将基于网络和基于主机的入侵检测系统有机地结合在一起。 3. 根据体系结构分类 集中式。集中式结构的IDS可能有多个分布于不同主机上的审计程序，但只有一个中央入侵检测服务器。审计程序把当地收集到的数据踪迹发送给中央服务器进行分析处理。随着网络规模的增加，主机审计程序和服务器之间传送的数据就会剧增，导致网络性能大大降低。并且一旦中央服务器出现问题，整个系统就会陷入瘫痪。 分布式。分布式结构的IDS就是将中央检测服务器的任务分配给多个基于主机的IDS。这些IDS不分等级，各司其职，负责监控当地主机的某些活动。所以，其可伸缩性、安全性都得到提高，但维护成本也高了很多，并且增加了所监控主机的工作负荷。 4. 根据工作方式分类 离线检测。离线检测又称脱机分析检测系统，就是在行为发生后，对产生的数据进行分析，而不是在行为发生的同时进行分析，从而检测入侵活动，它是非实时工作的系统。如对日志的审查，对系统文件的完整性检查等都属于这种。一般而言，脱机分析也不会间隔很长时间，所谓的脱机只是与联机相对而言的。 在线检测。又称为联机分析检测系统，就是在数据产生或者发生改变的同时对其进行检查，以便发现攻击行为，它是实时联机检测系统。这种方式一般用于网络数据的实时分析，有时也用于实时主机审计分析。它对系统资源的要求比较高。 8.3.4 基于网络的IDS和基于主机的IDS 1. 基于网络的入侵检测系统 基于网络的入侵检测系统（NIDS）放置在比较重要的网段内，不停地监视网段中的各种数据包。对每一个数据包进行特征分析。如果数据包与系统内置的某些规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接。目前，大部分入侵检测系统是基于网络的。 一个典型的NIDS如图8-2所示，一个传感器被安装在防火墙外以探查来自Internet的攻击。另一个传感器安装在网络内部以探查那些已穿透防火墙的入侵以及内部网络入侵和威胁。 基于网络的入侵检测系统使用原始网络数据包作为数据源。基于网络的IDS通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有数据包。 一旦检测到了攻击行为，NIDS的响应模块就提供多种选项用于通知、报警，并对攻击行为采取相应的措施。采取的措施因系统而异，但通常都包括通知管理员、中断连接并且/或为法庭分析和证据收集而做的会话记录。 基于网络的IDS已经广泛成为安全策略的实施中的重要组件，它有许多仅靠基于主机的入侵检测系统无法提供的优点。 （1）拥有成本较低。 基于网络的IDS可在几个关键访问点上进行策略配置，以观察发往多个系统的网络通信。所以它不要求在许多主机上装载并管理软件。 由于需监测的点较少，因此对于一个公司的环境来说，拥有成本很低。 （2）检测基于主机的IDS漏掉的攻击。 基于网络的IDS检查所有数据包的头部从而发现恶意的和可疑的行为迹象。基于主机的IDS无法查看数据包的头部，所以它无法检测到这一类型的攻击。例如，许多来自于IP地址的拒绝服务型（DoS）和碎片包型（Teardrop）的攻击只能在它们经过网络时，检查包的头部才能被发现。这种类型的攻击都可以在基于网络的IDS中通过实时监测网络数据包流而被发现。 基于网络的IDS可以检查有效负载的内容，查找用于特定攻击的指令或语法。例如，通过检查数据包有效负载可以查到黑客软件，而使正在寻找系统漏洞的攻击者毫无察觉。由于基于主机的IDS不检查有效负载，所以不能辨认有效负载中所包含的攻击信息。 （3）攻击者不易转移证据。 基于网络的IDS使用正在发生的网络通信进行实时攻击的检测。所以攻击者无法转移证据。 被捕获的数据不仅包括攻击的方法，而且还包括可识别的黑客身