06章网络安全研究.ppt

防火墙的发展趋势 防火墙功能的不断完善和加强 防火墙性能的不断提升 防火墙体系结构的不断变革 6.7 入侵检测技术 6.7.1 入侵检测系统概述 1、什么是入侵检测 入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中若干关键点收集信息，并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和系统被攻击的征兆。 2、入侵检测系统功能 入侵检测系统能主动发现网络中正在进行的针对被保护目标的恶意滥用或非法入侵，并能采取相应的措施及时中止这些危害，如提示报警、阻断连接、通知网管等。 6.7.2 入侵检测一般步骤 1、入侵数据提取 1)系统和网络日志； 2)目录和文件中的的改变； 3)程序执行中的不期望行为； 4)物理形式的入侵信息。 2、入侵数据分析 3、入侵事件响应 6.7.3 入侵检测系统分类 1、根据系统所检测的对象分类 1）基于主机的入侵检测系统（HIDS） 2）基于网络的入侵检测系统（NIDS） 3）基于应用的入侵检测系统（AIDS） 2、根据数据分析方法分类 1）异常检测 。是假定所有的入侵行为都与正常行为不同。先定义一组系统正常条件下的资源与设备利用情况的数值，建立正常活动的模型，然后再将系统在运行时的此类数值与事先定义的原有正常指标相比较，从而得出是否有攻击现象发生。 2）误用检测。假定所有的入侵行为、手段及其变种都能够表达为一种模式或特征。系统的目标就是检测主体活动是否符合这些模式，因此又称为特征检测。 3、根据体系结构分类 根据IDS的系统结构，可分为集中式、等级式和分布式三种。 1）集中式入侵检测系统 2）等级式入侵检测系统 3）分布式入侵检测系统 网络入侵检测技术 入侵检测：是对入侵行为的检测，是指发现非授权用户使用计算机系统或企图使用计算机系统的行为以及发现合法用户滥用其特权行为的过程。 实现网络入侵检测功能的软、硬件系统称为入侵检测系统，简称IDS（Intrusion Detection System）。 IDS的特征 IDS特征 仅需少量的人工干预就可以持续地运行 具有一定的容错能力，一旦系统受到攻击而失效时能够重新启动自己，恢复以前的状态并使其运行不受影响 运行时仅需少量的系统资源，避免干扰系统的正常运行 能够自动适应系统或用户等外部环境的变化 具有动态可配置特性改变系统配置时不需要重新启动系统 具有很强的健壮性（robustness） 入侵检测系统的组成 公共入侵检测框架CIDF 入侵检测系统的分类 根据数据分析方法 误用入侵检测 异常入侵检测 根据位置的不同 集中式入侵检测 分布式入侵检测 处理信息来源的不同 基于主机的入侵检测系统 基于网络的入侵检测系统 入侵检测的流程 误用入侵检测 异常入侵检测 典型的入侵检测系统 ：Snort 基于网络的入侵检测系统 采用基于规则的方法进行入侵检测 Snort的三种工作模式 ? 嗅探器 ? 网络入侵检测系统 ? 数据包记录器 Snort的组成 入侵检测与其它技术的融合 基于神经网络的入侵检测技术 基于专家系统的入侵检测技术 基于模型推理的入侵检测技术 基于免疫的入侵检测系统 基于数据挖掘的入侵检测技术 基于Agent的分布式入侵检测技术 习题 1、网络中存在的不安全因素有哪些。 2、对称加密体制与公开密钥体制有那些共同点和 区别。 3、什么是数字签名。 4、PKI有哪些组成部分。 5、计算机病毒可以分为几种类型，分别有什么特 点。 6、防火墙技术有哪些。 6.5.2 安全套接层协议SSL SSL（Secure Socket Layer）主要用于Web的安全传输协议，提高应用程序之间数据的安全性。 SSL主要提供如下三种服务： 1)认证用户和服务器的合法性。 2)加密数据以隐藏被传送的数据。 3)保护数据的完整性。 6.5.3 传输层安全协议TLS TLS（Transport Layer Security）可以看成是SSL协议第3版的后继者它的特点是以有关标准为基础的开放解决方案；它使用了非专利加密算法，错误报告功能更强。 6.5.4 安全通道协议SSH SSH是要在非安全网络上提供安全的远程登录和其他安全网络服务。使用SSH可以把所有传输的数据进行加密和压缩，提供一个安全的网络“通道”，加快传输的速度，而且也能够防止DNS欺骗和IP欺骗。 SSH协议主要由传输层协议、用户认证协议和连接协议层三个部分组成。 6.5.5 安全电子交易SET