06章网络安全探究.ppt

防火墙的体系结构 屏蔽主机体系结构 防火墙的体系结构 屏蔽子网体系结构 非军事区 防火墙的发展趋势 防火墙功能的不断完善和加强 防火墙性能的不断提升 防火墙体系结构的不断变革 6.7 入侵检测技术 6.7.1 入侵检测系统概述 1、什么是入侵检测 入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中若干关键点收集信息，并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和系统被攻击的征兆。 2、入侵检测系统功能 入侵检测系统能主动发现网络中正在进行的针对被保护目标的恶意滥用或非法入侵，并能采取相应的措施及时中止这些危害，如提示报警、阻断连接、通知网管等。 6.7.2 入侵检测一般步骤 1、入侵数据提取 1)系统和网络日志； 2)目录和文件中的的改变； 3)程序执行中的不期望行为； 4)物理形式的入侵信息。 2、入侵数据分析 3、入侵事件响应 6.7.3 入侵检测系统分类 1、根据系统所检测的对象分类 1）基于主机的入侵检测系统（HIDS） 2）基于网络的入侵检测系统（NIDS） 3）基于应用的入侵检测系统（AIDS） 2、根据数据分析方法分类 1）异常检测 。是假定所有的入侵行为都与正常行为不同。先定义一组系统正常条件下的资源与设备利用情况的数值，建立正常活动的模型，然后再将系统在运行时的此类数值与事先定义的原有正常指标相比较，从而得出是否有攻击现象发生。 2）误用检测。假定所有的入侵行为、手段及其变种都能够表达为一种模式或特征。系统的目标就是检测主体活动是否符合这些模式，因此又称为特征检测。 3、根据体系结构分类 根据IDS的系统结构，可分为集中式、等级式和分布式三种。 1）集中式入侵检测系统 2）等级式入侵检测系统 3）分布式入侵检测系统 网络入侵检测技术 入侵检测：是对入侵行为的检测，是指发现非授权用户使用计算机系统或企图使用计算机系统的行为以及发现合法用户滥用其特权行为的过程。 实现网络入侵检测功能的软、硬件系统称为入侵检测系统，简称IDS（Intrusion Detection System）。 IDS的特征 IDS特征 仅需少量的人工干预就可以持续地运行 具有一定的容错能力，一旦系统受到攻击而失效时能够重新启动自己，恢复以前的状态并使其运行不受影响 运行时仅需少量的系统资源，避免干扰系统的正常运行 能够自动适应系统或用户等外部环境的变化 具有动态可配置特性改变系统配置时不需要重新启动系统 具有很强的健壮性（robustness） 入侵检测系统的组成 公共入侵检测框架CIDF 入侵检测系统的分类 根据数据分析方法 误用入侵检测 异常入侵检测 根据位置的不同 集中式入侵检测 分布式入侵检测 处理信息来源的不同 基于主机的入侵检测系统 基于网络的入侵检测系统 入侵检测的流程 误用入侵检测 异常入侵检测 典型的入侵检测系统 ：Snort 基于网络的入侵检测系统 采用基于规则的方法进行入侵检测 Snort的三种工作模式 ? 嗅探器 ? 网络入侵检测系统 ? 数据包记录器 Snort的组成 入侵检测与其它技术的融合 基于神经网络的入侵检测技术 基于专家系统的入侵检测技术 基于模型推理的入侵检测技术 基于免疫的入侵检测系统 基于数据挖掘的入侵检测技术 基于Agent的分布式入侵检测技术 习题 1、网络中存在的不安全因素有哪些。 2、对称加密体制与公开密钥体制有那些共同点和 区别。 3、什么是数字签名。 4、PKI有哪些组成部分。 5、计算机病毒可以分为几种类型，分别有什么特 点。 6、防火墙技术有哪些。 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * 6.4.2 计算机病毒制作技术 1、采用自加密技术 2、采用变形技术 3、采用特殊的隐形技术 4、对抗计算机病毒防范系统 5、反跟踪技术 6、利用中断处理机制 6. 5 网络安全协议 6.5.1 网络安全服务协议 网络安全服务协议可以在不同层次上提供网络安全服务。通用的解决方法是在网络层使用IPSec或在TCP上实现安全性。 6.5.2 安全套接层协议SSL SSL（S