（MADIDS）入侵防护系统IPS.pptVIP

全国高等职业教育计算机类规划教材 实例与实训教程系列 在这一章中 你将学习 ◇ 入侵检测系统的概念、分类 ◇ 入侵检测技术 ◇ 蜜罐技术 你将获取 △ 在Linux系统下安装轻量级的入侵检测系统Snort的技能 △ 使用Snort在网络中进行入侵检测与嗅探 △ 使用Snort在网络中进行数据记录 第6章 入侵检测系统 6.1 案例问题 6.2 技术视角 6.3 单元实验 6.4 超越与提高 案例问题 案例说明 思考与讨论 案例说明 校园网中各种P2P的应用在校园网内部广泛的应用，作为一种时下流行的下载手段，但是，大量无限制的P2P连接将极大的消耗网络带宽资源，给西工大正常的网络业务带来极大的困扰，同时也带来了一些安全隐患。 此外，由于校园网内部的学生机器较多，且没有统一安装防病毒软件，如何预防内部网络的病毒传播，也是摆在校网络中心负责人面前的一个重要问题。 需求分析 1）黑客穿过防火墙寻找内部主机漏洞进行攻击 2）通过邮件传播蠕虫病毒进行检测报警。 3）对防病毒软件无法检测的新型病毒进行告警 4）检测内部人员的攻击和内植木马病毒的攻击 思考与讨论 为什么在校园网或企业网与外网之间中安装了强大的防火墙，我们内部主机也安装了防病毒软件和个人防火墙，可是受攻击的现象依然存在，而且到道高一尺，魔高一丈呢？ 有什么办法可以解决。 上网搜索几种入侵检测系统进行一下功能比较，同时也进行成本比较。 第6章 入侵检测系统 6.1 案例问题 6.2 技术视角 6.3 单元实验 6.4 超越与提高 6.2 技术视角 入侵检测技术概述 基于网络IDS和基于主机的IDS比较 入侵检测技术 入侵检测系统实例 入侵检测技术概述 入侵检测系统及起源 IDS的基本结构 基本术语 入侵检测系统的分类 入侵检测系统 入侵检测就是察觉入侵的行为。 入侵检测的软件与硬件的结合便是入侵检测系统。 入侵检测系统起源 入侵检测的研究可以追溯到1980年 1987年乔治敦大学首次给出一个入侵检测的抽象模型 1990年是入侵检测系统发展史上的一个分水岭 从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展 IDS的基本结构 美国国防高级研究计划署（DARPA）提出的建议是公共入侵检测框架（CIDF） CIDF的通用模型 IDS基本术语 误报 漏报 警报 特征 混杂模式 入侵检测系统的分类 基于主机的入侵检测系统(HIDS) 通常是安装在被重点检测的主机之上，所以也称软件检测系统。 主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。 如果其中主体活动十分可疑(特征或违反统计规律)，入侵检测系统就会采取相应措施。 基于主机入侵检测系统 基于主机的入侵检测系统有如下优点 ⑴ 确定攻击是否成功 ⑵ 监视特定的系统活动 ⑶ 能够检查到基于网络的系统检查不出的攻击 ⑷ 适用被加密的和交换的环境 ⑸ 近于实时的检测和响应 ⑹ 不要求额外的硬件设备 ⑺ 记录花费更加低廉 HIDS弱点和局限性 ⑴ 它依赖于主机固有的日志与监视能力， 易受攻击，入侵者可设法逃避审计； ⑵ 影响主机的性能； ⑶ 只能对主机的特定用户、应用程序执行动作和日志进行检测，所能检测到的攻击类型受到限制； ⑷ 全面部署HIDS代价较大。 基于网络的入侵检测系统（NIDS） 基于网络的入侵检测系统使用原始网络包作为数据源。 基于网络的IDS通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务。 系统获取的数据是网络传输的数据包，保护的是网络的运行。 基于网络的入侵检测系统 基于网络的入侵检测优点 ⑴ 拥有成本较低 ⑵ 检测基于主机的系统漏掉的攻击 ⑶ 攻击者不易转移证据 ⑷ 实时检测和响应 ⑸ 检测未成功的攻击和不良意图 ⑹ 操作系统无关性 基于网络的IDS缺点 ⑴ 只检测直接连接网段的通信，不能检测在不同网段的网络包； ⑵ 交换以太网环境中会出现检测范围局限； ⑶ 很难实现一些复杂的、需要大量计算与分析时间的攻击检测； ⑷ 处理加密的会话过程比较困难 NIDS和HIDS比较 6.2.3 入侵检测技术 ⒈ 异常检测技术 ⒉ 误用检测技术 ⒊ 入侵诱骗技术 4. 入侵响应技术 ⒈ 异常检测技术 异常检测技术就是首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。 特点： 漏报率低 误报率高 异常检测的方法 ① 概率统计异常检测 ② 神经网络异常检测 ⒉ 误