网安十一讲.pptVIP

Template copyright 2005 Copyright 2005 Brainy Betty, Inc. 第十一讲 入侵检测初探 引言 防守技术则包括攻击检测、攻击防范、 攻击后的恢复这三个大方向，每一个方向上有代表性的产品：入侵检测系统负责进行攻击检测， 防火墙和强制访问控制系统负责攻击防范，攻击后的恢复就是自动恢复系统，比如Web水印系统等等。 容侵技术、入侵响应 提示：入侵检测系统是时下利润最大的安全产品 问题的提出--为什么需要IDS？ 入侵很容易 入侵教程随处可见 各种工具唾手可得 防火墙： 1、第一道安全闸门、边界 2、但不完善，80%的攻击来自内部 3、有效补充---入侵检测，防火墙是锁，入侵检测系统是监视器 入侵检测 站岗与巡逻 ： 提示1、防火墙就好像进城时的查路条一样，着重点在于防范奸细混入 提示2、入侵检测是一个有效补充，因为大量的成功攻击来自内部的滥用特权或越权使用 入侵检测是什么？1 比喻：入侵检测技术则类似于治安巡逻队，专门注重于发现形迹可疑者，信息系统的攻击者很有可能通过了城门的身份检查，或者爬越了城墙而混入城中；这时要想进一步加强信息系统的安全强度，就需要增派一支巡逻队，专门负责检查在城市中鬼鬼祟祟行动可疑的人员。 入侵检测是什么？2 攻击检测提供了一种机制： * 对合法用户而言，能够使他们为其失误或非法行为负责，从而增强责任感。 * 对非法进入的攻击者而言则意味着增强了纠察力度，行使着公安局、检察院的职责。 * 攻击检测具有最后防线性质的防范能力，或许是用来发现合法用户滥用特权的唯一方法。 * 同时还能证明一个受到怀疑的人是否有罪。 回顾 安全的定义，保密性、完整性、可用性 1、完整的安全系统应该包含：防护、监测、响应 2、我们需要动态的主动的安全技术 3、因此，出现了P2DR安全模型 P2DR安全模型 到底什么是入侵检测？ * 入侵，是指任何企图危及资源的完整性、机密性和可用性的活动。 * 入侵检测（Intrusion Detection），顾名思义，是指对入侵行为的发现，它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。 * 完成入侵检测功能的软件、硬件组合便是入侵检测系统（Intrusion Detection System，简称IDS）。 提示： 1、它是防火墙之后的第二道安全闸门，有效补充 2、主动的、动态的防范措施 3、它是一种事后处理方案 IDS能做什么？ 监测并分析用户和系统的活动； 核查系统配置和漏洞； 评估系统关键资源和数据文件的完整性； 识别已知的攻击行为； 统计分析异常行为； 对操作系统进行日志管理，并识别违反安全策略的用户活动； 针对已发现的攻击行为作出适当的反应，如告警，中止进程等。 IDS的优点 提高信息安全构造的其他部分的完整性 提高系统的监控能力 从入口点到出口点跟踪用户的活动 识别和汇报数据文件的变化 侦测系统配置错误并纠正 识别特殊攻击类型，并向管理人员发出警报 入侵检测系统的构成 一个入侵检测系统，至少应该能够完成以下功能： 监控、分析用户和系统的活动 发现入侵企图或异常现象 记录、报警和响应 IDS的基本组件构成： 入侵检测构成详解1 事件产生器 1、事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。 2、入侵检测的第一步 3、采集内容 系统日志 应用程序日志 系统调用 网络数据 用户行为 其他IDS的信息 入侵检测构成详解2 事件分析器 1、事件分析器分析得到的数据，并产生分析结果。 2、分析是核心 效率高低直接决定整个IDS性能 入侵检测构成详解3 响应单元 响应单元则是对分析结果作出作出反应的功能单 元，功能包括： 告警和事件报告 终止进程，强制用户退出 切断网络连接，修改防火墙设置 灾难评估，自动恢复 查找定位攻击者 入侵检测构成详解4 事件数据库 事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。 入侵检测的全过程 入侵检测过程图解 信息的来源： 系统和网络日志文件 目录和文件中的不期望改变 程序执行中的不期望行为 物理形式的攻击信息 结果处理 数据分析发现入侵迹象后，入侵检测系统的下一步工作就是响应。而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应。 1、将分析结果记录在日志文件中，并产生相应的报告。 2、触发警报：如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送传呼或电子邮件等等。 3、修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置