2016防火墙与入侵保护系统讲义.pptVIP

* * * * IDS的作用： 监控、分析用户和系统的活动； 审计系统的配置和弱点； 评估关键系统和数据文件的完整性； 识别攻击的活动模式； 对异常活动进行统计分析； 对操作系统进行审计跟踪管理，识别违反策略的用户活动； * 主动式入侵检测，带响应的。 DIDS:分别进行数据采集，数据分析。提高性能。 * * 直接监测： 为了直接检测主机CPU的负荷，必须直接从主机相应的内核结构获得数据； 要监测inetd进程提供的网络访问服务，必须之间从inetd进程获得关于那些访问的数据。 间接监测： 直接优于间接： 1.间接数据容易被篡改 2.间接数据不完全 3.间接数据噪音比较多，数据量大 4.间接有更多的时延 * （1）确定攻击是否成功 由于基于主机的IDS使用含有已发生事件信息，它们可以比基于网络的IDS更加准确地判断攻击是否成功。在这方面，基于主机的IDS是基于网络的IDS完美补充，网络部分可以尽早提供警告，主机部分可以确定攻击成功与否。 （2）监视特定的系统活动 基于主机的IDS监视用户和访问文件的活动，包括文件访问、改变文件权限，试图建立新的可执行文件并且／或者试图访问特殊的设备。例如，基于主机的IDS可以监督所有用户的登录及下网情况，以及每位用户在联结到网络以后的行为。对于基于网络的系统经要做到这个程度是非常困难的。基于主机技术还可监视只有管理员才能实施的非正常行为。操作系统记录了任何有关用户帐号的增加，删除、更改的情况，只要改动一且发生，基于主机的IDS就能检察测到这种不适当的改动。基于主机的IDS还可审计能影响系统记录的校验措施的改变。基于主机的系统可以监视主要系统文件和可执行文件的改变。系统能够查出那些欲改写重要系统文件或者安装特洛伊木马或后门的尝试并将它们中断。而基于网络的系统有时会查不到这些行为。 （3）能够检查到基于网络的系统检查不出的攻击 基于主机的系统可以检测到那些基于网络的系统察觉不到的攻击。例如，来自主要服务器键盘的攻击不经过网络，所以可以躲开基于网络的入侵检测系统。 （4）适用被加密的和交换的环境 交换设备可将大型网络分成许多的小型网络部件加以管理，所以从覆盖足够大的网络范围的角度出发，很难确定配置基于网络的IDS的最佳位置。业务映射和交换机上的管理端口有助于此，但这些技术有时并不适用。基于主机的入侵检测系统可安装在所需的重要主机上，在交换的环境中具有更高的能见度。某些加密方式也向基于网络的入侵检测发出了挑战。由于加密方式位于协议堆栈内，所以基于网络的系统可能对某些攻击没有反应，基于主机的IDS没有这方面的限制，当操作系统及基于主机的系统看到即将到来的业务时，数据流已经被解密了。 （5）近于实时的检测和响应 尽管基于主机的入侵检测系统不能提供真正实时的反应，但如果应用正确，反应速度可以非常接近实时。老式系统利用一个进程在预先定义的间隔内检查登记文件的状态和内容，与老式系统不同，当前基于主机的系统的中断指令，这种新的记录可被立即处理，显著减少了从攻击验证到作出响应的时间，在从操作系统作出记录到基于主机的系统得到辨识结果之间的这段时间是一段延迟，但大多数情况下，在破坏发生之前，系统就能发现入侵者，并中止他的攻击。 （6）不要求额外的硬件设备 基于主机的入侵检测系统存在于现行网络结构之中，包括文件服务器，Web服务器及其它共享资源。这些使得基于主机的系统效率很高。因为它们不需要在网络上另外安装登记，维护及管理的硬件设备。 （7）记录花费更加低廉 基于网络的入侵检测系统比基于主机的入侵检测系统要昂贵的多。 * （1）主机入侵检测系统安装在我们需要保护的设备上，如当一个数据库服务器要保护时，就要在服务器本身上安装入侵检测系统。这会降低应用系统的效率。此外，它也会带来一些额外的安全问题，安装了主机入侵检测系统后，将本不允许安全管理员有权力访问的服务器变成他可以访问的了。 （2）主机入侵检测系统依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能，则必需重新配置，这将会给运行中的业务系统带来不可预见的性能影响。 （3）全面布署主机入侵检测系统代价较大，企业中很难将所有主机用主机入侵检测系统保护，只能选择部分主机保护。那些未安装主机入侵检测系统的机器将成为保护的盲点，入侵者可利用这些机器达到攻击目标。 （4）主机入侵检测系统除了监测自身的主机以外，根本不监测网络上的情况。对入侵行为的分析的工作量将随着主机数目增加而增加 * * 一个网络拓扑之中,HostBase和networkBased IDS由于位置的不同, 是无法互相代替的,由于攻击都是阶段性的,各个阶段的行为之间都是有联系的，主机IDS通常都是anomaly detection的,这就大大的妳补了 基于pattern的