(信息安全导论)第7章网络防御.ppt

主机型入侵检测系统HIDS 优点：(1)性价比较高，不需要增加专门的硬件平台；(2)对系统实时的状态进行监测，准确率高；(3)不受网络流量的影响。 缺点：(1)与操作系统平台相关，可移植性差；(2)需要在每个被检测主机上安装，维护较复杂；(3)难以检测针对网络的攻击。 按数据源分类：网络型入侵检测系统NIDS 网络型入侵检测系统NIDS 缺点： 无法检测到来自网络内部的攻击； 无法分析加密数据报文； 需要对所有报文采集分析，主机负荷大 优点：依据具体特征库进行判断，检测准确度高，误报率低 缺点：检测范围受局限，无法检测未知攻击，漏报率高； 入侵特征库需要不断更新维护。 如果入侵特征与正常用户行为能匹配，会发生误报 如果没有特征能与某种新的攻击行为匹配，会发生漏报 前提：所有的入侵行为都有可被检测到的特征 以检测技术分类：基于误用检测的IDS 以检测技术分类：基于异常检测的IDS 用户轮廓：定义为各种行为参数的集合，用于描述正常行为范围 正常状态下，使用者的行为特征或资源使用状况的标准特征 实际使用者的行为特征与标准特征之间偏差的极限值 优点：拿用户轮廓与标准轮廓相比，漏报率低。 缺点：由于用户行为和资源使用情况会因特殊原因发生较大变化，得到标准轮廓及确定阈值难度较大，误报率高。 3. 入侵诱骗技术 入侵诱骗：伪装成具有吸引力的网络主机来吸引攻击者，对攻击者的各种攻击行为进行分析，进而找到有效的应对方法。 故意留下一些安全后门，或者放置一些攻击者希望得到的敏感信息（虚假的） 常见入侵诱骗技术：蜜罐（Honeypot）技术和蜜网（Honeynet）技术等。 7.3.3 入侵检测技术 蜜罐技术 两种形式： 真实系统蜜罐：真实运行的系统，带有可入侵的漏洞，能记录最真实的入侵信息。 伪装系统蜜罐：运行于真实系统上的仿真程序，伪造出漏洞，漏洞入侵对系统本身无损坏。 构成了黑客诱捕网络体系结构，包含一个或多个蜜罐，提供多 种工具来完成对攻击信息的采集和分析。 蜜网技术 第7章 网络防御 主要内容 7.1 概述 7.2 防火墙 7.3 入侵检测系统 7.4 网络防御的新技术 7.1 概述 网络防御是一个综合性的安全工程，不是几个网络安全产品 能够完成的任务。 防御需要解决多层面的问题，除了安全技术之外，安全管理 也十分重要，它的效果远远高于应用几个网络安全产品。 网络安全防御体系第一道防线，部署在网络出入口,依据安全规则检查每一个通过的数据包。 将局域网中的节点从逻辑上划分成多个网段，每个网段都包含一组由相同需求的工作站。 IPS：部署像防火墙，工作机制接近入侵检测系统，将检测方法细分到攻击检测防御的每个阶段中。 7.2 防火墙 防火墙：由软件和硬件设备组合而成、在内网和外网间构造的安全保护屏障，保护内网免受外部非法用户的侵入。 是位于两个或多个网络之间，执行访问控制策略的一个或一组系统，是一类防范措施的总称。 满足条件： 内网和外网之间的所有网络数据流必须经过防火墙； 阻塞点可以理解为连通两个或多个网络的唯一路径上的点 只有符合安全政策的数据流才能通过防火墙。 要求防火墙具有审计和管理的功能 从应用对象上划分：企业防火墙、个人防火墙。 从存在形式上划分：硬件防火墙、软件防火墙。 防火墙不只用于INTERNET，也可用于内部网各部门网络之间（内部防火墙） 防火墙主要作用 网络流量过滤：通过在防火墙上进行安全规则配置，可以对流经防火墙的网络流量进行过滤。 网络监控审计：防火墙记录访问并生成网络访问日志，提供网络使用情况的统计数据。 支持NAT部署：NAT（网络地址翻译）是用来缓解地址空间短缺的主要技术之一。 支持DMZ：DMZ是英文“Demilitarized Zone”的缩写,它是设立在非安全系统与安全系统之间的缓冲区。 支持VPN：通过VPN，企业可以将分布在各地的局域网有机地连成一个整体。 典型企业防火墙应用 1）访问控制列表ACL Access Control List是允许和拒绝匹配规则的集合。 规则告诉防火墙哪些数据包允许通过、哪些被拒绝。 顺序 方向 源地址 目的地址 协议 源端口 目的端口 是否通过 Rule 1 out 1 *.*.*.* TCP any 80 deny Rule 2 out *.*.*.* 6 TCP any 80 accept 访问控制列表 7.2.2 防火墙的主要技术 2）静态包过滤 防火墙根据定义好的包过滤规则审查每个数据包，确定其是否与某一条包过滤规则匹配。 基于数据包头信息制定过滤规则，存储在ACL中。 遵循“最小特权”原则。 基于会话，动态建立和删除包过滤规则的方法。 用户向防火墙发出连接请求，防火墙审核通过后向ACL中添加允许该用户访问的规则，