信息安全技术综述知识讲稿.pptVIP

入侵检测技术的选用（续） 采用的分析类型：可分为签名分析、统计分析和完整性分析。 签名分析就是同攻击数据库中的系统设置和用户行为模式匹配。在许多入侵检测系统中，都建有这种已知攻击的数据库。这种数据库可以经常更新，以对付新的威胁。签名分析的优点在于能够有针对性地收集系统数据，减少了系统的开销，如果数据库不是特别大，那么签名分析比统计分析更为有效，因为它不需要浮点运算。 统计分析用来发现偏离正常模式的行为，通过分析正常应用的属性得到系统的统计特征，对每种正常模式计算出均值和偏差，当侦测到有的数值偏离正常值时，就发出报警信号。这种技术可以发现未知的攻击，使用灵活的统计方法还可以侦测到复杂的攻击。当然，如果高明的黑客逐渐改变入侵模式，那么还是可以逃避侦测的，而且统计传感器发出虚警的概率就会变大。 完整性分析主要关注某些文件和对象的属性是否发生了变化。完整性分析通过被称为消息摘录算法的超强加密机制，可以感受到微小的变化。这种分析可以侦测到任何使文件发生变化的攻击，弥补了签名分析和统计分析的缺陷，但是这种分析的实时性较差。 入侵检测技术的选用（续） 检测系统对攻击和误用的反应：有些基于网络的侦测系统可以针对检测到的问题作出反应，这一特点使得网络管理员对付诸如拒绝服务一类的攻击变得非常容易。这些反应主要有改变环境、效用检验、实时通知等。当系统检测到攻击时，一个典型的反应就是改变系统的环境 通常包括关闭联接，重新设置系统。由于改变了系统的环境，因此可以通过设置代理和审计机制获得更多的信息，从而能跟踪黑客。 入侵检测技术的选用（续） 检测系统的完整性：所谓完整性就是系统自身的安全性，鉴于检测系统的巨大作用，系统设人员要对系统本身的自保性能有足够的重视，黑客在发动攻击之前首先要对安全机制有足够的了解后才会攻击，所以检测系统完整性就成为必须解决的问题，经常采用的手段有认证、超强加密、数字签名等，确保合法使用，保证通信不受任何干扰。 入侵检测技术的选用（续） 设置诱骗服务器：有的侦测系统还在安全构架中提供了诱骗服务器，以便更准确地确定攻击的威胁程度。诱骗服务器的目的就是吸引黑客的注意力，把攻击导向它，从敏感的传感器中发现攻击者的攻击位置、攻击路径和攻击实质，随后把这些信息送到一个安全的地方，供以后查用。这种技术是否采用可根据网络的自身情况而定。 漏洞检测技术类型一 基于应用的检测技术，它采用被动的、非破坏性的办法检查应用软 件包的设置，发现安全漏洞。 漏洞检测技术类型二 基于主机的检测技术，它采用被动的、非破坏性的办法对系统进行检测。通常，它涉及到系统的内核、文件的属性、操作系统的补丁等问题。这种技术还包括口令解密，把一些简单的口令剔除。因此，这种技术可以非常准确地定位系统存在的问题，发现系统漏洞。它的缺点是与平台相关，升级复杂。 漏洞检测技术类型三 基于目标的检测技术，它采用被动的、非破坏性的办法检查系统属性和文件属性，如数据库、注册号等。通过消息文摘算法，对文件的加密数进行检验 漏洞检测技术类型四 基于网络的检测技术，它采用积极的、非破坏性的办法来检验系统是否有可能被攻击崩溃。它利用了一系列的脚本对系统进行攻击，然后对结果进行分析。网络检测技术常被用来进行穿 透实验和安全审计。这种技术可以发现平台的一系列漏洞，也容易安装。但是，它容易影响网络的性能，不会检验不到系统内部的漏洞。 漏洞检测技术类型五 综合的技术 ，集中了以上四种技术的优点，极大地增强了漏洞识别的精度。 实现模型 入侵检测和漏洞检测系统的实现是和具体的网络拓扑密切相关的，不同的网络拓扑对入侵检测和 漏洞检测系统的结构和功能有不同的要求。通常情况下该系统在网络系统中可设计为两个部分：安全服务器（Security server）和检测代 理（Agent）。 安全服务器 安全服务器中包含网络安全数据库、通信管理器、联机信息处理器等部件，它的主要功能是和每一个代理进行相互通信，实时处理所有从各代理发来的信息，作出响应的反映，同时对本网的各安全参数进行审计和记录日志，为完善网络的安全性能提供参数。 检测代理 主机检测代理 网络设备检测代理，主要完成本网段的入侵检 测 公用服务器检测代理 典型的入侵检测系统 ISS公司的RealSecure，包括基于主机的System Agent以及基于网络的Network Engine两个套件。支持与CheckPoint防火墙的交互式控制，支持由Cisco等主流交换机组成的交换环境监听，可以在需要时自动切断入侵连接。 Axent公司的ITA、ESM，ITA(Intrusion Alert)是标准的基于网络的入侵检测系统。全部支持分布式的监视和集中管理模式。 NAI的CyberCop Monitor，可以同时在基于主机和基于网络两种模式下工作