防火墙、入侵检测与VPN——第二部分精品.pptVIP

实时入侵响应 8.2.5 目前的入侵检测系统虽然有很多的告警和通知手段，但是只具备很低的实时响应能力。这是因为目前的入侵检测系统是一种被动的系统，不能作为系统行为的主动参与者融合进操作过程中去，而只能通过截获系统中的数据进行判断分析。这些截获、分析、判断以及响应等操作的延迟使得入侵检测系统无法立刻介入系统的行为过程。目前人们已经认识到了这一点，也提出了一些解决的办法，最受关注的应该是入侵防御系统IPS（Intrusion Protection System）。 入侵检测的评测 8.2.6 作为一种安全手段，如何评估入侵检测系统的性能时每一个用户需要面对的问题。由于入侵行为的多样性，入侵检测系统的特点也大相径庭。如何构建一套能够体现入侵检测技术特点以及用户安全需求的统一的评估标准和评估方法也是入侵检测技术必须完成的重要任务。从目前来看，对入侵检测的评测主要集中在攻击类型检测范围、系统资源占用和入侵检测系统自身的可靠性几个方面。 与其它安全技术的联动 8.2.7 入侵检测技术虽然能够实现很多的安全功能，但是正如6.7节描述的那样，它不是万能的，也有很多缺陷。为了给用户提供完善的安全防护，应该综合利用多种安全措施，包括入侵检测设备、防火墙设备或者VPN设备等等。这就要求入侵检测系统必须改进以往独立的、封闭的工作模式，能够提供安全的、开放的数据接口与其它安全设备进行必要的信息交换。最终，所有的安全设施都将置于系统统一的安全管理策略的控制之下进行协调工作，这是安全管理的最终目标。 本章小结 8.3 本章首先分析了攻击技术的发展情况，指明了用户将要面对的严重信息威胁。随后主要介绍了入侵检测技术标准化、高速、分布式、实时、多技术融合以及与其它安全技术联动的发展趋势。总之，入侵检测技术作为信息安全领域研究的重点，它的研究范围既包括对安全理论和安全技术的深入探索，也包括对这些理论和技术的应用实践。但是需要注意的是，一切理论的发展和技术的应用都围绕着安全需求展开，唯一的目的就是尽量地提高用户系统的安全性。 谢 谢！ / 按照检测数据的来源划分 （2） 6.6.1 基于网络的入侵检测系统往往由一组网络监测节点组成。一般来说，网络监测节点负责收集分析网络数据包，并对每个数据包进行特征分析和异常检测，如果数据包包含的信息与策略规则相吻合，网络监测节点就会报警。 详细内容见参考书。 基于网络的入侵检测 2 按照检测数据的来源划分 （2） 6.6.1 基于网络的入侵检测系统的优点： （1）具有平台无关性。 （2）不影响受保护主机的性能。 （3）对攻击者来说是透明的。 （4）能够进行较大范围内的网络安全保护。 （5）检测数据具有很高的真实性。 详细内容见参考书。 基于网络的入侵检测 2 按照检测数据的来源划分 （2） 6.6.1 基于网络的入侵检测系统的设计过程中必须考虑的一些关键问题 ： 数据包的获取 检测引擎 特征分析技术 IP碎片重组技术 蜜罐技术 …. 详细内容见参考书。 基于网络的入侵检测 2 按照检测数据的来源划分 （3） 6.6.1 基于主机的入侵检测能够对主机上用户或进程的行为进行细粒度地监测，很好地保护了主机的安全。基于网络的入侵检测则能够对网络的整体态势做出反应。这两种优点都是用户所需要的，因此计算机安全界对两者的融合进行了大量的研究，并称这种融合系统为混合式入侵检测系统。 详细内容见参考书。 混合式的入侵检测 3 按检测方法划分 异常入侵检测 1 滥用入侵检测 2 6.6.2 异常检测与滥用检测的比较 3 按检测方法划分 （1） 6.6.2 异常入侵检测 1 详细内容见参考书。 异常入侵检测是依据系统或者用户的非正常行为或者对于计算机资源的非正常使用检测出入侵行为的检测技术。异常检测基础是需要建立系统正常活动状态或者用户正常行为模式。 按检测方法划分 （1） 6.6.2 异常入侵检测 1 异常检测的操作是将用户的当前行为模式或系统的当前状态与正常模型进行比较，如果当前值超过了预定的阀值，则认为存在攻击行为。但是检测的准确程度依赖于正常模型的精确程度。 详细内容见参考书。 按检测方法划分 （2） 6.6.2 滥用入侵检测是通过对现有的各种攻击手段进行分析，找到能够代表该攻击行为的特征集合。对当前的数据处理就是与这些特征集合进行匹配，如果匹配成功就认为发生一次确定的攻击。 详细内容见参考书。 滥用入侵检测 2