ch8安全检测与响应ppt.ppt

第8章 安全检测和响应 本章主要内容 入侵检测系统的类型、结构和检测过程，入侵检测技术及发展趋势 入侵防护系统的功能和应用 网络系统漏洞和网络扫描 网络监听和网络嗅探器(Sniffer) 计算机紧急响应和处理技术 本章要求 熟知入侵检测系统的类型、结构和检测过程，入侵检测技术及发展趋势 了解入侵防护系统的功能和应用 掌握网络系统漏洞和网络扫描 掌握网络监听和网络嗅探器(Sniffer) 了解计算机紧急响应和处理技术 本章分为三小节： 1. 入侵检测与入侵防护系统 2. 网络扫描和网络监听 3 . 计算机紧急响应 8．1 入侵检测与入侵防护系统 黑客往往是利用网络和系统缺陷进行攻击的，因此，入侵事件的特征一般与系统缺陷特征有关。 安全策略中，防护和检测有互补关系。如果防护系统过硬，绝大部分入侵事件被阻止，那么检测系统的任务就少了。 本节简介IDS(入侵检测系统)和IPS(入侵防护系统)。 8.1.1 入侵检测系统概述 1．入侵检测系统的概念和功能 IDS就是监视和检测黑客入侵事件的系统。IDS使网络安全管理员能及时地处理入侵警报，尽可能减少入侵对系统造成的损害。对入侵攻击的检测与防范，保障计算机系统、网络系统及整个信息基础设施的安全等已经成为人们关注的重要课题。IDS也已成为网络安全体系中的一个重要环节。 IDS可通过向管理员发出入侵或入侵企图来加强当前的访问控制系统，如防火墙控制；识别防火墙通常不能识别的攻击，如来自企业内部的攻击；在发现入侵企图后提供必要的信息；提示网络管理员有效地监视、审计并处理系统的安全事件。 IDS是对防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力和范围。IDS可从计算机网络系统中的若干个关键点收集信息，并分析这些信息，检测网络中是否有违反安全策略的行为和遭到袭击的迹象。它的作用是监控网络系统是否出现被入侵或滥用的征兆。 防火墙为网络安全提供了第一道防线，IDS作为防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护，从而也极大地减少了网络各种可能攻击的损害。IDS不仅能监测外来干涉的入侵者，同时也能监测内部的入侵行为，这就弥补了防火墙在这方面的不足。 入侵检测系统通常具有以下功能： 监视用户和系统的运行状况，查找非法用户和合法用户的越权操作； 对系统构造和弱点进行审计； 对异常行为模式进行统计分析； 评估重要系统和数据文件的完整性； 对操作系统进行跟踪审计管理，并识别用户违反安全策略的行为。 一个成功的IDS不但可使系统管理员时刻了解网络系统的任何变更，还能给网络安全策略的制订提供指南。更为重要的是IDS的管理和配置都应很简单，从而使非专业人员能非常容易地获得网络安全。IDS在发现入侵后，会及时做出响应，包括切断网络连接、记录事件和报警等。 入侵检测可分为实时入侵检测和事后入侵检测两种类型。 实时入侵检测是在网络连接过程中进行的，系统根据用户的历史行为模型、计算机中专家系统和神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象，就立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是循环进行的。 事后入侵检测是由网络管理人员进行的。他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为，有则断开连接，并记录入侵证据，进行数据恢复。事后入侵检测是由管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力也不如实时入侵检测。 2.入侵检测系统原理 从宏观角度看，入侵检测的基本原理很简单。入侵检测与其他检测技术原理相同，即从收集到的一组数据中，检测出符合某一特点的数据。入侵者在攻击时会留下痕迹，这些痕迹与系统正常运行时产生的数据混合在一起。入侵检测的任务就是要从这样的混合数据中找出是否有入侵的痕迹，如果有入侵的痕迹，就产生报警信号。 3．入侵检测的过程 入侵检测系统有两个重要组成部分：信息收集和检测技术。 入侵检测的第一步是信息收集，其内容包括系统、网络数据及用户活动的状态和行为。 入侵检测的第二步就是利用入侵检测技术对收集到的信息进行统计分析、安全审计和完整性分析等，检查入侵行为，并进行相应的恢复。 4．入侵检测系统的结构 5．入侵检测系统的分类 IDS按输入数据的来源分为三种： 基于主机的IDS：输入数据来源于系统审计日志，一般只能检测该主机上发生的入侵； 基于网络的IDS：输入数据来源于网络的数据流，能检测该网段上发生的网络入侵； 分布式IDS：是能同时分析来自主机系统审计日志和网络数据流的IDS，系统由多个部件组成，采用分布式结构。 基于主机的IDS优点在于不仅能检测出本地入侵，而且可检测出远程入侵，缺点则是