第9章-入侵防御系统.pptVIP

入侵手段 3 拒绝服务攻击 一是利用操作系统或应用程序的漏洞使主机系统崩溃，如发送长度超过64KB的IP分组； 二是利用协议的固有缺陷耗尽主机系统资源，从而使主机系统无法提供正常服务，如SYN泛洪攻击； 三是通过因为植入恶意代码而被黑客控制的主机系统,向某个主机系统发送大量信息流,导致该主机系统连接网络的链路阻塞，从而无法与其他主机正常通信。 * 第9章 入侵防御系统 防火墙与杀毒软件的局限性 1 防火墙的局限性 防火墙是一种设置在网络边界，有效控制内网和外网之间信息交换的设备。例如，通过配置访问控制策略，防火墙可以将外网对非军事区中的资源的访问权限设置为只允许读取Web服务器中的Web页面和下载FTP服务器中的文件。 但是外网对内网中终端实施的攻击往往是通过防火墙访问控制策略允许的信息交换过程完成的，如通过内网终端访问外网Web服务器时，或通过内网终端接收的邮件植入恶意代码，因此，防火墙已经无法防止来自外网的全部攻击。 * 第9章 入侵防御系统 防火墙与杀毒软件的局限性 2 杀毒软件的局限性 杀毒软件可以检测出感染病毒的文件，删除或隔离病毒，防止病毒发作危害主机系统，但是杀毒软件无法对黑客利用操作系统或应用程序的漏洞实施的攻击予以防范，并且大多数杀毒软件只能检测出已知病毒，即病毒特征包含在病毒库中的病毒，无法检测出未知病毒。 * 第9章 入侵防御系统 入侵防御系统分类 入侵防御系统分为主机入侵防御系统和网络入侵防御系统； 主机入侵防御系统检测进入主机的信息流、监测对主机资源的访问过程，以此发现攻击行为、管制流出主机的信息流，保护主机资源； 网络入侵防御系统通过检测流经关键网段的信息流，发现攻击行为，实施反制过程，以此保护重要网络资源； 主机入侵防御系统和网络入侵防御系统相辅相成，构成有机的防御体系。 * 第9章 入侵防御系统 入侵防御系统工作过程 网络入侵防御系统工作过程 捕获信息； 检测异常信息； 反制异常信息； 报警； 登记。 * 得到流经关键网段的信息流。 异常指包含非法代码，包含非法字段值，与已知攻击特征匹配等。 反制是丢弃与异常信息具有相同源IP地址，或者相同目的IP地址的IP分组，释放传输异常信息的TCP连接等。 向网络安全管理员报告检测到异常信息流的情况，异常信息流的特征、源和目的IP地址，可能实施的攻击等。 记录下有关异常信息流的一切信息，以便对其进行分析。 第9章 入侵防御系统 入侵防御系统工作过程 主机入侵防御系统工作过程 拦截主机资源访问操作请求和网络信息流； 采集相应数据； 确定操作请求和网络信息流的合法性； 反制动作； 登记和分析。 　主机攻击行为的最终目标是非法访问网络资源，或者感染病毒，这些操作的实施一般都需要调用操作系统提供的服务，因此，首要任务是对调用操作系统服务的请求进行检测，根据调用发起进程，调用进程所属用户，需要访问的主机资源等信息确定调用的合法性。同时，需要对进出主机的信息进行检测，发现非法代码和敏感信息。 * 第9章 入侵防御系统 入侵防御系统的不足 主机入侵防御系统是被动防御，主动防御是在攻击信息到达主机前予以干预，并查出攻击源，予以反制。另外，每一台主机安装主机入侵防御系统的成本和使安全策略一致的难度都是主机入侵防御系统的不足； 网络入侵防御系统能够实现主动防御，但只保护部分网络资源，另外对未知攻击行为的检测存在一定的难度。 * 第9章 入侵防御系统 入侵防御系统发展趋势 融合到操作系统中 　主机入侵防御系统的主要功能是监测对主机资源的访问过程，对访问资源的合法性进行判别，这是操作系统应该集成的功能。 集成到网络转发设备中 　所有信息流都需经过转发设备进行转发，因此，转发设备是检测信息流的合适之处。 * 第9章 入侵防御系统 9.2 网络入侵防御系统 系统结构； 信息捕获机制； 入侵检测机制； 安全策略。 　网络入侵防御系统首先是捕获流经网络的信息流，然后对其进行检测，并根据检测结果确定反制动作，检测机制、攻击特征库和反制动作由安全策略确定。 * 第9章 入侵防御系统 系统结构 探测器1处于探测模式，探测模式被动地接收信息流，对其进行处理，发现异常时，向安全管理器报警，并视需要向异常信息流的源和目的终端发送复位TCP链接的控制报文，探测机制需要采用相应捕获机制才能捕获信息流。 探测器2处于转发模式，转发模式从一个端口接收信息流，对其进行异常检测，在确定为正常信息流的情况下，从另一个端口转发出去。 * 第9章 入侵防御系统 信息捕获机制 利用集线器的广播传输功能，从集线器任何端口进入的信息流，将广播到所有其他端口。 * 利用集线器捕获信息机制 第9章 入侵防御系统 信息捕获机制 端口镜像功能是将交换机某个端口（如图中的端口2）作为另一个端口（如图中的端口1）的镜像，这样，所有从