第4章 入侵检测与安全审计技术.ppt

网络安全技术 　　　当我们无法完全防止入侵时，那么只能希望系统在受到攻击时，能尽快检测出入侵，而且最好是实时的，以便可以采取相应的措施来对付入侵，这就是入侵检测系统要做的，它从计算机网络中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。 2、入侵检测技术主要的发展方向 4.1.3 入侵检测系统的功能及分类 4.1.5 入侵跟踪技术 ４.2.2 基于误用的入侵检测方法 4.3  入侵检测系统 （IDS）结构 ４.３.3 基于智能代理技术的分布 式入侵检测系统 其逻辑结构如下图所示： 4.3.6 典型入侵检测系统简介 2. 商业IDS的代表——ISS的RealSecure 4.3.2 访问控制Tcp wrapper 4.4.3 Watcher 使用格式为：Watcher [参数]。具体作用如下表所示 : 4.5.1 一个分布式入侵检测和安全 审计系统S_Audit简介 入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，入侵检测应受到人们的高度重视。 安全审计功能其实在CC标准中有较完备的定义，但经常被人所忽视，对安全审计的概念也往往认识得不够全面，我们希望通过本章相关内容的介绍后读者能对现代安全审计技术有所了解。 l? TCP端口扫描 l??UDP端口扫描 l? Synflood攻击 l? Teardrop攻击 l? Land攻击 l? Smurf攻击 l? Ping of death攻击 参数 作 用 -d device 将device设定为当前的网卡，默认为第一个non_loopback的网络设备 -f flood 设定接收到多少不完全的连接后才认为是flood攻击 -h 帮助信息 -i icomlinit 设定接收到多少icmp echo replies就认为是smurf攻击 -m level 可以设定监控的机器，比如subnet为子域中的机器，而all为所有 -p portlimit 在timeout的限制时间内有多少端口接收到信息包算是一次端口扫描 -r reporttype 如果reporttype设为DoS，那么只有拒绝服务攻击才会被记录；如果是scand的话，那么只有扫描行为会记录。默认设置是记录所有东西 -t timeout 每隔timeout的时间就记录信息包并打印出潜在的攻击行为 -w webcount 设定我们从80端口接收到多少信息包才算是一次端口扫描（CGI） 4.5  现代安全审 计技术 安全审计是一个安全的网络必须支持的功能特性，它记录用户使用计算机网络系统进行所有活动的过程，是提高安全性的重要工具。它不仅能够识别谁访问了系统，还能指出系统正被怎样使用。对于确定是否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。同时，系统事件的记录能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据，为网络犯罪行为及泄密行为提供取证基础。另外，通过对安全事件的不断收集与积累并且加以分析，有选择地对其中的某些站点或用户进行审计跟踪，以便对发现或可能产生的破坏性行为提供有力的证据。 4.5.1 安全审计现状 TCSEC（Trusted Computer System Evalution Criteria）准则，俗称橙皮书，是美国国防部发布的一个准则，用于评估自动信息数据处理系统产品的安全措施的有效性。 1998年，国际标准化组织（ISO）和国际电工委员会（IEC）发表了《信息技术安全性评估通用规则2.0版》（ISO/IEC15408），简称CC准则或CC标准。CC准则是信息技术安全性通用评估准则，用来评估信息系统或信息产品的安全性。 但是大部分的用户和专家对安全审计这个概念的理解都认为是“日志记录”的功能。另一部分的集成商则认为安全审计只需在原来各个产品的日志功能上进行一些改进即可。还有一部分厂商将安全审计和入侵检测产品等同起来。因此目前对于安全审计这个概念的理解还不统一，安全领域对于怎么样的产品才属于安全审计产品还没有一个普遍接受的认识。因此在市场上虽然有不同的厂商打出安全审计产品，但是无论是功能和性能都有很大的差别。 目前的安全审计类产品情况：