入侵检测和入侵响应.ppt

入侵检测 防火墙 防火墙是位于两个或多个网络之间，执行访问控制策略的一个或一组系统，是一类防范措施的总称。它可以有效地保护本地系统或网络，抵制外部网络安全威胁，同时支持受限的通过WAN或Internet对外界进行访问。 防火墙特征 防火墙嵌入在局域网和Internet连接的网关上 所有从内到外和从外到内的数据都必须通过防火墙（物理上阻塞其它所有访问） 只有符合安全政策的数据流才能通过防火墙 防火墙系统自身应对渗透(peneration)免疫，（如一般必须是一个安装了安全操作系统的可信任系统） 防火墙的优点 防火墙对企业内部网实现了集中的安全管理，可以强化网络安全策略，比分散的主机管理更经济易行 防火墙能防止非授权用户进入内部网络，有效地对抗外部网络入侵 由于所有的访问都经过防火墙，防火墙成为审计和记录网络的访问和使用的最佳地点，可以方便地监视网络的安全性并报警。 可以作为部署网络地址转换（Network Address Translation）的地点，利用NAT技术，可以缓解地址空间的短缺，隐藏内部网的结构。 利用防火墙对内部网络的划分，可以实现重点网段的分离，从而限制安全问题的扩散。 防火墙可以作为IPSec的平台，可以基于隧道模式实现VPN 。 防火墙的局限性 为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务，给用户带来使用的不便。 防火墙不能对绕过防火墙的攻击提供保护，如拨号上网等。 不能对内部威胁提供防护支持。 受性能限制，防火墙对病毒传输保护能力弱。 防火墙对用户不完全透明，可能带来传输延迟、性能瓶颈及单点失效。 防火墙不能有效地防范数据内容驱动式攻击。 作为一种被动的防护手段，防火墙不能自动防范因特网上不断出现的新的威胁和攻击。 为什么需要IDS 入侵检测系统（IDS） 入侵（ Intrusion）: 企图进入或滥用计算机系统的行为。 入侵检测（Intrusion Detection）： 对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。 入侵检测系统（Intrusion Detection System ） 进行入侵检测的软件与硬件的组合便是入侵检测系统 入侵检测的分类（1） 按照分析方法（检测方法） 异常检测（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 入侵检测的分类（2） 按照数据来源： 基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机 基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行 混合型 IDS 分类 IDS 分类 主机入侵检测系统(HIDS) -----在网络中所监测的每台主机上都装有探测器(工作对象基于主 机) 特点： 1.确定攻击是否成功---使用已发生的事件信息做为检测条件，比网络IDS更准确的判定攻击是否成功 2.系统行动监视的更好---对于每一个用户(尤其是系统管理员)上 网下网的信息、连入网络后的行为和所受到的入侵行为监测的 更为详细，记录的更准确，相比之下，网络IDS要想做到这一点存在很大的难度 3.能够检测到网络IDS检测不到的特殊攻击----如某服务器上有人直接对该机进行非法操作，网络IDS不能检测出该攻击，而主 机IDS则可以做到 4.适用于加密的环境 ----在某些特殊的加密网络环境中，由于网络IDS所需要的网络环境不能满足，所以在这种地方应用主机 IDS就可以完成这一地方的监测任务 5.不需要额外的硬件设备----与网络IDS相比，不需要专用的硬件检测系统，降低的硬件成本 IDS 分类 大规模分布式入侵检测系统(DIDS) -----系统中既包括网络探测器也包括主机探测器(工作对象同时基 于网络和主机) 特点： 1.适用于大规模复杂的网络环境----分层次、多级的分布的系统结 构适用于大规模的网络环境中 2.全面的检测方式更好的保护网络----包含网络IDS和主机IDS两 种入侵检测系统的检测部分，更全面、更详细的监测网络及系 统动态。 入侵检测的