网络安全应用技术 chapter6 入侵检测.pptVIP

第6章 入侵检测 本章提要： 入侵检测是对入侵行为的检测，它是一种主动保护自己免受攻击的网络安全技术 入侵检测系统应当挂接在所关注流量都必须流经的链路上 一般把入侵检测系统分为三类：基于网络的IDS（NIDS）、基于主机的IDS（HIDS）、分布式IDS（DIDS） 从功能上将入侵检测系统划分为四个基本部分：数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统 入侵检测系统产品及选购原则 引言 防火墙就像内网的门卫，入侵检测系统就像小区的巡逻保安。它们各尽其能，恪尽职守，内网才能获得更高的安全度。那么，什么是入侵检测？它的构成是怎样的？目前有哪些主流产品？我们该如何应用它呢？ 6.1什么是入侵检测 入侵检测，顾名思义，是对入侵行为的检测。它是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。它可以防止或减轻网络威胁。而入侵检测系统（IDS）就是自动执行入侵检测的软件与硬件的组合。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。 IDS是英文“Intrusion Detection System”的缩写，中文意思是“入侵检测系统”。 入侵检测系统在网络中所处的位置 IDS在交换式网络中的位置一般选择在： (1)尽可能靠近攻击源 (2)尽可能靠近受保护资源，这些位置通常是：a)服务器区域的交换机上；b)Internet接入路由器之后的第一台交换机上；c)重点保护网段的局域网交换机上 入侵检测系统在网络中所处的位置 6.1.2为什么要使用入侵检测系统 防火墙具有局限性 其他安全组件的不足 入侵检测系统的作用 防火墙的局限性 （1）防火墙无法阻止内部人员所做的攻击 （2）防火墙对信息流的控制缺乏灵活性 （3）在攻击发生后，利用防火墙保存的信息难以调查和取证 其他安全组件的不足 扫描器：扫描器可以说是入侵检测的一种，主要用来发现网络服务、网络设备和主机的漏洞，通过定期的检测与比较，发现入侵或违规行为留下的痕迹。当然，扫描器无法发现正在进行的入侵行为，而且它还有可能成为攻击者的工具。 防毒软件：防毒软件是最为人熟悉的安全工具，可以检测、清除各种文件型病毒、宏病毒和邮件病毒等。在应对黑客入侵方面，它可以查杀特洛伊木马和蠕虫等病毒程序，但对于基于网络的攻击行为（如扫描、针对漏洞的攻击）却无能为力。 安全审计：安全审计通过独立的、对网络行为和主机操作提供全面与忠实的记录，方便用户分析与审查事故原因，很像飞机上的黑匣子。由于数据量和分析量比较大，目前市场上鲜见特别成熟的产品，即使存在冠以审计名义的产品，也更多的是从事入侵检测的工作。 入侵检测系统的作用 （1）通过检测和记录网络中的安全违规行为，惩罚网络犯罪，防止网络入侵事件的发生； （2）检测其它安全措施未能阻止的攻击或安全违规行为； （3）检测黑客在攻击前的探测行为，预先给管理员发出警报； （4）报告计算机系统或网络中存在的安全威胁； （5）提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于其进行修补； （6）在大型、复杂的计算机网络中布置入侵检测系统，可以显著提高网络安全管理的质量。 6.1.3入侵检测系统的分类 通过IDS所监视的活动、网络流量、事务或系统等的类型来划分: （1）基于网络的IDS（NIDS）：通过检测网络传输来寻找攻击特征。 （2）基于主机的IDS（HIDS）：通过监视主机和文件系统的操作来寻找攻击特征，对单台主机进行保护。 （3）分布式IDS（DIDS）：实现远程监控器的功能，并且把报警信息和日志发送到一个统一的中央管理平台的IDS群组。  6.1.3入侵检测系统的分类 按照IDS对事件的不同分析方法来划分 （1）一些IDS主要使用特征检测技术，这和很多防病毒软件的工作原理类似。 （2）另一种检测的方式叫做基于异常的检测技术。 1、基于网络的入侵检测系统（NIDS） 2、基于主机的入侵检测系统（HIDS） 3、分布式入侵检测系统（DIDS） 6.2 入侵检测系统 6.2.1入侵检测系统构成 具体实现起来，一般都将数据采集子系统和数据分析子系统在Linux或Unix平台上实现，我们称之为“数据采集分析中心”，也可以把它们合称为“入侵检测引擎”，将控制台子系统在Windows NT或2000上实现，数据库管理子系统基于数据库，多跟