4-2：信息安全产品-IDS、漏洞扫描与蜜罐.pptVIP

信息安全产品与技术 入侵检测、漏洞扫描与蜜罐 入侵检测 什么是入侵检测 入侵检测（Intrusion Detection）是检测计算机网络和系统以发现违反安全策略事件的过程 IDS 入侵检测系统包括三个功能组件 提供事件记录流的信息源 发现入侵迹象的分析引擎 基于分析引擎的结果产生反应的响应部件 入侵检测 入侵检测系统基本框架 异常入侵检测技术 异常检测主要根据合法行为（状态）定义来分析系统是否受到攻击或者运行异常 是目前入侵检测技术的主要研究发展方向 典型应用：CPU使用率，内存使用率，网络流量，用户行为，系统调用等等 异常入侵检测技术 优点： 可以检测到未知攻击 知识库相对稳定 缺点： 准确性差 误报率高 异常检测典型系统－TripWare TripWare主要利用关键性文件的摘要作为自己知识库，合法用户修改文件后要更新该文件摘要，由于非法用户无权更改其摘要，所以当发现文件摘要和保存的记录不符时，判定系统受到攻击。 异常检测典型系统－TripWare 优点： 实现简单 管理方便 缺点： 检测能力差 误用入侵检测技术 误用检测根据非法行为（状态）定义，分析目标系统状态，以确定是否受到攻击 技术较为成熟，为绝大多数市场产品采用 典型应用： 网络数据包 用户指令序列 应用程序编码特征，等等 误用入侵检测技术 优点 准确 高效（相对） 易实现 缺点 不能检测未知攻击 知识库会无限增长 描述所有攻击行为困难 误用检测典型系统－Snort Snort是一个典型的轻量级误用网络入侵检测系统。该系统自己定义了一套规则语言来定义入侵行为，规则语言所描述的主要是网络数据包的特性，比如地址、端口、包头属性、包含的特殊数据等等。 误用检测典型系统－Snort Snort规则语言（示例） log tcp any any - 10.1.1.0/24 79 alert tcp any any - 10.1.1.0/24 80 (content: /cgi-bin/phf;msg PHF probe!) alert tcp !10.1.1.0/24 any - 10.1.1.0/24 6000:6010 ( msg: X traffic;) alert tcp any any - 192.168.1.0/24 143 (content:|E8C0 FFF FF|/bin/sh; msg:New IMAP Buffer Overflow detected!;) 误用检测典型系统－Snort 优点: 检测的准确度比较高 缺点: 检测的效率低 对复杂攻击检测能力差 容易被欺骗 基于主机系统的结构 其检测目标主要是主机系统和系统本地用户 根据主机的审计数据和系统的日志发现可疑事件 依赖于审计数据和系统日志的准确性和完整性 基于网络系统的结构 根据网络流量和单台或多台主机的审计数据对入侵行为进行检测。 由探测器和分析器以及网络安全知识库组成 具有配置简单，服务器平台独立性等优点 入侵防御（IPS） 入侵防御（IPS） 什么是IPS？ identify, classify, and stop malicious traffic before they affect network continuity. 入侵防御（IPS） 漏洞扫描 蜜罐 什么是蜜罐 蜜罐是一种网络攻击诱骗工具，它通过模拟一个或多个易受攻击的系统，给黑客提供一个包含漏洞并容易被攻破的系统作为他们的攻击目标 目的： 研究攻击 转移攻击 蜜罐的分类 产品蜜罐 减少攻击 研究蜜罐 研究攻击 蜜网（honeynet） 一种研究型、高交互型的蜜罐技术 对攻击者活动进行收集 一个体系框架 包括一个或多个蜜罐 高可控的蜜罐网络 蜜网的需求 数据控制 降低风险－使得蜜网不会被用以危害第三方 数据捕获 检测并捕获所有攻击者的活动 数据分析 分析攻击者做了什么！ ？ * 入侵检测－入侵检测定义 威胁管理类产品 2nd layer of DefenseIDS intended to provide Detect Attacks 1st layer of Defense Firewalls provides Access Control Corporate Network 入侵检测－入侵检测定义 入侵检测－入侵检测技术 入侵检测－入侵检测技术 入侵检测－入侵检测技术 入侵检测－入侵检测技术 入侵检测－入侵检测技术 入侵检测－入侵检测技术 入侵检测－入侵检测技术 入侵检测－入侵检测技术 入侵检测－入侵检测技术 入侵检测－入侵检测系统结构 入侵检测－入侵检测系统结构 Dropped from the network An active, in-line system dete