电子商务安全实务课件7入侵测技术.ppt

实训七：入侵检测技术 误用检测技术主要是通过某种方式预先定义入侵行为，然后监视系统的运行，并从中找出符合预先定义规则的入侵行为。 4.1 误用/滥用检测技术 监 控 特征提取 匹 配 判 定 误用检测工作过程 实训七：入侵检测技术 这种方式可以检测许多甚至全部已知的攻击行为，但是对于未知的攻击手段却无能为力，即滥用检测系统具有低误报率、漏报率较高的特点。 主要的滥用检测模型包括专家系统、按键监视系统、模型推理系统、误用预测模型、状态转换分析系统、模式匹配系统，目前被广泛应用的是数据包特征模式匹配系统。 4.1 误用/滥用检测技术 实训七：入侵检测技术 异常检测是基于行为的检测技术，检测方法来源于这样的思想：任何人的正常行为都是有一定规律的，并且可以通过分析这些行为产生的日志信息总结出这些规律，并建立用户的正常行为模式（即知识库），当用户活动与正常行为有重大偏离时即被认为是入侵。 4.2 异常检测技术 监 控 量 化 比 较 判 定 修 正 异常检测工作过程 实训七：入侵检测技术 异常检测优点： 能有效检测未知的入侵； 系统能针对用户行为的改变进行自我调整和优化。 缺点：随着检测模型的逐步精确，异常检测会消耗更多的系统资源。 4.2 异常检测技术 实训七：入侵检测技术 要完成异常的入侵检测，需要解决以下两个问题： 用户的行为有一定的规律，但要选择能反映用户的行为，而且能很容易地获取和处理的数据。 通过上面的数据，如何有效地表达用户的正常行为。 4.2 异常检测技术 实训七：入侵检测技术 入侵诱骗技术是一种主动防御技术。它用特有的特征吸引攻击者，试图将攻击者从关键系统引诱开，同时对各种攻击行为进行分析，进而找到有效的对付方法。 蜜罐技术（Honeypot）是一种资源，是故意被攻击的目标，从而引诱黑客前来攻击。 Honeypot并非一种安全的解决方案，它只是一种工具，而且只有Honeypot受到攻击时，它的作用才能发挥出来。 4.3 入侵诱骗及蜜罐技术 实训七：入侵检测技术 在入侵检测系统中，完成系统安全状况分析并确定系统所出问题之后，需要让管理员知道这些问题的存在，必要情况还采取行动，这在入侵检测处理过程模型中称为响应。 响应包括主动响应和被动响应。 4.4 入侵响应技术 实训七：入侵检测技术 1）主动响应 入侵检测系统在检测到入侵后，能自动地与管理员配合，采取行动阻断攻击或影响攻击进程。 包括隔离入侵者IP、禁用被攻击对象的特定端口和服务、隔离被攻击对象、告警被攻击者、跟踪攻击者、断开危险连接、攻击报复攻击者等。 2）被动响应 简单地报告和记录所检测出的问题 4.4 入侵响应技术 实训七：入侵检测技术 1）ISS公司（国际互联网安全系统公司）的RealSecure 2）“天眼”网络入侵检测系统 3）“天阗”黑客入侵检测系统 4）“冰之眼”网络入侵检测系统 5）snort作为一个免费的、功能强大的、开放源代码的入侵检测系统 ，成为很多机构构建安全防护系统时的首选 5 典型入侵检测系统 实训七：入侵检测技术 入侵检测技术的发展趋势主要表现在以下几个方面： （1）高速入侵检测技术 （2）分布式入侵检测 （3）智能化入侵检测 （4）全面地安全防御体系 6 入侵检测技术的发展 1、启动天网防火墙安装程序，进入安装界面，在欢迎界面中选中“我接受此协议”，；并单击“下一步”按钮； 2、选择安装目录，如图6-1所示，然后按提示一直单击“下一步”按钮，直到开始安装； 【实训环节】 1 天网防火墙安装 图6-1 安装目录选择 【实训环节】 模拟实训环境 利用入侵检测软件BlackICE，检测UDP flood攻击为例 1、在被攻击端主机上点击“BlackICE.exe”应用程序，进行安装； 2、按提示操作，在输入序列号对话框中输入序列号，如图7-1 【实训环节】 1 安装入侵检测软件“黑冰”BlackICE 图7-1 序列号对话框 3、在“选择安装路径”对话框中，点击“browse”按键选择自己想要安装的目录路径； 4、在打开的应用程序保护模式对话框中选择保护模式，如图7-2 【实训环节】 1 安装入侵检测软件“黑冰” 图7-2 保护模式设置 5、按提示继续安装，到安装完成；点击相应图标 打开该软件。主界面如图7-3所示。 【实训环节】 1 安装入侵检测软件“黑冰” 图7-3 主界面 1、利用攻击端的计算机向主机A发起UDP Flood攻击，模拟攻击 如图7-4所示。 【实训环节】 2 BlackICE软件的配置 图7-4 模拟攻击 查看BlackICE控制台的EVENTS窗口显示，结果如图7-5所示。 【实训环节】 2 BlackICE软件的配置 图7-5 模拟攻击后检测结果 2、选中