第7章 网络的攻击及防范.pptVIP

* 计算机网络安全 * 网络IDS优势: (1) 实时分析网络数据，检测网络系统的非法行为； (2) 网络IDS系统单独架设，不占用其它计算机系统的任何资源； (3) 网络IDS系统是一个独立的网络设备，可以做到对黑客透明，因此其 本身的安全性高； (4) 它既可以用于实时监测系统，也是记录审计系统，可以做到实时保 护，事后分析取证； (5) 通过与防火墙的联动，不但可以对攻击预警，还可以更有效地阻止 非法入侵和破坏。 (6)不会增加网络中主机的负担。 * 计算机网络安全 * 网络IDS的劣势: (1)不适合交换环境和高速环境 (2)不能处理加密数据 (3) 资源及处理能力局限 (4) 系统相关的脆弱性 * 计算机网络安全 * 基于主机的入侵检测 HIDS是配置在被保护的主机上的，用来检测针对主机的入侵和攻击 主要分析的数据包括主机的网络连接状态、审计日志、系统日志。 内网 Internet * 计算机网络安全 * 主机IDS优势: (1) 精确地判断攻击行为是否成功。 (2) 监控主机上特定用户活动、系统运行情况 (3) HIDS能够检测到NIDS无法检测的攻击 (4) HIDS适用加密的和交换的环境。 (5) 不需要额外的硬件设备。 * 计算机网络安全 * 主机IDS的劣势: (1) HIDS对被保护主机的影响。 (2) HIDS的安全性受到宿主操作系统的限制。 (3) HIDS的数据源受到审计系统限制。 (4) 被木马化的系统内核能够骗过HIDS。 (5) 维护/升级不方便。 * 计算机网络安全 * 1) 如果攻击不经过网络基于网络的IDS无法检测到只能通过使用基于 主机的IDS来检测； 2) 基于网络的IDS通过检查所有的包头来进行检测，而基于主机的 IDS并不查看包头。主机IDS往往不能识别基于IP的拒绝服务攻击 和碎片攻击； 3) NIDS可以研究数据包的内容，查找特定攻击中使用的命令或语  法，这类攻击可以被实时检查包序列的IDS迅速识别；而HIDS的 系统无法看到负载，因此也无法识别嵌入式的数据包攻击。 网络IDS与主机IDS的比较: * 计算机网络安全 * IDS的基本结构 无论IDS系统是网络型的还是主机型的，从功能上看，都可分为两大部分：探测引擎和控制中心。前者用于读取原始数据和产生事件；后者用于显示和分析事件以及策略定制等工作。 * 计算机网络安全 * 天阗黑客入侵检测与预警系统 天阗网络入侵检测系统典型部署结构图 * 计算机网络安全 * 7.6 入侵防御系统 IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。因此，人们迫切地需要找到一种主动入侵防护解决方案，以确保企业网络在威胁四起的环境下正常运行。 入侵防御系统（Intrusion Prevention System或Intrusion Detection Prevention，即IPS或IDP）就应运而生了。IPS是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性的攻击。IPS使得IDS和防火墙走向统一。 IDS以关联方式部署在不同的服务器和网段上，先将服务器或网段上的流量镜像到网络传感器上，再通过IDS管理控制台进行分析，如果发现入侵或攻击，则会产生报警， IPS 以串联的方式部署在网络的进出口处，像防火墙一样，它对进出网络的所有流量进行分析，当检测到有入侵或攻击企图后，会自动将相应的数据包丢弃，或采取相应的措施将攻击源阻断 。 * 计算机网络安全 * 图7-20 IDS在网络中的部署方式 图7-21 IPS在网络中的部署方式 * 计算机网络安全 * 基于主机的入侵防御 基于主机的入侵防御（HIPS）通过在服务器等主机上安装代理程序来防止对主机的入侵和攻击，保护服务器免受外部入侵或攻击。HIPS可以根据自定义的安全策略以及分析学习机制来阻断对服务器等主机发起的恶意入侵，HIPS可以阻断缓冲区溢出、更改登录口令、改写动态链接库以及其他试图获得操作系统入侵权的行为，加强了系统整体的安全性。 IPS的分类: * 计算机网络安全 * 基于网络的入侵防护 基于网络的入侵防护（NIPS）通过检测流经的网络流量，提供对网络系统的安全保护。与IDS的并联方式不同，由于IPS采用串联方式，所以一旦检测出入侵行为或攻击数据流，NIPS就可以去除整个网络会话。另外，由于IPS以串联方式接入整个网络的进出口处，所以NIPS的性能也影响着整体网络的性能，NIPS有可能成为整个网络的