第9章：入侵检测系统.pptVIP

9.1 入侵检测系统介绍 入侵检测的概念 入侵检测系统（简称“IDS”）是一种对网络传输进行实时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。 9.1 入侵检测系统介绍 IDS分类 根据信息来源划分 基于主机IDS 在网络中所监测的每台主机上都装有探测器 HIDS特点: 1.确定攻击是否成功 2.系统行动监视的更好 3.能够检测到网络IDS检测不到的特殊攻击 4.适用于加密的环境 5.不需要额外的硬件设备 9.1 入侵检测系统介绍 IDS分类 根据信息来源划分 基于网络的IDS 在网络中的某个节点上装有探测器来监测整个网络 特点： 1.拥有较低的成本 2.能监测主机IDS所不能监测到的某些攻击 3.与操作系统无关性 4.检测未成功能攻击和不良意图 5.实时检测和响应 9.1 入侵检测系统介绍 IDS分类 根据检测方法划分 异常入侵检测 假设入侵行为与合法用户或者系统的正常行为有偏差。建立一个对应“正常活动”的特征原型，把所有与所建立的特征原型中差别“很大”的所有行为都标志为异常。 9.1 入侵检测系统介绍 IDS分类 根据检测方法划分 滥用入侵检测 根据已知的攻击方法或系统安全缺陷方面的知识，建立特征（ Signature ） 数据库，然后在收集到的网络活动中寻找匹配的使用模式（Pattern）—— 特征匹配/检测 9.1 入侵检测系统介绍 2．IDS的部署 IDS的部署的唯一要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。 IDS在交换式网络中的位置一般是在尽可能靠近攻击源或尽可能靠近受保护资源，这些位置通常是服务器区域的交换机上、Internet接入路由器之后的第一台交换机上、或者重点保护网段的局域网交换机上。 9.1 入侵检测系统介绍 IDS的组成 数据采集器：从整个计算环境中获得事件，并向系统的其他部分提供此事件。 事件分析器：分析得到的数据，并产生分析结果。 响应/控制单元：对分析结果作出作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。 事件知识库：存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。 9.1 入侵检测系统介绍 入侵检测技术 入侵检测系统的核心功能是对各种事件进行分析，从中发现违反安全策略的行为。 从技术上，入侵检测分为两类：一种基于标志（signature-based），另一种基于异常情况（anomaly-based）。 入侵检测分类 基于标识的检测技术 首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。 基于异常的检测技术 先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等，然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。 　 9.1 入侵检测系统介绍 入侵检测系统的工作流程 （1）信息收集 入侵检测的第一步是信息收集，内容包括网络流量的内容、用户连接活动的状态和行为。 （2）信号分析 模式匹配 统计分析 完整性分析 （3）实时记录、报警或有限度反击 IDS 根本的任务是要对入侵行为作出适当的反应，这些反应包括详细日志记录、实时报警和有限度的反击攻击源。 9.1 入侵检测系统介绍 防火墙与入侵检测 功能互补，通过合理搭配部署和联动提升网络安全级别 检测来自外部和内部的入侵行为和资源滥用 在关键边界点进行访问控制 实时的发现和阻断 9.1 入侵检测系统介绍 IDS的缺点 IDS对攻击活动检测的可靠性不高 IDS在应对对自身的攻击时，对其它传输的检测也会被抑制。 IDS的虚警率高 第9章 入侵检测系统 学习目标 领会入侵检测系统的基本概念； 清楚入侵检测系统的组成、部署和相关技术； 知道入侵检测系统的工作流程； 学会使用SessionWall-3实现网络入侵检测。 学习内容 9.1 入侵检测系统介绍 9.2 实训9-1：使用SessiOnWall监测ping flooding 9.1 入侵检测系统介绍 9.2 实训9-1：使用SessionWall监测ping flooding *