第11章：典型防御技术知识.ppt

* 网络入侵与防范讲义 * 基于主机的入侵检测系统的优点 基于主机的入侵检测系统的优点是： 更好的辨识分析 对特殊主机事件的紧密关注及称本低 监视特定的系统活动 能够检测到基于网络的系统检测不到的攻击 适用于交换及加密环境 不要求额外的硬件 * 网络入侵与防范讲义 * 基于主机的入侵检测系统(4) 基于主机的IDS依赖于审计数据或系统日志准确性和完整性以及安全事件的定义。 若入侵者设法逃避审计或进行合作入侵，则基于主机检测系统就暴露出其弱点。 特别是在现在的网络环境下，单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。 * 网络入侵与防范讲义 * 基于主机的入侵检测系统的缺点 这主要表现在以下四个方面： (1).主机的审计信息弱点，如易受攻击，入侵者可通过使用某些系统特权或调用比审计本身更低的操作来逃避审计。 (2).不能通过分析主机审计记录来检测网络攻击（域名欺骗、端口扫描等）。 (3). IDS的运行或多或少影响服务器的性能。 (4). Host-Based IDS只能对服务器的特定的用户、应用程序执行动作、日志进行检测，所能检测到的攻击类型受到限制。 * 网络入侵与防范讲义 * 11.4.3 基于网络的入侵检测系统 基于网络入侵检测系统通过实时监视并分析网络的所有通信业务检测入侵。 基于网络的入侵检测系统的数据源是网络流量，检测范围是整个网络，能检测出远程入侵，对于本地入侵它是看不到的。 由于网络数据比较规范（TCP/IP协议的数据包），所以基于网络的入侵检测系统比较易于实现。 * 网络入侵与防范讲义 * 基于网络的入侵检测系统结构 * 网络入侵与防范讲义 * 探测器 由过滤器、网络接口引擎器以及过滤规则决策器组成。 功能：按一定规则从网络获取与安全事件相关的数据包，传递至分析引擎器进行安全分析判断。 * 网络入侵与防范讲义 * 分析引擎器 将由探测器上接收到的包结合网络安全数据库进行分析。 将分析结果传递给配置构造器。 分析引擎器是它的一个重要部件，用来分析网络数据中的异常现象或可疑迹象，并提取出异常标志。分析引擎器的分析和判断决定了具有什么样特征的网络数据流是非正常的网络行为。 * 网络入侵与防范讲义 * 安全配置构造器 根据分析引擎器结果构造出探测所需的配置规则。 * 网络入侵与防范讲义 * 基于网络的入侵检测系统(2) 基于网络的入侵检测系统通常将主机的网卡设成混杂模式(promiscuous mode)，实时监视并分析通过网络的所有通信业务。 基于网络的入侵检测系统担负着保护整个网段的任务，它的分析引擎器常使用4种技术来识别攻击标志。 模式、表达式或字节匹配 频率或穿越阀值 次要事件的相关性 统计学意义上的非常规现象检测 * 网络入侵与防范讲义 * 基于网络的入侵检测系统的特性 实施成本较低 全面而准确的识别攻击特征 攻击者不易转移证据 实时检测和响应 检测未被成功的攻击和不良的意图 操作系统无关性 * 网络入侵与防范讲义 * 基于网络的入侵检测系统的特性 服务器独立性：基于网络的入侵检测监视通信流量而不影响服务器的平台的变化和更新； 配置简单：基于网络的入侵检测环境只需要一个普通的网络访问接口即可； 众多的攻击标识：基于网络的入侵检测探测器可以监视多种多样的协议攻击和特定环境的攻击。 * 网络入侵与防范讲义 * 11.4.4 典型的入侵检测产品介绍 Snort ISS Real Secure Watcher * 网络入侵与防范讲义 * Snort Snort是一个免费、开放源代码的基于网络的入侵检测系统，它具有很好的配置性和可移植性。 Snort最初是设计给小网络段使用的，常被称为轻量级的入侵检测系统。现在Snort既可用于Unix/Linux平台，也有适用于Windows操作系统的版本，并且已经有了方便的图形用户界面。 扩展性很好：基于规则的体系结构使Snort非常灵活，设计者使其很容易插入和扩充新的规则——就能对抗那些新出现的威胁。 * 网络入侵与防范讲义 * Snort Snort具有实时数据流量分析和日志IP网络数据包的能力，能截获网络中的数据包并记录数据包日志。日志格式既可以是Tcpdump式的二进制格式，也可以解码成ASCII字符形式，还可以通过数据库输出插件记入数据库。 Snort能够对多种协议进行协议解析，对内容进行搜索和匹配。它能够检测多种方式的攻击和探测。 Snort的报警机制很丰富，有多种方式。利用XML插件，Snort可以使用SNML（Simple Network Markup Language，简单网络标记语言），把日志存放到一个文件或者适时报警。 * 网络入侵与防范讲义 * ISS RealSecure Internet Security Syst