《第章电子商务安全技术》-课件.pptVIP

入侵检测系统 3.6.1入侵检测概念 3.6.2入侵检测系统的模型 3.6.3入侵检测系统的功能 3.6.4入侵检测系统的分类 3.6.5入侵检测技术 3.6.6入侵检测系统的部署 3.6.7入侵检测的局限性 3.6.8入侵检测技术发展方向 3.6.1入侵检测概念 入侵检测系统全称为Intrusion Detection System，它从计算机网络系统中的关键点收集信息，并分析这些信息，利用模式匹配或异常检测技术来检查网络中是否有违反安全策略的行为和遭到袭击的迹象 3.6.2入侵检测系统的模型 3.6.3入侵检测系统的功能 1）监视用户和系统的运行状况，查找非法用户和合法用户的越权操作 2）检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞 3）对用户的非正常活动进行统计分析，发现入侵行为的规律 4）系统程序和数据的一致性与正确性 5）识别攻击的活动模式，并向网管人员报警 6）对异常活动的统计分析 7）操作系统审计跟踪管理，识别违反政策的用户活动 3.6.4入侵检测系统的分类 1.基于主机的入侵检测系统 优点： （1）检测准确率高 （2）适用于被加密的以及切换的环境 （3）近于实时的检测和响应 （4）不要求额外的硬件设备 （5）能够检查到基于网络的系统检查不出的攻 击 （6）监视特定的系统活动 3.6.4入侵检测系统的分类 2.基于网络的入侵检测系统 3.6.4入侵检测系统的分类 2.基于网络的入侵检测系统 优点： （1）拥有成本较低 （2）检测基于主机的系统漏掉的攻击 （3）检测未成功的攻击和不良意图 （4）操作系统无关性 （5）占用资源少 3.6.5入侵检测技术 1.模式匹配技术 模式匹配是基于知识的检测技术，它假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，那么所有已知的入侵方法都可以用匹配的方法发现。它的实现即是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为 。 模式发现的关键是如何表达入侵的模式，把真正的入侵与正常行为区分开来 。 3.6.5入侵检测技术 2.异常发现技术 异常发现技术是基于行为的检测技术，它假定所有入侵行为都是与正常行为不同的。如果建立系统正常行为的轨迹，那么理论上可以把所有与正常轨迹不同的系统状态视为可疑企图。它根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检测，所以也被称为基于行为的检测 3.6.5入侵检测技术 3.完整性分析技术 完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特洛伊化的应用程序方面特别有效 3.6.6入侵检测系统的部署 1.基于网络的入侵检测系统的部署 3.6.6入侵检测系统的部署 2.基于主机入侵检测系统的部署 基于主机的入侵检测系统主要安装在关键主机上，这样可以减少规划部署的花费，使管理的精力集中在最重要最需要保护的主机上。同时，为了便于对基于主机的入侵检测系统的检测结果进行及时检查，需要对系统产生的日志进行集中。 3.6.6入侵检测系统的部署 3.响应策略的部署 入侵检测系统在检测到入侵行为的时候，需要报警并进行相应的反应。如何报警和选取什么样的报警，需要根据整个网络的环境和安全的需求进行确定。 例如，对于一般性服务的企业，报警主要集中在已知的有威胁的攻击行为上；关键性服务企业则需要将尽可能多的报警进行记录并对部分认定的报警进行实时的反馈。 3.6.7入侵检测的局限性 1.攻击特征库的更新不及时 2.检测分析方法单一 3.不同的入侵检测系统之间不能互操作 4.不能和其他网络安全产品互操作 5.结构存在问题 3.6.8入侵检测技术发展方向 入侵检测的发展趋势是朝着深度、广度、性能和协同工作几个方向发展： 1.高性能的分布式入侵检测系统 2.智能化入侵检测系统 3.协同工作的入侵检测系统 3.7计算机病毒 3.5.1计算机病毒概述 3.5.2计算机病毒检测方法 3.5.3计算机病毒的预防措施 3.5.4病毒举例 3.7计算机病毒 3.7.1计算机病毒概述 3.7.2计算机病毒检测方法 3.7.3计算机病毒的预防措施 3.7.4病毒举例 3.7.1计算机病毒概述 1.计算机病毒的特征 传染性 、破坏性 、潜伏性、隐蔽性 2.计算机病毒的分类 （1）按病毒的传染方式来分：引导型病毒、文件型病毒及混合型病毒三种 （2）按病毒的破坏程度来分：良性病毒、恶性病毒、极恶性病毒和灾难性病毒四种 3.7.1计算机病毒概述 3.计算机病毒的命名 （1）按病毒发作的时间命名 如“黑色星期五” （2）按病毒发作症状命名 如“火炬”病毒