《信息安全与管理》-(课件).ppt

信息安全与管理 1、入侵检测的概念 1、入侵检测的概念：模型 1、入侵检测的概念：模型 1、入侵检测的概念：任务 1、入侵检测的概念 2、入侵检测的分类 2、入侵检测的分类 2、入侵检测的分类 2、入侵检测的分类 3、信息收集 4、信号分析 4、信号分析 4、信号分析 1、技术分类 1、技术分类 1、技术分类 2、常用检测方法 2、常用检测方法 2、常用检测方法 2、常用检测方法 2、常用检测方法 2、常用检测方法 3、入侵的发展趋势 4、存在的问题 4、存在的问题 4、存在的问题 5、入侵检测技术发展方向 5、入侵检测技术发展方向 1、基于网络的入侵检测 1、基于网络的入侵检测 1、基于网络的入侵检测 1、基于网络的入侵检测 2、基于主机的入侵检测 2、基于主机的入侵检测 2、基于主机的入侵检测 3、混合入侵检测 1、入侵检测的评估 2、入侵检测的产品 3、入侵检测产品选择要点 IDS的标准化 二、入侵检测技术分析 神经网络、遗传算法、模糊技术、免疫原理等方法，用于入侵特征的辨识。 利用专家系统，具有自学习能力，实现知识库的不断更新与扩展。 应用智能体(Agent)技术进行入侵检测。应该将常规高效的IDS与智能检测模块结合使用。 应用层入侵检测：许多入侵的语义只有在应用层才能理解。使IDS不仅能检测Web类的通用协议，还能处理如Lotus Notes、数据库系统等其他的应用系统。 智能化入侵检测： 二、入侵检测技术分析 应用层入侵检测： 目前的IDS仅能检测如WEB之类的通用协议 高速网络的入侵检测 目前的IDS只有几十兆的检测速度 入侵检测系统的标准化 在大型网络中，网络的不同部分可能使用多种入侵检测系统，多个系统之间以及IDS和其他安全组件之间如何交换信息，共同协作来发现攻击、作出响应并阻止攻击是关系整个系统安全性的重要因素。 三、入侵检测产品分析 基于网络的入侵检测系统：放置在比较重要的网段内，不停监视网段中的数据包。使用原始网络包作为数据源。通常采用四种技术来识别攻击标志： 模式、表达式或字节匹配 频率或穿越阈值 低级事件的相关性 统计学意义上的非常规现象检测 一旦检测到了攻击行为，IDS的响应模块提供多种选项以通知、报警并对攻击采取相应的反应。通常都包括通知管理员、中断连接，收集证据。 三、入侵检测产品分析 优点： 1）成本低：可在几个关键访问点上进行配置，不要求在各主机上装载并管理软件。 2）通过检测数据包的头部可发现基于主机的IDS所漏掉的攻击（如：DOS 、碎片包Teardrop攻击）。基于主机的IDS无法查看包的头部。 3）攻击者不易销毁证据：可实时记录攻击者的有关信息（不仅包括攻击的方法，还包括可识别黑客身份和对其进行起诉的信息）。黑客一旦入侵到主机内部都会修改审计记录，抹掉作案痕迹。 三、入侵检测产品分析 4）实时检测和响应： 可以在攻击发生的同时将其检测出来，并做出更快的响应。例如，对拒绝服务攻击发出TCP复位信号，在该攻击对目标主机造成破坏前将其中断。而基于主机的系统只有在可疑的登录信息被记录下来以后才能识别攻击并做出反应。而这时关键系统可能早就遭到了破坏。 5）能检测未成功的攻击和不良意图。基于主机的系统无法查到未遂的攻击，而这些丢失的信息对于评估和优化安全策略至关重要。 6）操作系统无关性 三、入侵检测产品分析 网络入侵检测系统的弱点： 只检查它直接连接网段的通信； 为了不影响性能，通常采用简单的特征检测算法，难以实现复杂计算与分析； 会将大量的数据传给检测分析系统； 难以处理加密会话。目前通过加密通道的攻击尚不多，随着IPv6的普及，这个问题会越来越突出。 三、入侵检测产品分析 通常是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律)，入侵检测系统就会采取相应措施。 优点： 1．确定攻击是否成功：基于主机的IDS使用含有已发生事件信息，比基于网络的IDS更加准确地判断攻击是否成功。 2． 监视特定的系统活动：监视用户和访问文件的活动，包括文件访问、改变文件权限；记录帐户或文件的变更，发现并中止改写重要系统文件或者安装特洛伊木马的企图。 三、入侵检测产品分析 3．检测被基于网络IDS漏掉的、不经过网络的攻击。 4． 可用于加密的和交换的环境。 交换设备可将大型网络分成许多的小型网络部件加以管理，所以很难确定配置基于网络的IDS的最佳位置。基于主机的入侵检测系统可安装在所需的重要主机上，在交换的环境中具有更高的能见度。 由于加密方式位于协议堆栈内，所以基于网络的IDS可能对某些攻击没有反应，基于主机的IDS没有这方面的限制，因为这时数据流已经被解密了。 三、入侵检测产品分析 5．