第18讲侵检测技术.ppt

使用 软件下载 软件安装 软件使用 本章总结 本章介绍了防御技术中的防火墙技术与入侵检测技术。 重点理解防火墙的概念、分类、常见防火墙的系统模型以及创建防火墙的基本步骤。 掌握使用Winroute创建简单的防火墙规则。 重点理解入侵检测系统的基本概念、检测的方法以及入侵检测的步骤。 掌握编写简单入侵检测的程序，掌握一种入侵检测工具。 本章习题 【1】、什么是防火墙？古时候的防火墙和目前通常说的防火墙有什么联系和区别？ 【2】、简述防火墙的分类，并说明分组过滤防火墙的基本原理。 【3】、常见防火墙模型有哪些？比较他们的优缺点。 【4】、编写防火墙规则：禁止除管理员计算机（IP为10）外任何一台电脑访问某主机（IP为09）的终端服务（TCP端口3389）。 【5】、使用Winroute实现第四题的规则。（上机完成） 【6】、简述创建防火墙的基本步骤以及每一步的注意点。 【7】、什么是入侵检测系统？简述入侵检测系统目前面临的挑战。 【8】、简述入侵检测常用的四种方法。 【9】、编写程序实现每十秒检查一次与端口关联的应用程序。（上机完成） 【10】、简述入侵检测的步骤以及每一步的工作要点。 【11】、对某一台装有入侵检测工具的计算机进行扫描、攻击等实验，查看入侵检测系统的反应，并编写实验报告。（上机完成） 第18讲 入侵检测技术 主讲：贾忠田 入侵检测系统的概念 入侵检测系统1DS（Intrusion Detection System）指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。 主要产品 Snort NFR eTrust BlackICE Cisco公司的NetRanger Network Associates公司的CyberCop Internet Security System公司的RealSecure Intrusion Detection公司的Kane Security Monitor Axent Technologies公司的OmniGuard/Intruder Alert 中科网威的“天眼”入侵检测系统 启明星辰的SkyBell（天阗） 入侵检测系统选购原则 （1）产品的攻击检测数量为多少？是否支持升级？ （2）对于网络入侵检测系统，最大可处理流量(PPS)是多少？ （3）产品容易被攻击者躲避吗？ （4）能否自定义异常事件？ （5）产品系统结构是否合理？ （6）产品的误报和漏报率如何？ （7）系统本身是否安全？ （8）产品实时监控性能如何？ （9）系统是否易用？（包括：界面易用、帮助易用、策略编辑易用、日志报告易用、报警事件优化技术） （10）特征库升级与维护的费用怎样？ （11）产品是否通过了国家权威机构的评测？ 入侵检测系统面临的挑战 一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和计算机的访问。误报是入侵检测系统最头疼的问题，攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报，而诱导没有警觉性的管理员人把入侵检测系统关掉。 误报 没有一个入侵检测能无敌于误报，因为没有一个应用系统不会发生错误，原因主要有四个方面。 1、缺乏共享数据的机制 2、缺乏集中协调的机制 3、缺乏揣摩数据在一段时间内变化的能力 4、缺乏有效的跟踪分析 入侵检测系统的类型和性能比较 根据入侵检测的信息来源不同，可以将入侵检测系统分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。 1、基于主机的入侵检测系统：主要用于保护运行关键应用的服务器。它通过监视与分析土机的审计记录和日志文件：来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。 2、基于网络的入侵检测系统：主要用于实时监控网络关键路径的信息，它监听网络上的所有分组来采集数据，分析可疑现象。 入侵检测的方法 目前入侵检测方法有三种分类依据： 1、根据物理位置进行分类。 2、根据建模方法进行分类。 3、根据时间分析进行分类。 常用的方法有三种：静态配置分析、异常性检测方法和基于行为的检测方法。 静态配置分析 静态配置分析通过检查系统的配置，诸如系统文件的内容，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征（比如，系统配置信息）。 采用静态分析方法主要有以下几方面的原因：入侵者对系统攻击时可能会留下痕迹，可通过检查系统的状态检测出来。 异常性检测方法 异常性检测技术是一种在不需要操作系统及其安全性缺陷的专门知识的情况下，就可以检测入侵者的方法，同时它也是检测冒充合