入侵防御系统-长沙蓝狐网络培训学校.pdf

入侵防御系统 长沙蓝狐网络培训学校钟乐 入侵检测系统 入侵防御产生背景 入侵防御系统原侵防御系统原理 入侵防御产品介绍入侵防御产品介绍 入侵防御网络部署 入侵防御系统配置 入侵防御御产生的背景背景 ●● 众所周知众所周知，当前网络安全形势严峻当前网络安全形势严峻，木马木马、病毒病毒、蠕虫蠕虫、黑客黑客、 恶意代码、漏洞利用等安全威胁层出不穷，国际权威安全组织 CERT(CCERT(Computter EExiigency RResponse TTeam，计算机紧急响应小组计算机紧急响应小组)) 监测并统计得到：2008年上半年，平均每天会有1.5万个网页受到 恶意代码感染恶意代码感染，即每即每55秒钟内就会增加一个被感染的网页秒钟内就会增加一个被感染的网页。这些安这些安 全威胁有一个共同的特点：均属于应用层安全威胁，传统防火墙 等产品无法检测和防范这类安全威胁等产品无法检测和防范这类安全威胁;;因而因而，我们急需一款能够检我们急需一款能够检 测防范应用层安全威胁的产品。 入侵检测系统 入侵防御产生背景 入侵防御系统原侵防御系统原理 入侵防御产品介绍入侵防御产品介绍 入侵防御网络部署 入侵防御系统配置 入侵检测系统原理 入侵检测与防御区别 入侵防御系统检测技术侵防御系统检测技术 入侵防御系统工作模式入侵防御系统工作模式 入侵防御系统逃避技术 入侵防御系统种类 入侵检测与入侵防御御 区别 ●● 入侵检测系统入侵检测系统 (IDS)(IDS)：依据依据一定的安全策略定的安全策略，对网络对网络，系统的运行系统的运行 状况进行监视，尽可能发现各种攻击企图，攻击行为或者攻击结 果果。 ● 入侵检测系统主要功能： 监控并分析网络活动； 识别已知的攻击行为； 统计分析异常行为； 入侵检测与入侵防御御 区别 ●● 入侵防御系统入侵防御系统 （（IPSIPS））：依据依据一定的安全策略定的安全策略，对网络进行监控对网络进行监控， 一旦发现攻击，或者网络异常能采用相应的抵御措施，例如：丢 弃该报文弃该报文，重置重置，断开连接等等断开连接等等 ● 入侵防御系统主要功能： 精确检测； 实时阻断； 入侵检测系统原理 入侵检测与防御区别 入侵防御系统检测技术侵防御系统检测技术 入侵防御系统工作模式入侵防御系统工作模式 入侵防御系统逃避技术 入侵防御系统种类 基于pprofile的入侵检测 ●● 检测不符合规则的网络活动检测不符合规则的网络活动，与正常网络活动规则进行比较与正常网络活动规则进行比较； ● 需要根据用户和网络正常情况下的统计情况，制定出规则； ● 难以制定规则，误报率高。但安全防护能力高。 基于siggnature的入侵检测 ●● 基于数据包的