需要准备额外的OS平台安全性依赖低层的OS网络适应性弱.PPT

3.2 入侵检测系统 为什么需要IDS 单一防护产品的弱点 防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁 单纯的防火墙无法防范复杂多变的攻击 入侵很容易 入侵教程随处可见 各种工具唾手可得 系统目录和文件的异常变化 重要信息的文件和私有数据文件经常是黑客修改或破坏的目标 目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号 入侵者经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件 程序执行中的异常行为 误用检测模型（Misuse Detection)：，又称基于标识的检测，收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 –模式匹配方法 入侵检测系统的分类（2） 主机IDS（HIDS） ：是一种用于监控单个主机上的活动的软件应用。监控方法包括验证操作系统与应用调用及检查日志文件、文件系统信息与网络连接。 网络IDS（NIDS）：通常以非破坏方式使用。这种设备能够捕获LAN区域中的信息流并试着将实时信息流与已知的攻击签名进行对照。 混合型的 IDS面临的挑战 提高入侵检测系统的检测速度，以适应网络通信的要求 减少入侵检测系统的漏报和误报，提高其安全性和准确度 当前IDS使用的主要检测技术仍然是模式匹配，模式库的组织简单、不及时、不完整，而且缺乏对未知攻击的检测能力； 随着网络规模的扩大以及异构平台和不同技术的采用，尤其是网络带宽的迅速增长，IDS的分析处理速度越来越难跟上网络流量，从而造成数据包丢失； 网络攻击方法越来越多，攻击技术及其技巧性日趋复杂，也加重了IDS的误报、漏报现象。 提高入侵检测系统的互动性能，从而提高整个系统的安全性能 无法避免DOS攻击 IDS是失效开放（Fail Open）的机制，当IDS遭受拒绝服务攻击时，这种失效开放的特性使得黑客可以实施攻击而不被发现。 提高入侵检测系统的互动性能，从而提高整个系统的安全性能 无法避免DOS攻击 IDS是失效开放（Fail Open）的机制，当IDS遭受拒绝服务攻击时，这种失效开放的特性使得黑客可以实施攻击而不被发现。 无法避免插入和规避攻击 插入攻击和规避攻击是两种逃避IDS检测的攻击形式。 插入攻击可通过定制一些错误的数据包到数据流中，使IDS误以为是攻击。意图是使IDS频繁告警（误警），但实际上并没有攻击，起到迷惑管理员的作用。 规避攻击则相反，可使攻击躲过IDS的检测到达目的主机。规避攻击的意图则是真正要逃脱IDS的检测，对目标主机发起攻击。黑客经常改变攻击特征来欺骗基于模式匹配的IDS。 IDS产品 免费 Snort SHADOW /ISSEC/CID/ 入侵防护系统（Intrution Protection System，IPS ） 倾向于提供主动性的防护，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出警报。 通过直接嵌入到网络流量中而实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能够在IPS设备中被清除掉 作业 防火墙、IDS、IPS区别和联系 蜜罐技术的提出 试图改变攻防博弈的非对称性 对攻击者的欺骗技术－增加攻击代价、减少对实际系统的安全威胁 了解攻击者所使用的攻击工具和攻击方法 追踪攻击源、攻击行为审计取证 Honeypot: 首次出现在Cliff Stoll的小说“The Cuckoo’s Egg”(1990)-杜鹃蛋 Fred Cohen（计算机病毒之父） DTK: Deception Tool Kit (1997)－模拟器 A Framework for Deception (2001) 安全性较低： 中交互系统提供了较多的网络服务，有可能被攻击者利用成为跳板，因此，在实施该系统的网络内，经常检查系统日志，并严格检查是否有安全漏洞已经被黑客利用。 风险高： 一旦攻击者掌握了对某个Honeypot的控制权,即拥有了被侵入机器完整可操作系统的控制权,从而会在被侵入系统内进一步扩大侵害。 真实的操作系统，就难免有攻击者可以通过蜜罐系统对其它内网主机进行攻击 因此，管理员应定期检查蜜罐主机的安全性和完整性，也可通过其它方法将蜜罐主机与受保护主机隔离，使攻击者即使攻破了蜜罐系统也无法跳板攻击其它主机。 虚拟机蜜罐 使用真实的网络拓扑，操作系统和应用服务 为攻击者提供足