信息安全技术与实施 07入侵检测技术与应用.pptxVIP

信息安全技术与实施入侵检测技术与应用学习目标理解入侵检测技术的概念理解入侵检测系统的分类及其优缺点掌握入侵检测技术性能指标及对系统的其影响本章要点入侵检测系统的分类及其优缺点入侵检测系统的工作原理入侵检测系统的部署方式信息安全技术与实施—入侵检测技术与应用01.IDS概述02.IDS作用03.IDS分类04.IDS基本结构目 录05.IDS工作原理06.ContentsIDS部署方式07.IDS检测技术08.IDS缺陷08.IPS简介信息安全技术与实施—入侵检测技术与应用前言因特网的自由性和先天的不安全性会给信息系统造成越来越严重的隐患。黑客的入侵、内部人员的操作失误、怀有各种目的的人对信息的侵害等问题也相伴而来，有可能对信息系统业务造成极大的破坏。为了规避潜在的计算机网络业务风险，使网络系统能够安全及高效运行，就必须保证网络安全隔离，随时检测各种隐患，同时还要兼顾网络的高效，能够随时通畅。入侵检测系统（Intrusion Detective System，IDS)作为新型的网络安全技术，有效地弥补了防火墙的某些性能上的缺陷，两者从不同角度以不同方式确保网络系统的安全。本章将系统地介绍入侵检测系统的原理和应用技术，为现实中遇到的安全问题提供另一层防护IDS概述什么是IDS入侵：某人尝试进入一个系统，访问未经授权的资源；或者利用系统漏洞获得系统的最高权限等的非法行为 入侵检测：通过对特定行为的分析检测到对系统的闯入。识别非法用户未经授权使用计算机系统，或合法用户越权操作计算机系统的行为，通过对计算机网络中的若干关键点或计算机系统资源信息的收集并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和攻击的迹象。IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“/view/20936.htm入侵检测系统”，进行入侵检测的软件与硬件的组合便是入侵检测系统。专业上讲就是依照一定的/view/160028.htm安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。摄像机=探测引擎Card Key后门监控室=控制中心什么是IDS做一个比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。为什么需要IDS入侵很容易入侵教程随处可见各种工具唾手可得防火墙不能保证绝对的安全网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部防火墙是锁，入侵检测系统是监视器安全域1安全域2Host A Host B Host C Host D SourceDestinationPermitProtocolHost AHost CPassTCPHost BHost CBlockUDP根据访问控制规则决定进出网络的行为为什么需要IDS ·防火墙的局限性两个安全域之间通信流的唯一通道一种高级访问控制设备，置于不同网络安全域之间，它通过相关的安全策略来控制（允许、拒绝、监视、记录）进出网络的访问行为。为什么需要IDS ·防火墙的局限性防火墙是阻止黑客攻击的一种有效手段，但随着攻击技术的发展，这种单一的防护手段已不能确保网络的安全，它存在以下的弱点和不足： 1.防火墙缺乏对应用层数据的深度防护 防火墙的主要功能是进行2~4层的访问控制，需要承担路由、NAT等重要网络功能，对其性能要求非常高。为保证高吞吐、低延时，防火墙产品不会对4~7层数据进行深度检测。 2.防火墙无法阻止内部人员所做的攻击 防火墙保护的是网络边界安全，对在网络内部所发生的攻击行为无能为力，而据调查，网络攻击事件有60%以上是由内部人员所为。 3.在攻击发生后，利用防火墙保存的信息难以调查和取证 在攻击发生后，能够进行调查和取证，将罪犯绳之以法，是威慑网络罪犯、确保网络秩序的重要手段。防火墙由于自身的功能所限，难以识别复杂的网络攻击并保存相关的信息。 为什么需要IDS ·防火墙的局限性低版本的IIS 将%c1%1c解析为dir c:\并执行该命令防火墙根据访问控制规则，判断为合法访问而将数据包放行%c1%1cunicode attack数据驱动型攻击为什么需要IDS ·防火墙的局限性攻击包没有经过防火墙，防火墙无能为力Attack code绕过防火墙的攻击IDS作用IDS作用实时监测实时监视、分析网络中所有的数据报文发现并实时处理所捕获的数据包安全审计对系统记录的网络事件进行分析