互联网金融信息安全 网络安全技术 网络入侵检测技术.pptxVIP

互联网金融信息安全实务 第七章 安全保障机制构建 目录页 安全的应用系统构建 计算环境安全技术 1 2 网络安全技术 3 知识点：网络安全技术 网络入侵检测技术 P2DR模型 P2DR模型是美国国际互联网安全系统公司（ISS）提出的动态网络安全体系的代表模型，也是动态安全模型的雏形。P2DR表示Policy、Protection、Detection和Response，即安全策略、防护、检测和响应，其模型如图7-8所示。 图7-8 P2DR模型 网络入侵检测技术 P2DR模型 P2DR模型P2DR模型是在整体的安全策略(Policy)的控制和指导下，在综合运用防护工具(Protection，如防火墙、操作系统身份认证、加密等手段)的同时，利用检测工具(Detection，如漏洞评估、入侵检测等系统)了解和评估系统的安全状态，通过适当的响应(Response)将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环。 P2DR模型也存在一个明显的弱点，就是忽略了内在的变化因素，如人员的流动、人员的素质和策略贯彻的不稳定性。实际上，安全问题牵涉面广，除了涉及防护、检测和响应外，系统本身安全的“免疫力”的增强(如采用软件确保技术加强软件系统本身安全)、系统和整个网络的优化，以及人员这个在系统中最重要角色的素质的提升，也都是该安全模型没有考虑到的问题，在信息安全管理体系建设中需要综合考虑这些问题。 网络入侵检测技术 入侵检测系统 入侵检测技术是一种主动保护自己的网络和系统免遭非法攻击的网络安全技术，它从计算机系统或者网络中收集、分析信息，检测任何企图破坏计算机资源的完整性(Inegrity)、机密性(Confidentiality)和可用性(Availability)的行为，即查看是否有违反安全策略的行为和遭到攻击的迹象，并做出相应的反应。 美国国际计算机安全协会(ICSA)对入侵检测(Intrusion Detection)的定义是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。违反安全策略的行为有以下两种。 (1)入侵—非法用户的违规行为。 (2)误用—用户的违规行为。 网络入侵检测技术 入侵检测系统 实施入侵检测技术的系统我们称之为入侵检测系统(Intrusion Detection System，IDS)，一般情况下，我们并不严格地区分入侵检测和入侵检测系统两个概念，而都称为IDS或入侵检测技术。 （1）作用 1)监控、分析用户和系统的活动。 2)发现入侵企图或异常现象。 3)记录、报警和响应。 网络入侵检测技术 入侵检测系统 （2）分类 1)根据原始数据的来源分类。 入侵检测系统要对其所监控的网络或主机的当前状态做出判断，需要以原始数据中包含的信息为基础，做出判断。按照原始数据的来源，可以将入侵检测系统分为基于主机的入侵检测系统、基于网络的入侵检测系统和基于应用的入侵检测系统。 2)根据检测原理分类。 根据系统所采用的检测技术，入侵检测系统分为异常检测和误用检测两类。 传统的观点根据入侵行为的属性将其分为异常和误用两种，然后分别对其建立异常检测模型和误用检测模型。异常入侵检测是指能够根据异常行为和使用计算机资源的情况检测出来的入侵。异常入侵检测试图用定量的方式描述可以接受的行为特征，以区分非正常的、潜在的入侵行为。误用入侵检测是指利用已知系统和应用软件的弱点攻击模式来检测入侵。 网络入侵检测技术 入侵检测系统 （2）分类 (3)根据体系结构分类。 按照体系结构，入侵检测系统可分为集中式、等级式和协作式3种。 集中式结构的入侵检测系统可能有多个分布于不同主机上的审计程序，但只有一个中央入侵检测服务器。 在等级式(部分分布式)入侵检测系统中，定义了若干个分等级的监控区域，每个入侵检测系统负责一个区域，每一级入侵检测系统只负责所监控区的分析，然后将当地的分析结果传送给上级入侵检测系统。协作式(分布式)将中央检测服务器的任务分配给多个基于主机的入侵检测系统，这些入侵检测系统不分等级，各司其职，负责监控当地主机的某些活动。 网络入侵检测技术 入侵检测系统 （2）分类 4)根据工作方式分类。 根据工作方式，入侵检测系统可分为离线检测系统和在线检测系统。 离线检测系统：这是一种非实时工作的系统，在事件发生后分析审计事件，从中检查入侵事件，这类系统的成本低，可以分析大量事件，调査长期的情况。但由于是在事后进行的，不能对系统提供及时的保护，而且很多入侵在完成后都将审计事件去掉，使其无法审计。 在线检测系统：对网络数据包或主机的审计事件进行实时分析，可以快速反应，保护系统的安全但在系统规模较大时，难以保证实时性。 网