cisp0205网络安全设备(周军修改).pptVIP

其他网络安全技术-入侵防御系统的典型部署 * IPS的典型部署方式为串联在网络中 可信网络 不可信的网络服务 Internet Intranet IPS 其他网络安全技术-IPS与IDS的区别 * IPS采用In-line的透明模式接入网络，IDS并联在网络中，接入交换机的接口需要做镜像； IDS是一种检测技术，而IPS是一种阻断技术，只不过后者阻断攻击的依据是检测； 其他网络安全技术-统一威胁管理系统（UTM） * 什么是统一威胁管理系统（UTM） 统一威胁管理系统的技术架构 统一威胁管理系统的功能 统一威胁管理系统的优点 统一威胁管理系统的缺点 其他网络安全技术-什么是统一威胁管理系统（UTM） * UTM（United Threat Management）意为统一威胁管理，是在2004年9月由IDC提出的信息安全概念。IDC将防病毒、防火墙和入侵检测等概念融合到被称为统一威胁管理的新类别中，该概念引起了业界的广泛重视，并推动了以整合式安全设备为代表的市场细分的诞生。由IDC提出的UTM是指由硬件、软件和网络技术组成的具有专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备里，构成一个标准的统一管理平台。 入侵检测技术—针对入侵构建防御系统 * 预防入侵 检测入侵 对入侵做出响应 入侵检测技术—针对入侵构建防御系统 * 预防入侵 非常重要的第一步； 阻止某些不良企图，例如防火墙无法检查和控制的； 但是攻击仍然发生： 网络、操作系统和应用在设计和实现上的缺陷； 隧道技术； 来自网络内部的攻击。 入侵检测技术—针对入侵构建防御系统 * 检测入侵 采取预防措施阻止某些攻击; 是否能够实时检测到剩余的攻击? 监控各种恶意行为： 网络流量; 主机中的行为; 实时分析大量的审计数据，来识别入侵或误用。 入侵检测技术—针对入侵构建防御系统 * 对入侵做出响应 实时响应； 识别入侵并做出响应； 做出反应以减小入侵造成的响应，并尽快恢复服务。 入侵检测技术--入侵检测系统的作用 * 克服某些传统的防御机制的限制； 在“深度防御”的基础上成为安全框架的一部分； 在整个组织的网络中能够识别入侵或违反安全策略的行为，并能够做出回应。 入侵检测技术--入侵检测系统的功能 自动检测入侵行为； 监视网络流量（Network IDS)和主机(Host IDS)中的操作； 分析入侵行为： 基于特征 基本异常 按预定的规则做出响应： 阻止指定的行为。 入侵检测技术--入侵检测系统的典型部署 * 可信网络 不可信的网络服务 防火墙 Internet Intranet 以旁路的方式接入到网络中，且部署在需要的关键位置。 HIDS NIDS NIDS 入侵检测技术--入侵检测模型 * 数据源 感应器 管理员 管理器 操作员 分析器 安全 策略 响应 事件 告警 通知 行为 入侵检测技术--入侵检测模型 * 入侵检测系统的通用模型(CIDF) －－Common Intrusion Detection Framework 事件生成器 事件分析器 事件响应器 事件数据库 入侵检测技术--入侵检测模型 * 事件生成器 事件数据库 事件响应器 事件分析器 交互数据 行动 交互数据 交互数据 入侵检测技术--入侵检测系统的分类 * 按检测方法 异常检测 特征检测 按检测范围 基于主机 基于网络 基于网络节点 入侵检测技术—异常检测 * 设定“正常”的行为模式； 假设所有的入侵行为是异常的； 基于系统和基于用户的异常； 优点： 可检测未知的攻击； 自适应、自学习功能； 不需要先验知识。 关键问题： “正常”行为特征的选择； 统计算法、统计点的选取等。 入侵检测技术—异常检测 * 使用的检测方法 基于规则 统计分析 神经网络 数据来源 审计日志或网络流量 特殊用途的数据收集机制 键盘击键监控 入侵检测技术—特征检测 * 建立入侵行为模型(攻击特征)； 假设可以识别和表示所有可能的特征； 基于系统的和基于用户； 优点: 准确率高； 算法简单。 关键问题： 有所有的攻击特征，建立完备的特征库； 特征库要不断更新； 无法检测新的入侵。 入侵检测技术—特征检测 * 使用的检测方法 基于规则 模式匹配 状态转换分析 神经网络 数据来源 审计日志或网络流量 特殊用途的数据收集机制 入侵检测技术—主机入侵检测系统 * 基于主机的入侵检测系统是以代理软件的形式安装在每台主机或服务器上，以监测主机上的各种活动； 代理软件实现对入侵的检测分析； 由代理软件向统一的管理/策略服务器发送日志和告警信息。 入侵检测技术—主机入侵检测系统 * 主机入侵检测系统的优点：