电子商务安全技术第11章网络攻击与防御.pptx

系统入侵的鉴别与防御(续);Intrusion;传统的信息安全方法采用严格的访问控制和数据加密策略来防护，但在复杂系统中，这些策略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全 入侵检测（Intrusion Detection）是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象;入侵检测的定义;入侵检测系统;;;;一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。 ;;防火墙的局限性;网络安全工具的特点;IDS存在与发展的必然性;为什么需要IDS;防火墙与IDS联动;在安全体系中，IDS是唯一一个通过数据和行为模式判断其是否有效的系统，防火墙就象一道门，它可以阻止一类人群的进入，但无法阻止同一类人群中的破坏分子，也不能阻止内部的破坏分子；访问控制系统可以不让低级权限的人做越权工作，但无法保证高级权限的做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限 ;入侵检测系统的作用;入侵检测技术——IDS的作用;入侵检测的特点;入侵检测技术——IDS的优点;1980年 Anderson提出：入侵检测概念，分类方法 1987年 Denning提出了一种通用的入侵检测模型 独立性 ：系统、环境、脆弱性、入侵种类 系统框架：异常检测器，专家系统 90年初：CMDS?、NetProwler?、NetRanger?、ISS RealSecure?;入侵检测的起源（2）;入侵检测的起源（3）;入侵检测的起源（4）;入侵检测的起源（5）;入侵检测的起源（6）;入侵检测的起源（7）;IDS物理结构;IDS物理结构——探测引擎;IDS物理结构——引擎的功能结构;;IDS物理结构——控制中心的功能结构;IDS的系统结构 ;IDS的系统结构----分布式结构图;IDS性能指标;日志分析;事件响应;基本响应是IDS所产生的响应只是为了更好地通知安全人员，并不对该网络行为进行进行自动的阻断行为。 ;通过IDS的事件积极响应，IDS系统可以直接阻止网络非法行为，保障被???护系统的安全。;考察IDS系统的一个关键性指标是报警事件的多少。一般而言，事件越多，表明IDS系统能够处理的能力越强。一般而言，这个数量在500－1000之间，应该与流行系统的漏洞数目相关。 ;作为分布式结构的IDS系统，通讯是其自身安全的关键因素。这包含2个部分：一是身份认证，一是数据加密。 身份认证是要保证一个引擎，或者子控制中心只能由固定的上级进行控制，任何非法的控制行为将予以阻止，如下图所示：;探测引擎;事件响应;连接申请方 ;;隐蔽性：在作为一个安全的网络设备，IDS是不希望被网络上的其他系统发现，尤其不能让其他网络系统所访问。 关闭所有可能的端口 、修改系统的设置，阻止一切没有必要的网络行为 、关闭所有网络行为，进行无IP地址抓 包。 定制操作系统 ;;IDS的一个主要特点，就是更新快，否则就会失去作用。目前由于internet网络的发展，一个蠕虫病毒可能一天就流行与全世界因此IDS事件的增加速度，必须能够跟上需要的发展 ;;IDS功能结构;信息收集（1）;信息收集（2）;信息收集的来源;系统或网络的日志文件;系统目录和文件的异常变化;信息分析;模式匹配;统计分析;完整性分析;入侵检测的分类（1）;异常检测;前提：入侵是异常活动的子集 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围 过程 监控 ? 量化 ? 比较 ? 判定 ? 修正 指标:漏报(false positive),错报(false negative);异常检测;Anomaly Detection;基于误用的入侵检测;System Audit;前提：所有的入侵行为都有可被检测到的特征 攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 过程 监控 ? 特征提取 ? 匹配 ? 判定 指标 错报低 漏报高 ;误用检测模型;Misuse Detection;入侵检测的分类（2）;监视与分析主机的审计记录 可以不运行在监控主机上 能否及时采集到审计记录？ 如何保护作为攻击目标主机审计子系统？;在共享