电子商务安全实务课件7-入侵检测技术.pptVIP

实训七：入侵检测技术 入侵检测主要包括： 误用/滥用检测技术； 异常检测技术； 入侵诱骗技术； 入侵响应技术。 4 入侵检测技术 实训七：入侵检测技术 误用检测技术主要是通过某种方式预先定义入侵行为，然后监视系统的运行，并从中找出符合预先定义规则的入侵行为。 4.1 误用/滥用检测技术 监 控 特征提取 匹 配 判 定 误用检测工作过程 实训七：入侵检测技术 这种方式可以检测许多甚至全部已知的攻击行为，但是对于未知的攻击手段却无能为力，即滥用检测系统具有低误报率、漏报率较高的特点。 主要的滥用检测模型包括专家系统、按键监视系统、模型推理系统、误用预测模型、状态转换分析系统、模式匹配系统，目前被广泛应用的是数据包特征模式匹配系统。 4.1 误用/滥用检测技术 实训七：入侵检测技术 异常检测是基于行为的检测技术，检测方法来源于这样的思想：任何人的正常行为都是有一定规律的，并且可以通过分析这些行为产生的日志信息总结出这些规律，并建立用户的正常行为模式（即知识库），当用户活动与正常行为有重大偏离时即被认为是入侵。 4.2 异常检测技术 监 控 量 化 比 较 判 定 修 正 异常检测工作过程 实训七：入侵检测技术 异常检测优点： 能有效检测未知的入侵； 系统能针对用户行为的改变进行自我调整和优化。 缺点：随着检测模型的逐步精确，异常检测会消耗更多的系统资源。 4.2 异常检测技术 实训七：入侵检测技术 要完成异常的入侵检测，需要解决以下两个问题： 用户的行为有一定的规律，但要选择能反映用户的行为，而且能很容易地获取和处理的数据。 通过上面的数据，如何有效地表达用户的正常行为。 4.2 异常检测技术 实训七：入侵检测技术 入侵诱骗技术是一种主动防御技术。它用特有的特征吸引攻击者，试图将攻击者从关键系统引诱开，同时对各种攻击行为进行分析，进而找到有效的对付方法。 蜜罐技术（Honeypot）是一种资源，是故意被攻击的目标，从而引诱黑客前来攻击。 Honeypot并非一种安全的解决方案，它只是一种工具，而且只有Honeypot受到攻击时，它的作用才能发挥出来。 4.3 入侵诱骗及蜜罐技术 实训七：入侵检测技术 在入侵检测系统中，完成系统安全状况分析并确定系统所出问题之后，需要让管理员知道这些问题的存在，必要情况还采取行动，这在入侵检测处理过程模型中称为响应。 响应包括主动响应和被动响应。 4.4 入侵响应技术 实训七：入侵检测技术 1）主动响应 入侵检测系统在检测到入侵后，能自动地与管理员配合，采取行动阻断攻击或影响攻击进程。 包括隔离入侵者IP、禁用被攻击对象的特定端口和服务、隔离被攻击对象、告警被攻击者、跟踪攻击者、断开危险连接、攻击报复攻击者等。 2）被动响应 简单地报告和记录所检测出的问题 4.4 入侵响应技术 实训七：入侵检测技术 1）ISS公司（国际互联网安全系统公司）的RealSecure 2）“天眼”网络入侵检测系统 3）“天阗”黑客入侵检测系统 4）“冰之眼”网络入侵检测系统 5）snort作为一个免费的、功能强大的、开放源代码的入侵检测系统 ，成为很多机构构建安全防护系统时的首选 5 典型入侵检测系统 实训七：入侵检测技术 入侵检测技术的发展趋势主要表现在以下几个方面： （1）高速入侵检测技术 （2）分布式入侵检测 （3）智能化入侵检测 （4）全面地安全防御体系 6 入侵检测技术的发展 1、启动天网防火墙安装程序，进入安装界面，在欢迎界面中选中“我接受此协议”，；并单击“下一步”按钮； 2、选择安装目录，如图6-1所示，然后按提示一直单击“下一步”按钮，直到开始安装； 【实训环节】 1 天网防火墙安装 图6-1 安装目录选择 【实训环节】 模拟实训环境 利用入侵检测软件BlackICE，检测UDP flood攻击为例 LOGO 实训七 入侵检测技术 实训七：入侵检测技术 实训目的 掌握入侵检测系统的防御原理 掌握入侵检测工具黑冰的使用 理解IDS的概念、功能结构 了解黑客常见的入侵手段 实训七：入侵检测技术 实训背景 当今，各种形式的攻击手段使得网络安全问题越来越严重，最常见的防范措施防火墙是一种静态的、被动的防御技术，无法防范利用协议漏洞发起的入侵以及内部网络之间的通信。有效的解决途径之一就是让入侵检测系统充当继防火墙之后的第二道安全闸门。 入侵检测系统已成为信息安全防护策略的关键组成部分，对于网络用户来说，理解入侵检测原理及入侵检测系统的应用在防护自己网络安全中是比较重要的。　 实训七：入侵检测技术 入侵检测工作原理 入侵概念：入侵是指任何企图破坏资源的完整性、保密性和有效性的行为。 入侵检测：入侵检测是对入侵行为的发觉。 入侵检测