信息系统安全检测技术PPT课件.pptxVIP

信息系统安全检测技术信息安全2025/1/41

本章主要内容2025/1/42入侵检测技术漏洞检测技术审计追踪

本章学习目标2025/1/43本章重点介绍入侵检测的概念、分类、基本方法；入侵响应、审计追踪技术；漏洞扫描技术的概念。给出了入侵检测系统现成实现模式。最后介绍了入侵检测工具Snort的安装与配置。通过本章的学习，使学员：解入侵检测的概念、分类、基本方法；解入侵响应、审计追踪技术；漏洞扫描技术；握Snort入侵检测工具的使用。

7.1入侵检测技术2025/1/44入侵检测技术是动态安全技术的最核心技术之一。传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息、分析信息，查看是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全防线，提供对内部攻击、外部攻击和误操作的实时保护。

7.1.1入侵检测定义7.1入侵检测技术2025/1/45入侵检测（IntrusionDetection）是检测和识别系统中未授权或异常现象，利用审计记录，入侵检测系统应能识别出任何不希望有的活动，这就要求对不希望的活动加以限定，一旦当它们出现就能自动地检测。入侵检测技术的第一条防线是接入控制，第二条防线是检测。IDS可分为两种：基于主机的IDS和基于网络的IDS。一个完备的入侵检测系统(IDS)一定是基于主机和基于网络两种方式兼备的分布式系统。利用最新的可适应网络安全技术和P2DR（Policy，Protection，Detection，Response）安全模型，已经可以深入地研究入侵事件、入侵手段本身及被入侵目标的漏洞等。010302

7.1入侵检测技术2025/1/467.1.2IDS分类基于行为的和基于知识的检测按具体的检测方法，将检测系统分为基于行为的和基于知识的两类。基于行为的检测也被称为异常检测。基于知识的检测也被称为误用检测。

7.1入侵检测技术2025/1/477.1.2IDS分类2.根据数据源不同的检测根据检测系统所分析的原始数据不同，将入侵检测分为来自系统日志和网络数据包两种。系统日志网络数据包异常检测误用检测报警报警并做出相应措施实时检测周期性检测原始数据检测原理两类检测的关系

7.1入侵检测技术2025/1/487.1.3入侵检测系统基本原理1.入侵检测框架对安全事件的检测包括大量复杂的步骤，涉及到很多系统，任何单一技术很难提供完备的检测能力，需要综合多个检测系统以达到尽量完备检测能力。因此，对于入侵检测框架的研究国内外专家都十分重视。比较有名的成果是通用入侵检测框架（CIDF）和入侵检测交换格式（IDEF）。CIDF是由美国加洲大学Davis分校的安全实验室提出的框架：IDEF是由IETF的入侵检测工组（IDWG）开发的安全事件报警的标准格式。

7.1入侵检测技术2025/1/497.1.3入侵检测系统基本原理1.入侵检测框架数据源操作员传感器管理器分析器管理员活动事件报警安全策略通告响应通用入侵检测框架（CIDF）

7.1入侵检测技术2025/1/4107.1.3入侵检测系统基本原理1.入侵检测框架报警攻击模式库配置系统库入侵分析引擎响应处理数据采集安全控制主机系统系统操作审计记录/协议数据简单的入侵检测系统

7.1入侵检测技术2025/1/4117.1.3入侵检测系统基本原理2.信息收集在网络系统中的若干不同关键点（网段和主机）。收集系统、网络、数据及用户活动的状态和行为信息。入侵检测可以利用的分析数据信息：（1）网络和系统日志文件（2）目录和文件中的不期望的改变（3）程序执行中的不期望行为（4）物理形式的入侵信息（5）其他信息

7.1入侵检测技术2025/1/4127.1.3入侵检测系统基本原理3.信息分析通过三种技术手段进行分析：模式匹配（实时）：将收集到的信息与已知网络入侵和系统误用模式数据库进行比较，而发现违背安全策略的行为。统计分析（实时）：先给系统对象（用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（访问次数、操作失败