网络与信息安全网络安全（二）.pptVIP

可适应网络安全模型网络安全是相对的，没有绝对的安全P2DR安全模型以安全策略为核心安全策略(policy)防护

(protecttion)检测(detection)响应(response)网络安全新定义及时的检测和处理时间PtDtRt新定义：PtDt+RtP2DR安全模型这是一个动态模型以安全策略为核心基于时间的模型可以量化可以计算P2DR安全的核心问题——检测检测是静态防护转化为动态的关键检测是动态响应的依据检测是落实/强制执行安全策略的有力工具IDS:IntrusionDetectionSystem入侵检测系统介绍入侵检测系统分类入侵检测系统用到的一些技术入侵检测系统的研究和发展IDS的用途攻击工具攻击命令攻击机制目标网络网络漏洞目标系统系统漏洞攻击者漏洞扫描评估加固攻击过程实时入侵检测入侵检测系统的实现过程信息收集，来源：网络流量系统日志文件系统目录和文件的异常变化程序执行中的异常行为信息分析模式匹配统计分析完整性分析，往往用于事后分析入侵检测系统的通用模型数据源模式匹配器系统轮廓分析引擎数据库入侵模式库异常检测器响应和恢复机制入侵检测系统的种类基于主机安全操作系统必须具备一定的审计功能，并记录相应的安全性日志基于网络IDS可以放在防火墙或者网关的后面，以网络嗅探器的形式捕获所有的对内对外的数据包基于内核从操作系统的内核接收数据，比如LIDS基于应用从正在运行的应用程序中收集数据IDS的技术异常检测(anomalydetection)也称为基于行为的检测首先建立起用户的正常使用模式，即知识库标识出不符合正常模式的行为活动误用检测(misusedetection)也称为基于特征的检测建立起已知攻击的知识库判别当前行为活动是否符合已知的攻击模式异常检测比较符合安全的概念，但是实现难度较大正常模式的知识库难以建立难以明确划分正常模式和异常模式常用技术统计方法预测模式神经网络误用检测目前研究工作比较多，并且已经进入实用建立起已有攻击的模式特征库难点在于：如何做到动态更新，自适应常用技术基于简单规则的模式匹配技术基于专家系统的检测技术基于状态转换分析的检测技术基于神经网络检测技术其他技术，如数据挖掘、模糊数学等IDS的两个指标漏报率指攻击事件没有被IDS检测到误报率(falsealarmrate)把正常事件识别为攻击并报警误报率与检出率成正比例关系0检出率(detectionrate)100%100%误报率基于网络的IDS系统收集网络流量数据利用sniff技术把IDS配置在合理的流量集中点上，比如与防火墙或者网关配置在一个子网中利用某些识别技术基于模式匹配的专家系统基于异常行为分析的检测手段一个轻量的网络IDS:snort是一个基于简单模式匹配的IDS源码开放，跨平台(C语言编写，可移植性好)利用libpcap作为捕获数据包的工具特点设计原则：性能、简单、灵活包含三个子系统：网络包的解析器、检测引擎、日志和报警子系统内置了一套插件子系统，作为系统扩展的手段模式特征链——规则链命令行方式运行，也可以用作一个sniffer工具网络数据包解析结合网络协议栈的结构来设计Snort支持链路层和TCP/IP的协议定义每一层上的数据包都对应一个函数按照协议层次的顺序依次调用就可以得到各个层上的数据包头从链路层，到传输层，直到应用层在解析的过程中，性能非常关键，在每一层传递过程中，只传递指针，不传实际的数据支持链路层：以太网、令牌网、FDDISnort规则链处理过程二维链表结构匹配过程首先匹配到适当的ChainHeader然后，匹配到适当的ChainOption最后，满足条件的第一个规则指示相应的动作Snort:日志和报警子系统当匹配到特定的规则之后，检测引擎会触发相应的动作日志记录动作，三种格式：解码之后的二进制数据包文本形式的IP结构Tcpdump格式如果考虑性能的话，应选择tcpdump格式，或者关闭logging功能报警动作，包括Syslog记录到alert文本文件中发送WinPopup消息关于snort的规则Snort的规则比较简单规则结构：规则头：alerttcp!10.1.1.0/24any-10.1.1.0/24any规则选项：(flags:SF;msg:“SYN-F