(信息安全技术第二版)CH11入侵检测与防御技术.ppt

本章要点 网络防火墙不能阻挡内部攻击，也无法阻挡基于数据驱动型的攻击，对隐藏在允许通过的数据包中的攻击行为产生作用，只起到部分看守大门的作用。 本章介绍一种实时监控网络工作状态的防护技术，这就是入侵检测技术。 一、入侵检测技术概述 1、技术使用背景 攻击因素 任何以干扰、破坏网络系统为目的的非授权行为都称为网络攻击或入侵，它可以是针对安全策略的违规行为、针对授权特征的滥用行为，还可以是针对正常行为特征的异常行为等，六个层次的攻击行为都会产生不同的破坏作用。 防火墙与加密技术的局限性 防火墙是所有保护网络的方法中被普遍接受的方法，能阻挡外部入侵。 防火墙不能防止通向站点的后门，不提供对内部的保护，无法防范数据驱动型的攻击，不能防止用户由Internet上下载被病毒感染的文件或将该类程序附在电子邮件上传输。 通过密码保证网络安全也是常规手段，但是，在现今的计算条件下，没有无法破译的密码。 入侵检测技术 是防火墙的合理补充，它帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。 一、入侵检测技术概述 2、入侵检测系统 入侵检测 所谓入侵检测（Intrusion Detection），就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象，并对此做出适当反应的过程。 入侵检测技术是一种动态的网络检测技术，主要用于识别对计算机和网络资源的恶意使用行为，包括来自外部用户的入侵行为和内部用户的未经授权活动。 发现网络入侵现象，则马上做出适当的反应，一般为报警并与防火墙联动，阻断攻击。 入侵检测系统 入侵检测系统（Intrusion Detection System，即IDS）是实现入侵检测所有功能的一个由软件或硬件组成的完整系统。 在不影响网络性能的情况下能对网络进行旁路监测，提供对内部攻击、外部攻击和误操作的实时保护。 一、入侵检测技术概述 3、入侵检测系统的功能 1）监视、分析用户及系统活动。 2）系统构造和弱点的审计。 3）识别反映已知进攻的活动模式并向相关人士报警。 4）异常行为模式的统计分析。 5）评估重要系统和数据文件的完整性。 6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 一、入侵检测技术概述 4、入侵检测系统在系统中部署位置 IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。 在交换式网络中的位置一般选择在： （1）尽可能靠近攻击源； （2）尽可能靠近受保护资源。 这些位置通常是： （1）服务器区域的交换机上； （2）Internet接入路由器之后的第一台交换机上； （3）重点保护网段的局域网交换机上。 二、入侵检测系统 1、入侵检测系统的组成 入侵检测系统应该是包含了收集信息、分析信息、给出结论、做出反应四个过程。 互联网工程任务组（The Internet Engineering Task Force，IETF）将入侵检测系统分为四个组件： 事件产生器（Event generators）。从整个计算环境中获得事件，并向系统的其他部分提供此事件。 事件分析器（Event analyzers）。分析得到的数据据并产生分析结果。 响应单元（Response units）。对分析结果作出作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。 事件数据库（Event databases）。保存各种中间和最终数据的数据库。 二、入侵检测系统 1、入侵检测系统的组成 一般将四个组件分为两大部分：引擎和控制中心。 引擎用于读取原始数据和产生事件 控制中心用于显示和分析事件以及策略定制等工作 系统构成： 二、入侵检测系统 1、入侵检测系统的组成 引擎的工作流程： 二、入侵检测系统 1、入侵检测系统的组成 控制中心的工作流程 二、入侵检测系统 2、入侵检测系统的类型 大部分IDS都采用“信息收集系统+分析控制系统”结构，即由安装在被监控信息源的探头（或代理）来收集相关的信息，然后按照一定方式传输给分析机，经过对相关信息的分析，按照事先设定的规则、策略等给出反应。 按照“审计来源”将IDS分成基于网络的NIDS和基于主机的HIDS。 二、入侵检测系统 2、入侵检测系统的类型 网络型入侵检测系统：NIDS NIDS是网络上的一个监听设备(或一个专用主机)，通过监听网络上的所有报文，根据协议进行分析，并报告网络中的非法使用者信息。根据判断方法的不同，基本分为两大类：基于知识的数据模式判断方法和基于行为的行为判断方法。前者大量用于商业IDS系统；后者多在研究系