8-1 入侵检测系统.pptx

项目8入侵检测与防御技术

目录CONTENTS入侵检测系统01.入侵检测与防御系统的部署03.入侵防御系统02.入侵防御系统的实践04.

入侵检测系统01.

入侵与入侵检测的概念所有破坏网络可用性、保密性和完整性的行为都是入侵。目前，恶意攻击者的入侵手段主要有恶意代码、非法访问和拒绝服务攻击等。实施入侵行为的人称为入侵者。攻击是入侵者所采取的技术手段和过程。入侵的整个过程（包括入侵准备、进攻、侵入）都伴随着攻击，有时也把入侵者称为攻击者。入侵检测（IntrusionDetection，ID）是指通过对行为、安全日志、审计数据或其他网络上可获得的信息，检查测试对系统的侵入或企图的过程。

入侵检测系统的概念IDS产品外观如图所示，入侵检测系统（IDS）是可对异常自动检测、监控和分析的系统。IDS通过网络或系统中的若干关键点收集信息，并对其进行分析，从中发现违反安全策略的行为或遭到攻击迹象。

入侵防御系统的概念IPS产品外观如图所示，入侵防御系统（IPS）指监视网络或其设备的异常行为，及时中断、调整或隔离异常或具有破坏性的网络异常传输的系统，如同IDS+防火墙，专门深入网络数据内部检测攻击代码特征，过滤有害数据流，阻断有害数据包并进行记载，以便追踪分析。

入侵检测系统的分类1．基于主机的入侵检测系统（HIDS）HIDS通常部署在被授权和跟踪的主机上，比如运行关键应用的服务器，如图所示。它通过监视与分析主机的审计记录和日志文件来检测入侵。日志中包含发生在系统上不寻常和非期望的活动证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现入侵企图或成功完成的入侵，并很快启动相应的应急响应程序。

入侵检测系统的分类2．基于网络的入侵检测系统（NIDS）NIDS主要用于实时监测网络关键路径的信息，侦听网络上的所有分组来采集数据，分析可疑现象。NIDS使用原始网络包作为数据源，通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务，如图所示。这种机制为进行网络数据流的监视和入侵检测提供了必要的数据来源。目前该系统应用比较广泛。

HIDS优点NIDS优点HIDS缺点NIDS缺点1）监测速度快（实时检测）。2）隐蔽性好。3）视野更宽。4）较少的监测器。5）攻击者不易转移证据。6）操作系统无关性。只能监视本网段的活动，精确度不高；在交换环境下难以配置；防入侵欺骗的能力较差；难以定位入侵者。1）能够确定攻击的目的所在。2）非常适合于加密和交换环境。3）不需要额外的硬件。4）可监视特定的系统行为。5）监控粒度更细。6）对网络流量不敏感。HIDS安装在需要保护的设备上，占用主机的资源并产生额外的负载，给业务系统带来性能影响；另外，HIDS依赖于服务器固有的日志与监测能力，若没有平台支持，可移植性差，因而应用范围受到了严重限制。HIDS与NIDS优缺点比较

入侵检测系统的工作过程从入侵检测的定义可以看出，入侵检测的一般过程是：信息收集、信息（数据）预处理、数据的检测分析、根据安全策略作出响应

入侵检测系统的基本构成1．事件产生器2．事件分析器3．事件数据库4．响应控制

常见的入侵检测技术1．异常检测异常检测是假定所有的入侵行为都是异常的，即入侵行为是异常行为的子集。其工作原理是：首先建立系统或用户的“正常”行为特征轮廓，通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵行为，而不是依赖于具体行为是否出现来进行检测。从这个意义上讲，异常检测是一种间接的方法。

常见的入侵检测技术2．误用检测误用检测是假定所有可能的入侵行为都能被识别和表示。其原理是：首先对已知的攻击方法进行攻击签名（使用一种特定的方式来表示已知的攻击模式）表示，然后根据已经定义好的攻击签名，通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是通过直接判断攻击签名的出现与否来判断入侵行为的，从这一点来看，它是一种直接的方法。

谢谢！