入侵检测技术及其在物联网中的应用.ppt

数字签名（Digital Signature） 以电子形式存在于数据信息之中的，或作为其附件的或逻辑上与之有联系的数据，可用于辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可。 作用 1.保障文件的完整性；（不需要骑缝章，骑缝签名，也 不需要笔迹专家） 2.防止被人(例如接收者)进行伪造； 3.数字签名具有不可抵赖性（不需要笔迹专家来验证）。 数字签名的作用 不可抵赖（不需要笔迹专家来验证） 确定消息确实是由发送方签名并发出来的，因为别人假冒不了发送方的签名。 数据完整性（不需要骑缝章，骑缝签名） 数字签名能确定消息的完整性。因为数字签名的特点是它代表了文件的特征，文件如果发生改变，数字签名的值也将发生变化。不同的文件将得到不同的数字签名。 一次数字签名涉及到一个哈希函数、发送者的公钥、发送者的私钥。 访问控制 访问是使信息在主体和对象间流动的一种交互方式。 主体是指主动的实体，该实体造成了信息的流动和系统状态的改变，主体通常包括人、进程和设备。 对象是指包含或接受信息的被动实体。对对象的访问意味着对其中所包含信息的访问。对象通常包括记录、块、页、段、文件、目录、目录树和程序以及位、字节、字、字段、处理器、显示器、键盘、时钟、打印机和网络节点。 访问控制决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。访问控制的手段包括用户识别代码、口令、登录控制、资源授权（例如用户配置文件、资源配置文件和控制列表）、授权核查、日志和审计。 纵深防御体系 安全设备 扫描器(Scanner) 防火墙(Firewall) 入侵检测系统Intrusion Detection System(IDS) 扫描器 目的 了解到远程主机所存在的安全问题 定义 自动检测远程或本地主机安全脆弱点的程序 作用 扫描器采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。 特点：不留痕迹 ping ping 的功能比较简单，只能确认目标主机的存活状态，而对于其上运行的服务和开放的端口无法查明。 防火墙 防火墙的位置 防火墙 STOP! 1. 验明正身 2. 检查权限 防火墙的作用 阻绝非法进出 防火墙办不到的事 防火墙 病毒等恶性程序可利用 email 夹带闯关 防火墙无法有效解决自身的安全问题 不能提供实时的攻击检测能力，防火墙只是按照固定的工作模式来防范已知的威胁 防火墙不能阻止来自内部的攻击 防火墙的局限 防火墙不能防止通向站点的后门。 防火墙一般不提供对内部的保护。 防火墙无法防范数据驱动型的攻击。 防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。 确保网络的安全,就要对网络内部进行实时的检测, 这就需要IDS无时不在的防护！ 入侵检测 入侵检测技术是近20年来出现的一种主动保护自己以免受黑客供给的新型网络安全技术。 入侵检测被认为是防火墙之后的第二道安全闸门。 入侵检测在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实施保护。 入侵检测（2） 定义 入侵(Intrusion)是指传统的安全策略所有企图穿越被保护系统安全边界的（入侵）行为，这种行为是网络拥有者所不希望的，是对网络安全目标的威胁。 入侵检测（Intrusion Detection）——对入侵行为的检测 入侵检测（3） 入侵检测系统通过在计算机网络或计算机系统中的若干关键点收集信息并进行分析，试图从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。通过入侵检测能使安全管理员发现入侵行为的存在，以便其采取适当措施来尽可能减少入侵对系统造成的损害。 IDS置于防火墙与内部网之间 入侵检测系统作用 入侵检测系统技术特点 在安全体系中，IDS是唯一一个通过数据和行为模式判断是否存在攻击的系统，克服了其他安全措施的弱点。 其他安全措施的缺点 防火墙就象一道门，它可以阻止一类人群的进入，但无法阻止同一类人群中的破坏分子，也不能阻止内部的破坏分子 访问控制系统可以不让低级权限的人做越权工作，但无法保证高级权限的人做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限 IDS的优点 能检测所有企图穿越被保护系统安全边界的入侵行为 能防止通向站点的后门。 提供对内部的保护。 有效防范数据驱动型的攻击。 能防止用户由Internet上下载被病毒感染的计算机程