第4章入侵检测与安全审计解析.ppt

计算机网络安全基础 计算机网络安全基础 计算机网络安全基础 第4章 入侵检测与安全审计 本章主要介绍： 1. 入侵检测系统(IDS)概述 2. 入侵检测系统的分析方法 3. 入侵检测系统结构 4. 入侵检测工具简介 5. 现代安全审计技术 4.1入侵检测系统概述 1．网络入侵及原因 问题的提出： 要保证网络的安全，需要从内部和外部加以防范。 内部问题可以预测，并制定相应防范措施； 外部问题则难以预测。 原因： 黑客攻击日益猖獗 传统的安全产品存在很多问题 4.1入侵检测系统概述 传统的安全产品存在的问题(续) (1)每一种安全机制都有一定的应用范围和应用环境； (2)安全工具的使用受到人为因素的影响； (3)系统的后门是传统安全工具难以考虑到的地方； (4)只要有程序，就可能存在bug，甚至连安全工具本身也可能存在安全漏洞。 (5)黑客的攻击手段在不断更新，几乎每天都有不同的系统安全问题出现。 对于上述问题，除了提出更多更强大的主动策略和方案，另一个有效的解决途径是入侵检测。 4.1入侵检测系统概述 2．黑客攻击策略 入侵步骤： 信息获取?实施攻击?掩盖痕迹，预留后门 入侵造成的破坏： 必威体育官网网址性、完整性、可用性、可控性 4.1入侵检测系统概述 1．入侵检测概念 依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 ---对潜在的又预谋的未经授权的访问信息、操作信息以及导致系统不可靠、不稳定或无法使用的企图的检测和监视。 入侵检测的方式： 被动、非在线地发现 主动、在线地发现 4.1入侵检测系统概述 入侵检测系统必须具备的特点： 经济性 时效性 安全性 可扩展性 2. 入侵检测的发展及未来 4.1入侵检测系统概述 3．入侵检测模型 通用入侵检测系统流程图： 4.1入侵检测系统概述 3．入侵检测模型 通用系统模型： 4.1入侵检测系统概述 4.1入侵检测系统概述 异常检测原理：根据非正常行为和使用计算机资源非正常情况检测出入侵行为。 4.1入侵检测系统概述 误用检测原理：根据已经知道的入侵方式来检测入侵。 4.1入侵检测系统概述 2．系统的分类 按数据源和系统结构： (1) 基于网络的入侵检测系统(NIDS) (2) 基于主机的入侵检测系统(HIDS) (3) 分布式入侵检测系统(DIDS) 按数据分析方法： (1) 异常检测模型 (2) 误用检测模型 4.1入侵检测系统概述 2．系统的分类(续) 按数据分析发生的时效： (1) 离线检测系统 (2) 在线检测系统 按系统模块运行分布方式： (1) 集中式检测系统 (2) 分布式检测系统 4.1入侵检测系统概述 3. IDS在网络中的位置 4.1入侵检测系统概述 4.入侵响应 当检测到入侵或攻击时,采取适当的措施阻止入侵和攻击的进行. 针对入侵的建议步骤: ●估计形势并决定需要做出那些响应. ●如有必要就断开连接或关闭资源. ●事故分析和响应. ●根据响应策略向其他人报警. ●保存系统状态. ●恢复遭到攻击的系统. ●记录所发生的一切. 4.1入侵检测系统概述 5.入侵跟踪技术 (1)入侵者的地址和其它信息 ●媒体访问控制地址 ●IP地址 ●域名 ●应用程序地址 4.1入侵检测系统概述 (2)跟踪电子邮件 (3)跟踪Usenet (4)第三方跟踪工具 4.1入侵检测系统概述 (5)蜜罐技术 专门为吸引并诱骗攻击者而设计的系统. 4.2入侵检测系统的分析方法 基于异常的入侵检测方法 基本思想: 任何人的正常行为都有一定规律，而入侵行为和滥用行为通常和正常行为存在严重差异，检测出这些差异就可以检测出入侵。 基本模块： ●数据提取模块 ●数据分析模块 ●结果处理模块 4.2入侵检测系统的分析方法 2. 基于误用的入侵检测方法 基本思想: 通过使用某种模式或信号标志表示攻击，进而发现相同的攻击。 4.3 入侵检测系统结构 1．公共入侵检测框架模型 2．分布式入侵检测系统 3．基于智能代理技术的分布式入侵检测系统 4．自适应入侵检测系统 5．智能卡式入侵检测系统 6．典型的入侵检测系统 ——Snort 4.4 入侵检测工具简介 1．日志审查—Swatch 2．访问控制--TCP Wrapper 3．入侵检测--Watcher 4.5 现代安全审计技术 1．安全审计现状 目前的安全审计类产品： (1) 网络