保障与安全14入侵检测.pptVIP

14 防御 1 入侵检测系统概述 入侵检测（Intrusion Detection System, IDS）就是一种主动安全保护技术。入侵检测像雷达警戒一样，在不影响网络性能的前提下，对网络进行警戒、监控，从计算机网络的若干关键点收集信息，通过分析这些信息，看看网络中是否有违反安全策略的行为和遭到攻击的迹象，从而扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。 简单地说，入侵检测系统是这样工作的：若有一个计算机系统，它与网络连接着，或许也同Internet连接，由于一些原因，允许网络上的授权用户访问该计算机。例如，有一个连接着Internet的Web服务器，允许一定的客户、员工和一些潜在的客户访问存放在该Web服务器上的Web页面。然而，不希望其他员工、顾客或未知的第三方的未授权访问。一般情况下，可以采用一个防火墙或者一些类型的认证系统阻止未授权访问。然而，有时简单的防火墙措施或者认证系统可能被攻破。入侵检测是一系列在适当的位置上对计算机未授权访问进行警告的机制。对于假冒身份的入侵者，入侵检测系统也能采取一些措施来拒绝其访问。 入侵检测系统基本上不具有访问控制的能力，它就像是一个有着多年经验、熟悉各种入侵方式的网络侦察员，通过对数据包流的分析，可以从数据流中过滤出可疑数据包，通过与已知的入侵方式进行比较，确定入侵是否发生以及入侵的类型并进行报警。网络管理员可以根据这些报警确切地知道所受到的攻击并采取相应的措施。可以说，入侵检测系统是网络管理员经验积累的一种体现，它极大地减轻了网络管理员的负担，降低了对网络管理员的技术要求，提高了网络安全管理的效率和准确性。 目前，大部分网络攻击在攻击前有资料搜集的过程，例如，基于特定系统的漏洞攻击，在攻击之前需要进行端口扫描，以确认系统的类型以及漏洞相关的端口是否开启。某些攻击在初期就可以表现出较为明显的特征，例如，假冒有效用户登录，在攻击初期的登录尝试具有明显的特征。对于这两类攻击，入侵检测系统可以在攻击的前期准备时期或是在攻击刚刚开始的时候进行确认并发出警报。同时入侵检测系统可以对报警的信息进行记录，为以后的一系列实际行动提供证据支持。这就是入侵检测系统的预警功能。 入侵检测一般采用旁路侦听的机制，因此不会产生对网络带宽的大量占用，系统的使用对网内外的用户来说是透明的，不会有任何的影响。入侵检测系统的单独使用不能起到保护网络的作用，也不能独立地防止任何一种攻击。但它是整个网络安全系统的一个重要的组成部分，它所扮演的是网络安全系统中侦察与预警的角色，协助网络管理员发现并处理任何已知的入侵。可以说，它是对其他安全系统有力的补充，弥补了防火墙在高层上的不足。通过对入侵检测系统所发出警报的处理，网络管理员可以有效地配置其他的安全产品，以使整个网络安全系统达到最佳的工作状态，尽可能降低因攻击而带来的损失。 1.1 入侵检测与入侵检测系统 相关概念 入侵检测系统的概念 入侵检测系统IDS（Intrusion Detection System）指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。 入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，被认为是防火墙后面的第二道安全防线。 入侵检测系统的主要功能 入侵检测系统的优点及其局限 1. 优点 2. 局限 入侵检测系统面临的挑战 一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和计算机的访问。误报是入侵检测系统最头疼的问题，攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报，而诱导没有警觉性的管理员人把入侵检测系统关掉。 误报 没有一个入侵检测能无敌于误报，因为没有一个应用系统不会发生错误，原因主要有四个方面。 1、缺乏共享数据的机制 2、缺乏集中协调的机制 3、缺乏揣摩数据在一段时间内变化的能力 4、缺乏有效的跟踪分析 2 入侵检测系统的类型和性能比较 根据入侵检测的信息来源不同，可以将入侵检测系统分为两类： 基于主机的入侵检测系统和基于网络的入侵检测系统。 1、基于主机的入侵检测系统：主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。 2 入侵检测系统的类型和性能比较 2、基于网络的入侵检测