《网络安全设计》15-安全防范⑸被动防御.pptx

网络安全设计 安全防范⑸被动防御 Content Webpage Interpolation-Resistant Attacking Trap IDS/IPS SA ling@fudan.edu.cn 1 《网络安全设计》 安全防范⑸被动防御 什么是被动防御？ Passive Defence 当网络安全威胁发生时或发生后，能够及时发现问题、定位问题并协同解决问题 由于嵌入式、主动式防范并不能保证防御所有安全威胁，因此被动防御是必要的 被动防御一般用以面向未知安全隐患 ling@fudan.edu.cn 《网络安全设计》 安全防范⑸被动防御 2 Website LAN Internet 网页防篡改 Webpage Interpolation-Resistant 监测网页文件，及时发现非法文件并隔离、恢复合法文件 ling@fudan.edu.cn 《网络安全设计》 安全防范⑸被动防御 3 Web Server 内容发布系统 比较 网页 文件 攻击陷阱 Attacking Trap 在内部网络中设置攻击陷阱（服务器），引诱攻击者，使之认为找到了“重要服务器”（如存放假造的“核心数据”） 一旦有访问陷阱服务器的状况，立即告警，并实施处理预案 ling@fudan.edu.cn 《网络安全设计》 安全防范⑸被动防御 4 以其人之道还治其人之身 IDS 入侵检测系统 Intrusion Detection System 用于侦测以发现入侵行为的安全防御系统 IDS原理： 采集系统运行的各类动态数据 分析数据并判别入侵行为 采取相应的处置措施 ling@fudan.edu.cn 《网络安全设计》 安全防范⑸被动防御 5 IDS工作原理 异常发现技术 假定所有入侵行为都是与正常行为有差异的 模式发现技术 假定所有入侵行为和手段（变种）都能表达为一种模式或特征 ling@fudan.edu.cn 《网络安全设计》 安全防范⑸被动防御 6 异常发现示例 ling@fudan.edu.cn 《网络安全设计》 安全防范⑸被动防御 7 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 吞吐量 小时 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 吞吐量 小时 正常流量模式 异常流量模式 IDS工作流程 ling@fudan.edu.cn 《网络安全设计》 安全防范⑸被动防御 8 模式发现 异常发现 IDS体系结构 基于主机/基于网络 ling@fudan.edu.cn 《网络安全设计》 安全防范⑸被动防御 9 SA 安全审计 Security Audit 对日志、系统文件等海量的数据进行分析 除了采用模式匹配方法外，还可以采用数理统计分析、数据完整性分析等技术手段 可进行“回顾”性分析，使用必威体育精装版的分析模型对原有的“干净”记录进行安全隐患挖掘 分析： 系统对象（如用户、文件、目录和设备等） 测量属性（如访问次数、失败次数、流量、延时等） ling@fudan.edu.cn 《网络安全设计》 安全防范⑸被动防御 10