信息安全技术之第19讲 入侵检测系统的应用与部署.ppt

2.3 选择响应方式 两种响应方式: 被动响应方式 躲避（忽略）：对攻击行为不采取任何措施，相信机构的防御能抵御这些攻击 记录 ：对所有的事件都做出详细的记载，从而判断出可疑事件 通知：通过各种途径将相关入侵事件通知给相关人员（报警、电子邮件、短信） 特点：不直接阻止攻击行为，被动响应给合法的通信造成的影响最小，是最常用的响应方式 2.3 选择响应方式 B. 主动响应方式 连接、会话或进程终止：把有入侵行为的连接、会话或进程终止 网络连接的重新配置：重新配置机构的防火墙或路由器，优化机构的网络配置 欺骗：欺骗响应是诱使攻击者相信他已经成功地侵入系统并没有被发现，同时，目标系统被保护，以便防止攻击，这通过将攻击者引导到另一个系统或让目标的关键部分转移到安全位置来实现，如密罐技术。 特点：主动响应直接阻止攻击行为，可能会给合法的通信造成干扰或完全拒绝服务 2.4 合理配置检测规则 根据机构的实际情况，合理地配置IDS的检测规则，设定好正常行为和异常行为的界限（即临界值），减小漏报和误报的发生。 2.5 优化检测规则 任何一个IDS的配置策略规则都必须经过实际的测试和实验，然后优化调整，使之适应机构的实际需要。 注意：根据错误的证据对员工或外部人员进行错误的指责会让人对机构IDS的检测能力和有效性产生怀疑 小结 入侵检测产品的用途 入侵检测产品的分类 入侵检测产品检测方法 入侵检测系统的部署 入侵检测的响应方式　 Any question? 第19讲 入侵检测系统的应用与部署 企业安全需求分析 在企业信息系统实际管理过程，即使安装了防火墙和防病毒产品，但有时攻击还是发生了，这就需要有入侵检测产品和防火墙一起共同构成网络安全的技术防范体系。 入侵检测系统能检测正在发生的入侵攻击行为。 本讲任务 入侵检测系统的用途 入侵检测系统的检测方法 入侵检测系统的分类 入侵检测系统的部署 被保护网络 知识复习—新课的引入 ? 防火墙技术的弱点 防火墙不能止病毒的攻击 防火墙不能防内部攻击 防火墙不能防止IP期骗类型的攻击 总之，防火墙只是被动的过滤流经它的数据，只安装防火墙就能保证系统的安全的想法是不切合际的，在这种情况下，入侵检测技术应用而生 １. 入侵检测系统的定义 1.1 什么是入侵检测系统 ? IDS是防火墙的合理补充,对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统的安全性。 IDS是防火墙之后的第二道安全防线。 1.2 入侵检测系统的作用 1.2 入侵检测系统的作用 对网络流量进行监控 对系统构造和弱点的审计 监视、分析用户及系统活动,进行审计跟踪管理，　　并识别用户违反安全策略的行为 识别攻击并向相关人士报警 对相应的攻击行为或违反安全策略的行为响应，采取防范措施. 1.3 入侵检测系统的构成 控制台 探测器 1.4 入侵检测系统的工作流程 收集数据 分析数据 响 应 系统和网络日志文件 目录和文件中的不期望的改变 程序执行中的不期望行为 物理形式的入侵信息 信息的来源 数据分析---特征代码法 数据分析---异常检测法 响应方式 被动响方式 1. 躲避(忽略) 2.记录 3.通知 主动响应 1.网络的重新配置 2.连接、会话或进程中止 3.期骗 自动响应与人工响应 1.6 入侵检测系统的类型 1.6.1. 基于网络的IDS(NIDS) 1.6.1 基于网络的NIDS的数据来源 1.6.1 基于网络的NIDS的特征 特点 NIDS放置在网段内，监视网络数据包 发现问题可以切断网络 目前IDS大多数是NIDS 优点 不需要改变服务器的配置 不影响业务系统的性能 部署风险小 具有专门设备 弱点 检测范围有限 很难检测复杂攻击 传感器协同工作能力较弱 处理加密的会话过程较困难 理解交换机和集线器的数据转发方式 广播 端对端 1.6.2 基于主机HIDS HIDS HIDS实际是运行于特定主机上的一套检测系统， HIDS的类型与具体的主机类型和操作系统有关，其保护对象就是安装HIDS的这台主机， HIDS的性能与此台主机的配置有关 1.6.2 HIDS的数据来源 1.6.2 HIDS的特征 特点 HIDS安装在被重点检测的主机之上,HIDS对主机的网络实时连接以及系统审计,日志进行智能分析和判断 优点 发现主机出现可疑行为，HIDS采取措施 对分析“可能的攻击行为”非常有用,得到的信息详尽 误报率低 弱点 必须安装在要保护的设备上，出现安全风险 依赖服务器固有的日志与监视能力 部署代价大，易出现盲点 不能检测网络行为 知识复习 IDS的定义