- 1、本文档共98页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
网络安全 张磊 华东师范大学 软件学院 第6章 网络防御技术 IDS主要内容 入侵检测技术概述 入侵检测系统体系结构 IDS存在问题 IDS发展方向 Snort IDS与蜜罐技术 一、入侵检测技术概述 IDS: Intrusion Detection System 对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性 进行入侵检测的软件与硬件的组合便是入侵检测系统 主要功能 监控网络和系统 发现入侵企图或异常现象 实时报警 主动响应 为什么需要IDS 入侵检测系统是防火墙之后的第二道防线 假如防火墙是一幢大楼的门卫,那么IDS就是这幢大楼里的监视系统 关于防火墙 网络边界的设备 自身可以被攻破 粗粒度检测 不是所有的威胁来自防火墙外部 入侵很容易 入侵教程随处可见 各种工具唾手可得 入侵检测的任务 检测来自内部的攻击事件和越权访问 80%以上的攻击事件来自于内部的攻击 防火墙只能防外,难于防内 入侵检测系统作为防火墙系统的一个有效的补充 入侵检测系统可以有效的防范防火墙开放的服务入侵 入侵检测的任务(续) 检测其它安全工具没有发现的网络工具事件。 提供有效的审计信息,详细记录黑客的入侵过程,从而帮助管理员发现网络的脆弱性。 入侵检测的任务(续) 在一些大型的网络中,管理员没有时间跟踪系统漏洞并且安装相应的系统补丁程序。 对于一些存在安全漏洞的服务、协议和软件,用户有时候不得不使用。 入侵检测的起源 1980年,James Anderson最早提出入侵检测概念 1987年,D.E.Denning首次给出了一个入侵检测的抽象模型,并将入侵检测作为一种新的安全防御措施提出。 1988年,Morris蠕虫事件直接刺激了IDS的研究 1988年,创建了基于主机的系统,有IDES,Haystack等 1989年,提出基于网络的IDS系统,有NSM,NADIR, DIDS等 入侵检测的起源 (续) 90年代,不断有新的思想提出,如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统 2000年2月,对Yahoo!、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮 2001年~今,RedCode、求职信等新型病毒的不断出现,进一步促进了IDS的发展。 入侵检测技术分类 按检测对象区分: 主机入侵检测(Host based IDS) 网络入侵检测(Network based IDS) 分布式的入侵检测系统 这种入侵检测系统一般为分布式结构,由多个部件组成 在关键主机上采用主机入侵检测,在网络关键节点上采用网络入侵检测,同时分析来自主机系统的审计日志和来自网络的数据流,判断被保护系统是否受到攻击 主机入侵检测系统(HIDS) 安装于被保护的主机中 主要分析主机内部活动: 系统调用 端口调用 系统日志 安全审计 应用日志 发现主机出现可疑行为,HIDS采取措施 占用一定的系统资源 主机入侵检测系统优缺点 优点 对分析“可能的攻击行为”非常有用 审计内容全面,得到的信息详尽 误报率低 适用于加密环境 缺点 必须安装在要保护的设备上,出现额外的安全风险 依赖服务器固有的日志与监视能力 部署代价大,易出现盲点 不能监控网络上的情况 网络入侵检测系统 安装在被保护的网段中 混杂模式监听 分析网段中所有的数据包 实时检测和响应 操作系统无关性 不会增加网络中主机的负载 发现问题可以切断网络 目前IDS大多数是NIDS 网络入侵检测系统(续) 优点 检测范围广 不需要改变服务器的配置 不影响业务系统的性能 部署风险小 具有专门设备 缺点 不能检测不同网段的网络包 很难检测复杂的需要大量计算的攻击 难以处理加密的会话 二、IDS体系结构标准 CIDF(公共入侵检测框架)(美国国防部提出) 事件产生器(Event generators) 事件分析器(Event analyzers) 事件数据库(Event databases) 响应单元(Response units) IDS体系结构标准(续) 事件产生器 事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。 事件分析器 事件分析器分析得到的数据,并产生分析结果。 响应单元 响应单元则是对分析结果作出作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,甚至发动对攻击者的反击,也可以只是简单的报警。 事件数据库 事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。 三、IDS存在的问题 1)布局问题 IDS布局位置决定安全检测程度 IDS的布局问题 IDS的布局问题(续) 检测器部署位置 放在边界防火墙之外
文档评论(0)