网络安全入侵检测技术.ppt

;学习目标;7.1 入侵检测概述;7.1.1 入侵检测概念;7.1.1 入侵检测概念; 入侵检测系统（IDS）部署方案;7.1.2. IDS的任务和作用 ;7.1.2. IDS的任务和作用 ;7.1.2. IDS的任务和作用;; 1．精确地判断入侵事件 安装在服务器上的IDS有一个完整的黑客攻击信息库，其中 存放着各种黑客攻击行为的特征数据。 每当用户对服务器上的数据进行操作时，IDS就将用户的操 作与信息库中的数据进行匹配，一旦发现吻合，就认为此项 操作为黑客攻击行为。 由于信息库的内容会不断升级，因此可以保证新的黑客攻击 方法也能被及时发现。 IDS的攻击识别率可以达到非常高。;2．判断应用层的入侵事件 与防火墙不同，IDS是通过分析数据包的内容来识别黑客入 侵行为的。 因此，IDS可以判断出应用层的入侵事件。这样就极大的提高了判别黑客攻击行为的准确程度。 3．对入侵立即进行反应 IDS以进程的方式运行在服务器上，为系统提供实时的黑客 攻击检测保护。 一旦发现黑客攻击行为，IDS可以立即做出响应。响应的方 法有多种形式：报警、必要时关闭服务直至切断链路， 同时，IDS会对攻击的过程进行详细记录，为以后的调查工 作提供线索。;4．全方位地监控与保护 　　防火墙只能隔离来自本网段以外的攻击行为，而IDS可监控所有针对服务器的操作，因此它可以识别来自本网段内、其他网段以及外部网络的全部攻击行为。 5．不同系统中进行针对性的检验 　　网络上运行着各种应用程序，服务器的操作系统平台也是多种多样。IDS根据系统平台的不同进行有针对性的检验，从而提高了工作效率，同时也提高了检测的准确性。;7.1.3 入侵检测过程;7.1.3 入侵检测过程;7.1.3入侵检测过程;7.1.3入侵检测过程;7.1.3入侵检测过程;3．结果处理 控制台按照告警，产生预先定义的响应，采取相应措施。 可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。;7.2 入侵检测系统;7.2.1入侵检测系统的分类;3．按照入侵检测的时间的分类;入侵检测系统基本结构;7.2.2 基于主机的入侵检测系统 ;7.2.2 基于主机的入侵检测系统; 基于主机??入侵检测系统有如下优点 ;　　（2）主机入侵检测系统的弱点 HIDS安装在需要保护的设备上，会降低应用系统的效率； HIDS依赖于服务器固有的日志与监视能力。 如果服务器没有配置日志功能，则必需重新配置； 若入侵者设法逃避审计，则HIDS的就无能为力了。 全面部署HIDS代价较大 企业很难将所有主机用HIDS保护，只能选择部分主机保护。 HIDS除了监测自身的主机以外，根本不监测网络上的情况。 ;7.2.3 基于网络的入侵检测系统;7.2.3 基于网络的入侵检测系统 ;基于网络的入侵检测模型示意图 ;7.2.3 基于网络的入侵检测系统 ; 网络入侵检测系统只检查它直接连接网段的通信， 不能检测在不同网段的网络包。 会出现监测范围的局限。 安装多台网络入侵检测系统的传感器（网卡）会使部  署整个系统的成本大大增加。 网络入侵检测系统可以检测出普通的一些攻击，而很难实现 一些复杂的需要大量计算与分析时间的攻击检测。 网络入侵检测系统处理加密的会话过程较困难， 目前通过加密通道的攻击尚不多，但随着IPv6的普及，这个问题会越来越突出。;7.2.4分布式入侵检测技术;? 图6-4 DDoS攻击体系 ;7.2.4分布式入侵检测技术; 基于主体的分布式系统的IDS结构 ;7.2.4 分布式入侵检测技术;7.2.4 分布式入侵检测技术;7.3 入侵防御系统（ IPS）;7.3 入侵防御系统（ IPS）; IDS是一种并联在网络上的设备： 它只能被动地检测网络遭到了何种攻击，它的阻断攻击能力非常有限，一般只能通过发送TCP重置包或联动防火墙来阻止攻击。 IPS则是一种串联在网络上的设备： 一种主动的、积极的入侵防范、阻止系统，它部署在网络的进出口处，当它检测到攻击企图后，它会自动地将攻击包丢掉或采取措施将攻击源阻断。;图10-4 IDS与IPS接入方式比较;　举一个简单的例子来说明， IDS就如同火灾预警装置，火灾发生时，它会自动报警，但无 法阻止火灾的蔓延，必须要有人来操作进行灭火。 而IPS就像智能灭火装置，当它发现有火灾发生后，会主动 采取措施灭火，中间不需要人的干预。 使用IPS后，网络管理员只需少数的几次配置，也许就可以放 76心地隔岸观火，由IPS系统来对付来自各处的攻击了。; IPS实现实时检查和阻止入侵的原理在于IPS拥有 数目众多的过滤器，能够防止