【2017年整理】沈鑫剡编著(网络安全)教材配套课件第12章.pptVIP

;

本章主要内容

■IDS概述；

■网络入侵检测系统；

■主机入侵检测系统。;

本讲主要内容

■入侵定义和手段；

■引出IDS的原因；

■入侵检测系统通用框架结构；

■入侵检测系统的两种应用方式；

■IDS分类；

■入侵检测系统工作过程；

■入侵检测系统不足；

■入侵检测系统发展趋势；

■入侵检测系统的评价指标。;

所有破坏网络可用性、必威体育官网网址性和完整性的行为都是入侵。

目前黑客的入侵手段主要有恶意代码、非法访问和拒绝服务攻击等。;

无法防御以下攻击过程

■内部网络终端遭受的XSS攻击；

■内部网络蔓延蠕虫病毒；

■内部网络终端发送垃圾;引入入侵检测系统（IDS）,IDS可以获取

流经内部网络中和非军事区中的关键链路的信息,能够对这些信息进行检测,发现包含在这些信息中与实施上述攻击过程有关的有害信息,并予以反制。;

三、入侵检测系统通用框架结构;1.事件发生器

通用框架统一将需要入侵检测系统分析的数据称为事件，事件发生器的功能是提供事件。

2.事件分析器

事件分析器根据事件数据库中的入侵特征描述、用户历史行为模型等信息，对事件发生器提供的事件进行分析，得出事件是否合法的结论。

3.响应单元

响应单元是根据事件分析器的分析结果做出反应的单元。

4.事件数据库

事件数据库中存储用于作为判别事件是否合法的依据的信息。;

在线方式;■主机入侵防御系统检测进入主机的信息流、监测对主机资源的访问过程,以此发现攻击行为、管制流出主机的信息流,保护主机资源；

■网络入侵防御系统通过检测流经关键网段的信息流,发现攻击行为,实施反制过程,以此保护重要网络资源；

■主机入侵防御系统和网络入侵防御系统相辅相成,构成有机的防御体系。;

■捕获信息；

■检测异常信息；

■反制异常信息；

■报警；

■登记。;在线方式下,网络入侵检测系统（NIDS）捕获内网和外网之间传输的信息的过程；

杂凑方式下,网络入侵检测系统（NIDS）捕获终端和服务器间传输的信息的过程。;主机入侵检测系统工作过程

■拦截主机资源访问操作请求和网络信息流；

■采集相应数据；

■确定操作请求和网络信息流的合法性；

■反制动作；

■登记和分析。

主机攻击行为的最终目标是非法访问网络资源,或者感染病毒,这些操作的实施一般都需要调用操作系统提供的服务,因此,首要任务是对调用操作系统服务的请求进行检测,根据调用发起进程,调用进程所属用户,需要访问的主机资源等信息确定调用的合法性。同时,需要对进出主机的信息进行检测,发现非法代码和敏感信息。;■主机入侵防御系统是被动防御,主动防御是在攻击信息到达主机前予以干预,并查出攻击源,予以反制。另外,每一台主机安装主机入侵防御系统的成本和使安全策略一致的难度都是主机入侵防御系统的不足；

■网络入侵防御系统能够实现主动防御,但只保护部分网络资源,另外对未知攻击行为的检测存在一定的难度。;■融合到操作系统中

主机入侵防御系统的主要功能是监测对主机资源的访问过程,对访问资源的合法性进行判别,这是操作系统应该集成的功能。

■集成到网络转发设备中

所有信息流都需经过转发设备进行转发,因此,转发设备是检测信息流的合适之处。;1.正确性

正确性要求入侵检测系统减少误报，误报是把正常的信息交换过程或网络资源访问过程作为攻击过程予以反制和报警的情况。

2.全面性

全面性要求入侵检测系统减少漏报，漏报与误报相反，是把攻击过程当作正常的信息交换过程或网络资源访问过程不予干预，从而使黑客攻击成功的情况。

3.性能

性能是指捕获和检测信息流的能力。;

本讲主要内容

■网络入侵检测系统结构；

■信息捕获机制；

■网络入侵检测机制；

■安全策略配置实例。;■探测器1处于探测模式,需要采用相应捕获机制才能捕获信息流,探测器2处于转发模式；

■探测器1只能使用释放TCP连接的反制动作,探测器2可以使用其他反制动作；

■为了安全起见,探测器和管理服务器用专用网络实现互连。;利用集线器捕获信息机制

■利用