19-网络安全05-网络安全防护技术（2）.pptx

网络安全基础05

网络安全防护技术（2）;理解入侵检测与VPN的作用、原理及部署方式

了解计算机病毒的分类及防治技术;入侵检测技术

VPN技术

计算机病毒防治技术;入侵检测的概念

入侵检测（IntrusionDetection）：对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。

入侵检测技术是一种能够及时发现系统中未授权或异常现象，并能根据系统安全规则进行检测和报警的技术，是一种用于检测计算机网络系统中恶意行为的技术。

入侵检测系统（IntrusionDetectionSystem，简称IDS）：一种网络安全设备（机制），通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。;入侵检测系统的作用

事前警告：在黑客入侵之前，根据网络异常情况发出告警。

事中防御：在黑客入侵之时，根据恶意访问特征及时发现入侵行为并采取适当措施。

事后审计：在黑客入侵之后，根据恶意访问的各种日志记录，对入侵造成的损失进行审计，为修复系统、加固安全策略提供基本依据。

安全策略管理：根据安全策略对入侵行为进行记录和告警，并对各种警告进行输出、存储和查询等。;;相关术语

警报（alert）：当一个入侵正在发生或者试图发生时，IDS将发布一个警报信息通知系统管理员

特征（signatures）：一组能确定网络访问或系统行为是入侵行为的字符串、数据、行为模式或符号组合等

误报（falsepositive）：实际无害的事件却被IDS检测为攻击事件

漏报（falsenegative）：一个攻击事件未被IDS检测到或被分析人员认为是无害的

蜜罐（honeypot）：一种资源，其价值在于被攻击或攻陷;通用入侵检测系统模型（CIDF）;IDS分类

根据检测方式和技术分类

基于知识的IDS：又称为误用检测技术，通过某种方式预先定义规则（知识库），然后监视系统的运行，从中找出符合预先定义规则的入侵行为。

基于行为的IDS：又称为异常检测技术，入侵和滥用行为通常和正常的行为存在严重的差异，检查出这些差异就可以检测出入侵。;IDS分类

根据部署位置和工作方式分类

HIDS（主机入侵检测系统）：运行于被检测的??机上，通过查询、监听当前系统的各种资源的使用运行状态，检测系统资源被非法使用和修改的事件，进行上报和处理。

NIDS（网络入侵检测系统）：通过连接在网络上的“探针”捕获网络上的包，并分析其是否具有已知的攻击模式，以此来判断是否是入侵行为。当该系统发现某些可疑的行为时会产生报警（NIPS同时还可以根据安全策略对该行为进行阻断）。;HIDS部署方式;NIDS部署方式;入侵检测技术

VPN技术

计算机病毒防治技术;;VPN（VirtualPrivateNetwork，虚拟专用网）

依靠网络服务提供商NSP（NetworkServiceProvider）在公共网络中建立的虚拟专用通信网络。

VPN的特点

专用（Private）：对于VPN用户，使用VPN与使用传统专网没有区别，VPN与底层承载网络之间保持资源独立，VPN内部信息不受外部侵扰。

虚拟（Virtual）：VPN用户内部的通信是通过公共网络进行的，而这个公共网络同时也可以被其他非VPN用户使用，VPN用户获得的只是一个逻辑意义上的专网。这个公共网络也被称为VPN骨干网（VPNBackbone）。

;VPN的优势

安全：在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接，保证数据传输的安全性。

廉价：利用公共网络进行信息通讯，企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。

支持移动业务：支持驻外VPN用户在任何时间、任何地点的移动接入，能够满足不断增长的移动业务需求。

可扩展性：由于VPN为逻辑上的网络，物理网络中增加或修改节点，不影响VPN的部署。;VPN技术;;VPN技术;VPN技术;VPN的关键技术

隧道技术

隧道技术是VPN的基本技术，类似于点到点连接技术。它的基本过程就是在数据进入源VPN网关时，将数据“封装”后通过公网传输到目的VPN网关，再对数据“解封装”。“封装/解封装”过程本身就可以为原始报文提供安全防护功能，所以被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。;VPN的关键技术

身份认证技术：通过对用户的身份进行认证，确保接入内部网络的用户是合法用户，而非恶意用户。

加密技术：把能读懂的报文变成无法读懂的报文，也就是把明文变成密文。

数据验证技术：对收到的报文进行完整性和真实性校验，对于伪造的、被篡改的数据进行丢弃。;VPN技术;入侵检测技术

VPN技术

计算机病毒防治技术;计算机病毒的定义

从广义上讲，能够引起计算机故障、破坏计算机数据、影响计算机正常运