安全审核评估和风险分析入侵检测、早期预警与事件响应.ppt

第八单元

入侵检测

学习目标掌握入侵检测系统的概念了解入侵检测系统的作用及原理区分入侵检测系统和自动扫描程序描述网络级入侵检测与主机级入侵检测系统的不同列举入侵检测系统中使用的元素掌握入侵检测的规那么、动作与行为掌握入侵检测软件的选购与使用

入侵检测系统的概念入侵检测----通过对网络行为、平安日志或审核数据或其它网络上可以获得的信息进行操作和分析，检测到对系统的闯入或闯入的企图。

入侵检测系统的概念入侵检测系统IDS与扫描器systemscanne区别systemscanner〔系统扫描器〕是根据攻击特征数据库来扫描系统漏洞的。systemscanner更关注配置上的漏洞而不是当前进出主机的流量，有点类似杀毒软件，需要对已有漏洞分析后找到检测方法并编写检测规那么。入侵检测系统IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规那么来过滤从主机网卡到网线上的流量，提供实时警报。入侵检测系统IDS是对现有系统进行的动态检测。

入侵检测系统的主要功能检测并分析用户和系统的活动提供报警和预防防范黑客入侵核查系统配置和漏洞评估系统关键资源和数据文件的完整性识别的攻击行为统计分析异常行为记录各种网络活动和事件操作系统日志管理，并识别违反平安策略的用户活动

入侵检测的分类

管理者与代理的通信

建立一个有效的入侵检测体系安装IDS需注意的问题使用IDS应注意的问题充分发挥和利用IDS定制监控反响改正

创立和配置IDS规那么必须为IDS建立规那么编辑已有的规那么并增加新的规那么来为网络提供最正确的保护。规那么只有两大类：网络异常网络误用企业级的IDS通常可以实施上百条规那么

IDS的动作与行为定义规那么的元素需要保护的主机需要做日志记录和禁止的主机实施策略的时间段事件的描述对发生的事件如何反响

IDS主动审核和被动审核审核分被动型和主动型主动审核被动审核

入侵检测系统常用的检测方法入侵检测系统常用的检测方法有：特征检测统计检测专家系统文件完整性检查

入侵检测系统常用的检测方法特征检测特征检测对的攻击或入侵的方式做出正确性的描述，形成相应的事件模式检测方法上与计算机病毒的检测方式类似应用广泛预报检测的准确率较高

入侵检测系统常用的检测方法统计检测统计模型常为异常检测在统计模型中常用的测量参数包括：审核事件的数量间隔时间资源消耗情况常用的入侵检测5种统计模型为：操作模型方差多元模型马尔柯夫过程模型时间序列分析

入侵检测系统常用的检测方法专家系统专家系统是基于一套由专家经验事先定义的规那么的推理系统。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审核记录的完备性和实时性。专家系统对系统的适应性比较强，可以较灵活地适应广谱的平安策略和检测需求。

入侵检测系统常用的检测方法文件完整性检查文件完整性检查是指系统检查计算机中自上次检查后文件变化的情况文件完整性检查系统的优点文件完整性检查系统的弱点

基于内核的入侵检测系统〔LIDS〕什么是LIDS基于Linux内核的入侵检测和预防系统LIDS的三点特性入侵防护入侵监测入侵响应

基于内核的入侵检测系统〔LIDS〕LIDS文档工程安装LIDS下载、安装和配置LIDS补丁和相关正式的Linux内核在Linux系统上安装LIDS和系统管理工具配置LIDS系统

知名的入侵检测系统软件金诺网安入侵检测系统CiscoSecure入侵检测统清华得实NetDT(r)2000东软NetEyeIDS

东软IDS

中科网威“天眼〞入侵侦测系统

汉邦入侵检测系统HBIDS

安氏领信IDS

中联绿盟“冰之眼〞瑞星RIDS-100

如何选择入侵检测产品可以根据以下因素选择入侵检测产品：系统的价格特征库升级与维护的费用对于网络入侵检测系统，最大可处理流量〔包/秒PPS〕是多少该产品容易被躲避吗产品的可伸缩性运行与维护系统的开销产品支持的入侵特征数产品有哪些响应方法是否通过了国家授权的机构的评测

实验8-1：了解和认识CASessionWall的功能在本实验中，我们将会学习到IDS的原理和功能，以及SessionWall的工作环境。

实验8-2：了解和掌握SessionWall的环境在本实验中我们将了解SessionWall的强大功能以及IDS在网络中的地位与作用。

实验8-3：在SessionWall中创立、设置、编辑审核规那么本实验主要要求大家掌握SessionWall中规那么编辑的方法细节。

第九单元

早期预警与事件响应

学习目标了解早期预警的重要性掌握蜜网的概念及应用了解TarPit对于邮件效劳器的功能对一个平安