第6章-网络安全防范技术入侵检测及入侵防护系统课件.ppt
《第6章-网络安全防范技术入侵检测及入侵防护系统课件.ppt》由会员分享,可在线阅读,更多相关《第6章-网络安全防范技术入侵检测及入侵防护系统课件.ppt(32页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、1第第6章网络安全防范技章网络安全防范技术术计算机网络安全计算机网络安全张纯容张纯容2入侵检测与入侵防护系入侵检测与入侵防护系统统3近几年网络安全研究的发展过程近几年网络安全研究的发展过程 防火墙技术的研究:在网络边界保卫内部网。防火墙技术的研究:在网络边界保卫内部网。 VPN技术的研究:连接分散的内部网,完成内部网外延技术的研究:连接分散的内部网,完成内部网外延的扩大,与防火墙技术结合比较紧密。的扩大,与防火墙技术结合比较紧密。 认证、认证、PKI技术的研究:进一步扩大内部网的外延,同技术的研究:进一步扩大内部网的外延,同时建立广义的信任关系。时建立广义的信任关系。 入侵检测技术的研究:承接
2、防护和响应的过程。入侵检测技术的研究:承接防护和响应的过程。4入侵检测(入侵检测(Intrusion Detection,ID) 入侵检测就是对(网络)系统的运行状态进行监视,发入侵检测就是对(网络)系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性与可用性。资源的机密性、完整性与可用性。 一个完整的入侵检测系统必须具备下列特点:经济性、一个完整的入侵检测系统必须具备下列特点:经济性、时效性、安全性、可扩展性时效性、安全性、可扩展性5入侵检测的发展简介入侵检测的发展简介 可分为可分为3个阶段个阶段:安全
3、审计安全审计Security Audit): 审计定义为对系统中发生事件的记审计定义为对系统中发生事件的记录和分析处理过程。录和分析处理过程。入侵检测系统(入侵检测系统(Intrusion Detection System,IDS)入侵防范系统(入侵防范系统(Intrusion Prevention System,IPS,又称为,又称为入侵防护系统或入侵保护系统)入侵防护系统或入侵保护系统):IPS技术可以可以深度感知并检技术可以可以深度感知并检测流经网络的数据,对恶意报文进行丢弃以阻断攻击,对滥用报测流经网络的数据,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源文进行限流
4、以保护网络带宽资源6Common IntrusionsMARSRemote WorkerRemote BranchVPNVPNVPNACSIron PortFirewallWeb ServerEmail ServerDNSLANCSAZero-day exploit attacking the network7Intrusion Detection Systems (IDSs)1.An attack is launched on a network that has a sensor deployed in promiscuous IDS mode; therefore copies of a
5、ll packets are sent to the IDS sensor for packet analysis. However, the target machine will experience the malicious attack.2.The IDS sensor, matches the malicious traffic to a signature and sends the switch a command to deny access to the source of the malicious traffic.3.The IDS can also send an a
6、larm to a management console for logging and other management purposes.SwitchManagement Console123TargetSensor8Intrusion Prevention Systems (IPSs)1. An attack is launched on a network that has a sensor deployed in IPS mode (inline mode).2. The IPS sensor analyzes the packets as they enter the IPS se
7、nsor interface. The IPS sensor matches the malicious traffic to a signature and the attack is stopped immediately.3. The IPS sensor can also send an alarm to a management console for logging and other management purposes.4. Traffic in violation of policy can be dropped by an IPS sensor.SensorManagem
8、ent Console123Target4Bit Bucket9Common characteristics of IDS and IPS Both technologies are deployed using sensors. Both technologies use signatures to detect patterns of misuse in network traffic. Both can detect atomic patterns (single-packet) or composite patterns (multi-packet).10Comparing IDS a
9、nd IPS SolutionsAdvantagesDisadvantages No impact on network (latency, jitter) No network impact if there is a sensor failure No network impact if there is sensor overload Response action cannot stop trigger packets Correct tuning required for response actions Must have a well thought-out security p
10、olicy More vulnerable to network evasion techniquesIDSPromiscuous Mode11Comparing IDS and IPS SolutionsAdvantagesDisadvantages Stops trigger packets Can use stream normalization techniques Sensor issues might affect network traffic Sensor overloading impacts the network Must have a well thought-out
11、security policy Some impact on network (latency, jitter)IPSInline Mode12入侵检测系统的分类入侵检测系统的分类 按数据来源和系统结构的不同,入侵检测系统可分为按数据来源和系统结构的不同,入侵检测系统可分为3类类:基于主机的入侵检测系统基于主机的入侵检测系统基于网络的入侵检测系统基于网络的入侵检测系统分布式入侵检测系统(混合型)分布式入侵检测系统(混合型)13基于主机的入侵检测系统基于主机的入侵检测系统 基于主机的入侵检测系统的输入数据来源于系统的审计基于主机的入侵检测系统的输入数据来源于系统的审计日志,即在每个要保护的主机上
12、运行一个代理程序,一日志,即在每个要保护的主机上运行一个代理程序,一般只能检测该主机上发生的入侵。般只能检测该主机上发生的入侵。14基于网络的入侵检测系统基于网络的入侵检测系统 基于网络的入侵检测系统的输入数据来源于网络的信息基于网络的入侵检测系统的输入数据来源于网络的信息流,该类系统一般被动地在网络上监听整个网络上的信流,该类系统一般被动地在网络上监听整个网络上的信息流,通过捕获网络数据包,进行分析,能够检测该网息流,通过捕获网络数据包,进行分析,能够检测该网段上发生的网络入侵段上发生的网络入侵15分布式入侵检测系统(混合型)分布式入侵检测系统(混合型) 分布式入侵检测系统一般由多个部件组成
13、,分别进行数分布式入侵检测系统一般由多个部件组成,分别进行数据采集、数据分析等,通过中心的控制部件进行数据汇据采集、数据分析等,通过中心的控制部件进行数据汇总、分析、产生入侵报警等总、分析、产生入侵报警等16典型入侵检测工具介绍典型入侵检测工具介绍 免费的免费的IDSSnort:Snort是基于是基于Libpcap的数据包的数据包嗅探器,并且可以作为一个轻量级的网络入侵检测系统嗅探器,并且可以作为一个轻量级的网络入侵检测系统(NIDS) 商业商业IDS的代表的代表ISS的的RealSecure:ISS公司的公司的RealSecure是一个计算机网络上自动实时的入侵检测和是一个计算机网络上自动实
14、时的入侵检测和响应系统。响应系统。17蜜罐与蜜网技术18蜜罐与蜜网概述蜜罐与蜜网概述 为了能充分了解攻击者,并为了能充分了解攻击者,并“抓到抓到”攻击者,现在常常攻击者,现在常常使用网络诱骗技术使用网络诱骗技术 其核心内容是蜜罐和蜜网技术。其核心内容是蜜罐和蜜网技术。 蜜罐和蜜网技术是一种捕获和分析恶意代码及获取攻击蜜罐和蜜网技术是一种捕获和分析恶意代码及获取攻击者的攻击行为,可以为追踪攻击者提供有价值的线索,者的攻击行为,可以为追踪攻击者提供有价值的线索,为起诉攻击者搜集有力的证据,从而达到了解攻击者目为起诉攻击者搜集有力的证据,从而达到了解攻击者目的的技术,能为深入分析攻击者提供基础。的的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 防范 技术 入侵 检测 防护 系统 课件
限制150内