信息安全技术-第6章-入侵检测系统ppt课件.ppt

《信息安全技术-第6章-入侵检测系统ppt课件.ppt》由会员分享，可在线阅读，更多相关《信息安全技术-第6章-入侵检测系统ppt课件.ppt（37页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。第第6章章 入侵检测系统入侵检测系统“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。2本章概要本章概要本章针对入侵检测系统展开详尽的描述：本章针对入侵检测系统展开详尽的描述：p 入侵检测系统的概念；入侵检测系统的概念；p 入侵检测系统的主要技术；入侵检测系统的主要技术；p 入侵检测系统的类型；入侵检测系统的类型；p

2、 入侵检测系统的优缺点；入侵检测系统的优缺点；p 入侵检测系统的部署方式。入侵检测系统的部署方式。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。3课程目标课程目标通过本章的学习，读者应能够：通过本章的学习，读者应能够：p 了解入侵检测系统工作基本原理；了解入侵检测系统工作基本原理；p 了解入侵检测系统在整个安全防护体系中的作用；了解入侵检测系统在整个安全防护体系中的作用；p 掌握入侵检测系统的部署方式。掌握入侵检测系统的部署方式。“雪亮工程是以区（县）、乡（镇）、村（社区）三

3、级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。46.1 入侵检测系统的概念入侵检测系统的概念 当前，平均每当前，平均每20秒就发生一次入侵计算机网络的事件，秒就发生一次入侵计算机网络的事件，超过超过1/3的互联网防火墙被攻破！面对接二连三的安全问题，的互联网防火墙被攻破！面对接二连三的安全问题，人们不禁要问：到底是安全问题本身太复杂，以至于不可能人们不禁要问：到底是安全问题本身太复杂，以至于不可能被彻底解决，还是仍然可以有更大的改善，只不过我们所采被彻底解决，还是仍然可以有更大的改善，只不过我们所采取安全措施中缺少了某些

4、重要的环节。有关数据表明，后一取安全措施中缺少了某些重要的环节。有关数据表明，后一种解释更说明问题。有权威机构做过入侵行为统计，发现有种解释更说明问题。有权威机构做过入侵行为统计，发现有80来自于网络内部，也就是说，来自于网络内部，也就是说，“堡垒堡垒”是从内部被攻破是从内部被攻破的。另外，在相当一部分黑客攻击中，黑客都能轻易地绕过的。另外，在相当一部分黑客攻击中，黑客都能轻易地绕过防火墙而攻击网站服务器。这就使人们认识到：仅靠防火墙防火墙而攻击网站服务器。这就使人们认识到：仅靠防火墙仍然远远不能将仍然远远不能将“不速之客不速之客”拒之门外，还必须借助于一个拒之门外，还必须借助于一个“补救补救

5、”环节环节入侵检测系统。入侵检测系统。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。56.1.1 什么是入侵检测系统？什么是入侵检测系统？ 入侵检测系统入侵检测系统(Intrusiondetetionsystem，简称，简称IDS)是指是指监视监视(或者在可能的情况下阻止或者在可能的情况下阻止)入侵或者试图控制你的系统入侵或者试图控制你的系统或者网络资源的行为的系统。作为分层安全中日益被越普遍或者网络资源的行为的系统。作为分层安全中日益被越普遍采用的成分，入侵检测系统能有效地

6、提升黑客进入网络系统采用的成分，入侵检测系统能有效地提升黑客进入网络系统的门槛。入侵检测系统能够通过向管理员发出入侵或者入侵的门槛。入侵检测系统能够通过向管理员发出入侵或者入侵企图来加强当前的存取控制系统，例如防火墙企图来加强当前的存取控制系统，例如防火墙;识别防火墙通识别防火墙通常不能识别的攻击，如来自企业内部的攻击；在发现入侵企常不能识别的攻击，如来自企业内部的攻击；在发现入侵企图之后提供必要的信息。图之后提供必要的信息。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。6入

7、侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力了系统管理员的安全管理能力(包括安全审计、监视、进攻识包括安全审计、监视、进攻识别和响应别和响应)，提高了信息安全基础结构的完整性。它从计算机，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干个关键点收集信息，并分析这些信息，检网络系统中的若干个关键点收集信息，并分析这些信息，检测网络中是否有违反安全策略的行为和遭到袭击的迹象。它测网络中是否有违反安全策略的行为和遭到袭击的迹象。它的作用是监控网络和计算机系统是否出现被入侵或滥用的征的作用是监控网络和计算

8、机系统是否出现被入侵或滥用的征兆。兆。作为监控和识别攻击的标准解决方案，作为监控和识别攻击的标准解决方案，IDS系统已经成为安防系统已经成为安防体系的重要组成部分。体系的重要组成部分。IDS系统以后台进程的形式运行。发现可疑情况，立即通知有系统以后台进程的形式运行。发现可疑情况，立即通知有关人员。关人员。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。7防火墙为网络提供了第一道防线，入侵检测被认为是防火墙之防火墙为网络提供了第一道防线，入侵检测被认为是防火墙之后的第二道安全闸门

9、，在不影响网络性能的情况下对网络进后的第二道安全闸门，在不影响网络性能的情况下对网络进行检测，从而提供对内部攻击、外部攻击和误操作的实时保行检测，从而提供对内部攻击、外部攻击和误操作的实时保护。由于入侵检测系统是防火墙后的又一道防线，从而可以护。由于入侵检测系统是防火墙后的又一道防线，从而可以极大地减少网络免受各种攻击的损害。极大地减少网络免受各种攻击的损害。假如说防火墙是一幢大楼的门锁，那入侵检测系统就是这幢大假如说防火墙是一幢大楼的门锁，那入侵检测系统就是这幢大楼里的监视系统。门锁可以防止小偷进入大楼，但不能保证楼里的监视系统。门锁可以防止小偷进入大楼，但不能保证小偷小偷100地被拒之门外

10、，更不能防止大楼内部个别人员的地被拒之门外，更不能防止大楼内部个别人员的不良企图。而一旦小偷爬窗进入大楼，或内部人员有越界行不良企图。而一旦小偷爬窗进入大楼，或内部人员有越界行为，门锁就没有任何作用了，这时，只有实时监视系统才能为，门锁就没有任何作用了，这时，只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来的入侵发现情况并发出警告。入侵检测系统不仅仅针对外来的入侵者，同时也针对内部的入侵行为。者，同时也针对内部的入侵行为。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防

11、控工程”。86.1.2 入侵检测系统的特点入侵检测系统的特点 对一个成功的入侵检测系统来讲，它不但可使系统管理对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统员时刻了解网络系统(包括程序、文件和硬件设备等包括程序、文件和硬件设备等)的任何的任何变更，还能给网络安全策略的制订提供指南。更为重要的一变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该具有管理方便、配置简单的特性，从而使非专点是，它应该具有管理方便、配置简单的特性，从而使非专业人员非常容易地管理网络安全。而且，入侵检测的规模还业人员非常容易地管理网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和

12、安全需求的改变而改变。入侵应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时做出响应，包括切断网络连检测系统在发现入侵后，会及时做出响应，包括切断网络连接、记录事件和报警等。因此，一个好的入侵检测系统应具接、记录事件和报警等。因此，一个好的入侵检测系统应具有如下特点：有如下特点：“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。9 a.不需要人工干预即可不间断地运行。不需要人工干预即可不间断地运行。 b.有容错功能。即使系统发生了崩溃，也不会丢失数据

13、，有容错功能。即使系统发生了崩溃，也不会丢失数据，或者在系统重新启动时重建自己的知识库。或者在系统重新启动时重建自己的知识库。 c.不需要占用大量的系统资源。不需要占用大量的系统资源。 d.能够发现异于正常行为的操作。如果某个能够发现异于正常行为的操作。如果某个IDS系统使系系统使系统由统由“跑跑”变成了变成了“爬爬”，就不要考虑使用。，就不要考虑使用。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。10 e.能够适应系统行为的长期变化。例如系统中增加了一能够适应系统行为的长期

14、变化。例如系统中增加了一个新的应用软件，系统写照就会发生变化，个新的应用软件，系统写照就会发生变化，IDS必须能适应必须能适应这种变化。这种变化。 f.判断准确。相当强的坚固性，防止被篡改而收集到错判断准确。相当强的坚固性，防止被篡改而收集到错误的信息。误的信息。 g.灵活定制。解决方案必须能够满足用户要求。灵活定制。解决方案必须能够满足用户要求。 h.保持领先。能及时升级。保持领先。能及时升级。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。116.1.3 入侵行为的误判入侵

15、行为的误判 入侵行为判断的准确性是衡量入侵行为判断的准确性是衡量IDS是否高效的重要技术是否高效的重要技术指标，因为，指标，因为，IDS系统很容易出现判断失误，这些判断失误系统很容易出现判断失误，这些判断失误分为：正误判、负误判和失控误判三类。分为：正误判、负误判和失控误判三类。 1.1.正误判正误判(falsepositive)(falsepositive) 概念：概念：把一个合法操作判断为异常行为。把一个合法操作判断为异常行为。 特点：特点：导致用户不理会导致用户不理会IDS的报警，类似于的报警，类似于“狼来了狼来了”的的后果，使得用户逐渐对后果，使得用户逐渐对IDS的报警淡漠起来，这种的

16、报警淡漠起来，这种“淡漠淡漠”非常危险，将使非常危险，将使IDS形同虚设。形同虚设。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。12 2.负误判负误判(fasenegative) 概念：概念：把一个攻击动作判断为非攻击行为，并允许其通把一个攻击动作判断为非攻击行为，并允许其通过检测。过检测。 特点：特点：背离了安全防护的宗旨，背离了安全防护的宗旨，IDS系统成为例行公事，系统成为例行公事，后果十分严重。后果十分严重。 3.失控误判失控误判(subversion) 概念：概念

17、：攻击者修改了攻击者修改了IDS系统的操作，使它总是出现负误系统的操作，使它总是出现负误判的情况。判的情况。 特点：特点：不易觉察，长此以往，对这些不易觉察，长此以往，对这些“合法合法”操作操作IDS将将不会报警。不会报警。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。136.2 入侵检测的主要技术一入侵分析技术入侵检测的主要技术一入侵分析技术入侵分析技术主要有三大类：入侵分析技术主要有三大类：签名、统计及数据完整性。签名、统计及数据完整性。“雪亮工程是以区（县）、乡（镇）、

18、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。146.2.1 签名分析法签名分析法 签名分析法主要用来检测有无对系统的己知弱点进行的签名分析法主要用来检测有无对系统的己知弱点进行的攻击行为。这类攻击可以通过监视有无针对特定对象的某种攻击行为。这类攻击可以通过监视有无针对特定对象的某种行为而被检测到。行为而被检测到。 主要方法：从攻击模式中归纳出其签名，编写到主要方法：从攻击模式中归纳出其签名，编写到IDS系系统的代码里，再由统的代码里，再由IDS系统对检测过程中收集到的信息进行系统对检测过程中收集到的信息进行

19、签名分析。签名分析。 签名分析实际上是一个模板匹配操作，匹配的一方是系签名分析实际上是一个模板匹配操作，匹配的一方是系统设置情况和用户操作动作，一方是已知攻击模式的签名数统设置情况和用户操作动作，一方是已知攻击模式的签名数据库。据库。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。156.2.2 统计分析法统计分析法 统计分析法是以系统正常使用情况下观察到的动作为基统计分析法是以系统正常使用情况下观察到的动作为基础，如果某个操作偏离了正常的轨道，此操作就值得怀疑。础，如果某个操

20、作偏离了正常的轨道，此操作就值得怀疑。 主要方法：首先根据被检测系统的正常行为定义出一个主要方法：首先根据被检测系统的正常行为定义出一个规律性的东西，在此称为规律性的东西，在此称为“写照写照”，然后检测有没有明显偏，然后检测有没有明显偏离离“写照写照”的行为。的行为。 统计分析法的理论基础是统计学，此方法中，统计分析法的理论基础是统计学，此方法中，“写照写照”的确定至关重要。的确定至关重要。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。166.2.3 数据完整性分析法数据完整

21、性分析法 数据完整性分析法主要用来查证文件或对象是否被修改数据完整性分析法主要用来查证文件或对象是否被修改过，它的理论基础是密码学。过，它的理论基础是密码学。 上述分析技术在上述分析技术在IDS中会以各种形式出现，把这些方法中会以各种形式出现，把这些方法组合起来使用，互相弥补不足是最好的解决方案，从而在组合起来使用，互相弥补不足是最好的解决方案，从而在IDS系统内部实现多层次、多手段的入侵检测功能。如签名系统内部实现多层次、多手段的入侵检测功能。如签名分析方法没有发现的攻击可能正好被统计分析方法捕捉到。分析方法没有发现的攻击可能正好被统计分析方法捕捉到。“雪亮工程是以区（县）、乡（镇）、村（社

22、区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。176.3 入侵检测系统的主要类型入侵检测系统的主要类型“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。186.3.1 应用软件入侵检测应用软件入侵检测(Application Intrusion Detection) 1. 1.概念概念 在应用软件级收集信息。在应用软件级收集信息。 2.优点优点 控制性好控制性好具有很高的可控性。具有很高的可控性。 3

23、.缺点缺点 a.需要支持的应用软件数量多；需要支持的应用软件数量多；“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。19 b.只能保护一个组件只能保护一个组件针对软件的针对软件的IDS系统只能对特系统只能对特定的软件进行分析，系统中其他的组件不能得到保护。定的软件进行分析，系统中其他的组件不能得到保护。 网络入侵检测系统网络入侵检测系统(IDS)可以分为基于网络数据包分析的可以分为基于网络数据包分析的和基于主机的两种基本方式。简单说，前者在网络通信中寻和基于主机的两种基本方式。

24、简单说，前者在网络通信中寻找符合网络入侵模版的数据包，并立即做出相应反应；后者找符合网络入侵模版的数据包，并立即做出相应反应；后者在宿主系统审计日志文件中寻找攻击特征，然后给出统计分在宿主系统审计日志文件中寻找攻击特征，然后给出统计分析报告。它们各有优缺点，互相作为补充。析报告。它们各有优缺点，互相作为补充。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。206.3.2基于主机的入侵检测基于主机的入侵检测(Host Intrusion Detection) 1. 1.概念概念

25、基于主机的入侵检测始于基于主机的入侵检测始于20世纪世纪80年代早期，通常采用年代早期，通常采用查看针对可疑行为的审计记录来执行。它对新的记录条目与查看针对可疑行为的审计记录来执行。它对新的记录条目与攻击特征进行比较，并检查不应该被改变的系统文件的校验攻击特征进行比较，并检查不应该被改变的系统文件的校验和来分析系统是否被侵入或者被攻击。如果发现与攻击模式和来分析系统是否被侵入或者被攻击。如果发现与攻击模式匹配，匹配，IDS系统通过向管理员报警和其他呼叫行为来响应。系统通过向管理员报警和其他呼叫行为来响应。它的主要目的是在事件发生后提供足够的分析来阻止进一步它的主要目的是在事件发生后提供足够的分

26、析来阻止进一步的攻击。反应的时间依赖于定期检测的时间间隔。实时性没的攻击。反应的时间依赖于定期检测的时间间隔。实时性没有基于网络的有基于网络的IDS系统好。系统好。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。21 2.优点优点 基于主机的入侵检测具有以下优势：基于主机的入侵检测具有以下优势： a.监视所有系统行为。基于主机的监视所有系统行为。基于主机的IDS能够监视所有的能够监视所有的用户登录和退出，甚至用户所做的所有操作，审计系统在日用户登录和退出，甚至用户所做的所有操作

27、，审计系统在日志里记录的策略改变，监视关键系统文件和可执行文件的改志里记录的策略改变，监视关键系统文件和可执行文件的改变等。可以提供比基于网络的变等。可以提供比基于网络的IDS更为详细的主机内部活动更为详细的主机内部活动信息。信息。 b.有些攻击在网络的数据流中很难发现，或者根本没有有些攻击在网络的数据流中很难发现，或者根本没有通过网络在本地进行。这时基于网络的通过网络在本地进行。这时基于网络的IDS系统将无能为力。系统将无能为力。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”

28、。22 c.适应交换和加密。基于主机的适应交换和加密。基于主机的IDS系统可以较为灵活地系统可以较为灵活地配置在多个关键主机上，不必考虑交换和网络拓扑问题。这配置在多个关键主机上，不必考虑交换和网络拓扑问题。这对关键主机零散地分布在多个网段上的环境特别有利。某些对关键主机零散地分布在多个网段上的环境特别有利。某些类型的加密也是对基于网络的入侵检测的挑战。依靠加密方类型的加密也是对基于网络的入侵检测的挑战。依靠加密方法在协议堆栈中的位置，它可能使基于网络的系统不能判断法在协议堆栈中的位置，它可能使基于网络的系统不能判断确切的攻击。基于主机的确切的攻击。基于主机的IDS没有这种限制。没有这种限制。

29、 d.不要求额外的硬件。基于主机的不要求额外的硬件。基于主机的IDS配置在被保护的配置在被保护的网络设备中，不要求在网络上增加额外的硬件。网络设备中，不要求在网络上增加额外的硬件。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。23 3.缺点缺点 a.看不到网络活动的状况。看不到网络活动的状况。 b.运行审计功能要占用额外系统资源。运行审计功能要占用额外系统资源。 C.主机监视感应器对不同的平台不能通用。主机监视感应器对不同的平台不能通用。 d.管理和实施比较复杂。管理和实施比

30、较复杂。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。246.3.3 基于网络的入侵检测基于网络的入侵检测(NetworkIntrusionDetection) 1. 1.概念概念 基于网络的入侵检测系统使用原始的裸网络包作为源。基于网络的入侵检测系统使用原始的裸网络包作为源。利用工作在混杂模式下的网卡实时监视和分析所有的通过共利用工作在混杂模式下的网卡实时监视和分析所有的通过共享式网络的传输。当前，部分产品也可以利用交换式网络中享式网络的传输。当前，部分产品也可以利用交换式

31、网络中的端口映射功能来监视特定端口的网络入侵行为。一旦攻击的端口映射功能来监视特定端口的网络入侵行为。一旦攻击被检测到，响应模块将按照配置对攻击做出反应。这些反应被检测到，响应模块将按照配置对攻击做出反应。这些反应通常包括发送电子邮件、寻呼、记录日志、切断网络连接等。通常包括发送电子邮件、寻呼、记录日志、切断网络连接等。 2.优点优点 基于网络的入侵检测系统具有以下几方面的优势：基于网络的入侵检测系统具有以下几方面的优势：“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。25 a

32、.基于网络的基于网络的ID技术不要求在大量的主机上安装和管理技术不要求在大量的主机上安装和管理软件，允许在重要的访问端口检查面向多个网络系统的流量。软件，允许在重要的访问端口检查面向多个网络系统的流量。在一个网段只需要安装一套系统，则可以监视整个网段的通在一个网段只需要安装一套系统，则可以监视整个网段的通信，因而花费较低。信，因而花费较低。 b.基于主机的基于主机的IDS不查看包头，因而会遗漏一些关键信不查看包头，因而会遗漏一些关键信息，而基于网络的息，而基于网络的IDS检查所有的包头来识别恶意和可疑行检查所有的包头来识别恶意和可疑行为。例如，许多拒绝服务攻击为。例如，许多拒绝服务攻击(DoS

33、)只能在它们通过网络传输只能在它们通过网络传输时检查包头信息才能识别。时检查包头信息才能识别。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。26 c.基于网络基于网络IDS的宿主机通常处于比较隐蔽的位置，基的宿主机通常处于比较隐蔽的位置，基本上不对外提供服务，因此也比较坚固。这样对于攻击者来本上不对外提供服务，因此也比较坚固。这样对于攻击者来说，消除攻击证据非常困难。捕获的数据不仅包括攻击方法，说，消除攻击证据非常困难。捕获的数据不仅包括攻击方法，还包括可以辅助证明和作为起诉

34、证据的信息。而基于主机还包括可以辅助证明和作为起诉证据的信息。而基于主机IDS的数据源则可能已经被精通审计日志的黑客篡改。的数据源则可能已经被精通审计日志的黑客篡改。 d.基于网络的基于网络的IDS具有更好的实时性。例如，它可以在具有更好的实时性。例如，它可以在目标主机崩溃之前切断目标主机崩溃之前切断TCP连接，从而达到保护的目的。而连接，从而达到保护的目的。而基于主机的系统是在攻击发生之后，用于防止攻击者的进一基于主机的系统是在攻击发生之后，用于防止攻击者的进一步攻击。步攻击。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安

35、全视频监控联网应用为重点的“群众性治安防控工程”。27 e.检测不成功的攻击和恶意企图。基于网络的检测不成功的攻击和恶意企图。基于网络的IDS可以检可以检测到不成功的攻击企图，而基于主机的系统则可能会遗漏一测到不成功的攻击企图，而基于主机的系统则可能会遗漏一些重要信息。些重要信息。 f.基于网络的基于网络的IDS不依赖于被保护主机的操作系统。不依赖于被保护主机的操作系统。 3.缺点缺点 a.对加密通信无能为力。对加密通信无能为力。 b.对高速网络无能为力。对高速网络无能为力。 c.不能预测命令的执行后果。不能预测命令的执行后果。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台

36、、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。286.3.4 集成入侵检测集成入侵检测(Integrated Intrusion Detection) 1. 1.概念概念 综合了上面介绍的几种技术的入侵检测方法。综合了上面介绍的几种技术的入侵检测方法。 2.优点优点 a.具有每一种检测技术的优点，并试图弥补各自的不足。具有每一种检测技术的优点，并试图弥补各自的不足。 b.趋势分析趋势分析能够更容易看清长期攻击和跨网络攻击的能够更容易看清长期攻击和跨网络攻击的模式。模式。 C.稳定性好。稳定性好。 d.节约成本节约成本-购买集成化解决方案相对

37、于分别购买独立组购买集成化解决方案相对于分别购买独立组件的解决方案，可节约开支。件的解决方案，可节约开支。 3.缺点缺点 a.在安防问题上不思进取。在安防问题上不思进取。 b.把不同供应商的组件集成在一起较困难。把不同供应商的组件集成在一起较困难。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。296.4 入侵检测系统的优点和不足入侵检测系统的优点和不足“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控

38、联网应用为重点的“群众性治安防控工程”。306.4.1 入侵测系统的优点入侵测系统的优点 入侵检测系统能够增强网络的安全性，它的优点：入侵检测系统能够增强网络的安全性，它的优点：p 能够使现有的安防体系更完善；能够使现有的安防体系更完善；p 能够更好地掌握系统的情况；能够更好地掌握系统的情况；p 能够追踪攻击者的攻击线路；能够追踪攻击者的攻击线路；p 界面友好，便于建立安防体系；界面友好，便于建立安防体系；p 能够抓住肇事者。能够抓住肇事者。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安

39、防控工程”。316.4.2 入侵检测系统的不足入侵检测系统的不足入侵检测系统不是万能的，它同样存在许多不足之处：入侵检测系统不是万能的，它同样存在许多不足之处：p 不能够在没有用户参与的情况下对攻击行为展开调查；不能够在没有用户参与的情况下对攻击行为展开调查；p 不能够在没有用户参与的情况下阻止攻击行为的发生；不能够在没有用户参与的情况下阻止攻击行为的发生；p 不能克服网络协议方面的缺陷；不能克服网络协议方面的缺陷；p 不能克服设计原理方面的缺陷；不能克服设计原理方面的缺陷；p 响应不够及时，签名数据库更新得不够快。经常是事后才响应不够及时，签名数据库更新得不够快。经常是事后才检测到，适时性不

40、好。检测到，适时性不好。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。326.5 带入侵检测功能的网络体系结构带入侵检测功能的网络体系结构 由前述可知，入侵检测系统能做什么，不能做什么；至由前述可知，入侵检测系统能做什么，不能做什么；至于它在网络体系结构的位置，很大程度上取决于使用于它在网络体系结构的位置，很大程度上取决于使用IDS的的目的。它既可以放在防火墙前面，部署一个网络目的。它既可以放在防火墙前面，部署一个网络IDS，监视，监视以整个内部网为目标的攻击，又可以在每个子

41、网上都放置网以整个内部网为目标的攻击，又可以在每个子网上都放置网络感应器，监视网络上的一切活动。络感应器，监视网络上的一切活动。 网络网络IDS参见下页图所示：参见下页图所示：“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。33IDS部署示意部署示意InternetIDS 1IDS 2IDS 3IDS 4子网子网 A子网子网 B交换机交换机带主机带主机IDS感应感应器的服务器器的服务器服务器服务器含含HIDS的网络体系结构的网络体系结构“雪亮工程是以区（县）、乡（镇）、村（社区

42、）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。346.6入侵检测系统的发展入侵检测系统的发展 入侵检测系统的发展方向是攻击防范技术和更好的攻击入侵检测系统的发展方向是攻击防范技术和更好的攻击识别技术，也就是入侵防范技术。当系统遇到进攻时设法把识别技术，也就是入侵防范技术。当系统遇到进攻时设法把它化解掉，让网络和系统还能正常运转。它化解掉，让网络和系统还能正常运转。 抗入侵解决方案具有以下几方面的优势：抗入侵解决方案具有以下几方面的优势：l 对入侵做出主动的反映；对入侵做出主动的反映；l 不再完全依赖于签名数据库，易于

43、管理；不再完全依赖于签名数据库，易于管理；l 追求的目标是在攻击对系统造成真正的危害之前将它们化追求的目标是在攻击对系统造成真正的危害之前将它们化解掉；解掉；“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。35 对攻击展开的跟踪调查随时都可以进行；对攻击展开的跟踪调查随时都可以进行； 极大地改善了极大地改善了IDS系统的易用性，减轻了主机安防在系统管系统的易用性，减轻了主机安防在系统管理方面的压力。理方面的压力。 由于由于IDS的局限性，市场上又出现了的局限性，市场上又出现了I

44、DP (Intrusion Detection Prevention) 产品。当前的产品。当前的IDP产品可以认为是产品可以认为是IDS系统的替代品。与系统的替代品。与IDS相比，相比，IDP最大的特点在于它不但最大的特点在于它不但能检测到入侵行为的发生，而且有能力中止入侵活动的进行；能检测到入侵行为的发生，而且有能力中止入侵活动的进行；并且并且IDP能够从不断更新的模式库中发现各种各样新的入侵能够从不断更新的模式库中发现各种各样新的入侵方法，从而做出更智能的保护性操作，并减少漏报和误报。方法，从而做出更智能的保护性操作，并减少漏报和误报。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中

45、心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。366.7 入侵检测产品入侵检测产品 常见的入侵检测产品有：常见的入侵检测产品有：l Cisco System：NetRanger；l NetworkAssociate：CyberCop;l InternetSecuritySystem：RealSecure；l IntrusionDetection：KaneSecurityMonitor；l AxentTechnologies：OmniGuard/IntruderAlert；l 中科网威：天眼；中科网威：天眼；l 启明星辰：启明星辰：SkyBell。“雪亮工程是以区（县）、乡（镇）、村（社区）三级综治中心为指挥平台、以综治信息化为支撑、以网格化管理为基础、以公共安全视频监控联网应用为重点的“群众性治安防控工程”。37第第6章结束！章结束！