第10章 防火墙与入侵检测.ppt

《第10章 防火墙与入侵检测.ppt》由会员分享，可在线阅读，更多相关《第10章 防火墙与入侵检测.ppt（57页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第十章第十章 防火墙与入防火墙与入侵检测侵检测 内容提要内容提要v本章介绍两部分的内容：本章介绍两部分的内容：防火墙和入侵检测技术。v介绍防火墙的基本概念，常见防火墙类型以及如介绍防火墙的基本概念，常见防火墙类型以及如何使用规则集实现防火墙。何使用规则集实现防火墙。v介绍入侵检测系统的基本概念以及入侵检测的常介绍入侵检测系统的基本概念以及入侵检测的常用方法用方法v如何编写入侵检测工具以及如何使用工具实现入如何编写入侵检测工具以及如何使用工具实现入侵检测。侵检测。2023/4/22浙江邮电职业技术学院计算机系防火墙的定义防火墙的定义 v防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火

2、防火墙的本义原是指古代人们房屋之间修建的墙，这道墙可以防止火灾发生的时候蔓延到别的房屋，如图所示。灾发生的时候蔓延到别的房屋，如图所示。2023/4/23浙江邮电职业技术学院计算机系防火墙的定义防火墙的定义v这里所说的防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间这里所说的防火墙不是指为了防火而造的墙，而是指隔离在本地网络与外界网络之间的一道防御系统。的一道防御系统。v在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域在互联网上，防火墙是一种非常有效的网络安全系统，通过它可以隔离风险区域（Internet或有一定风险的网络）与安全区域（局域网）的连接，同时

3、不会妨碍安全区或有一定风险的网络）与安全区域（局域网）的连接，同时不会妨碍安全区域对风险区域的访问，网络防火墙结构如图所示。域对风险区域的访问，网络防火墙结构如图所示。2023/4/24浙江邮电职业技术学院计算机系防火墙的功能防火墙的功能 v根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下根据不同的需要，防火墙的功能有比较大差异，但是一般都包含以下三种基本功能。三种基本功能。可以限制未授权的用户进入内部网络，过滤掉不安全的服务和非法用户防止入侵者接近网络防御设施限制内部用户访问特殊站点v由于防火墙假设了网络边界和服务，因此适合于相对独立的网络，例由于防火墙假设了网络边界和服务，因此

4、适合于相对独立的网络，例如如Intranet等种类相对集中的网络。等种类相对集中的网络。Internet上的上的Web网站中，超过网站中，超过三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都三分之一的站点都是有某种防火墙保护的，任何关键性的服务器，都应该放在防火墙之后。应该放在防火墙之后。2023/4/25浙江邮电职业技术学院计算机系防火墙的必要性防火墙的必要性v随着世界各国信息基础设施的逐渐形成，国与国之间变得随着世界各国信息基础设施的逐渐形成，国与国之间变得“近在咫尺近在咫尺”。Internet已经成为信息化社会发展的重要保证。已深入到国家的已经成为信息化社会发展的重要保证。已

5、深入到国家的政治、军事、经济、文教等诸多领域。许多重要的政府宏观调控决策、政治、军事、经济、文教等诸多领域。许多重要的政府宏观调控决策、商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据商业经济信息、银行资金转帐、股票证券、能源资源数据、科研数据等重要信息都通过网络存贮、传输和处理。因此，难免会遭遇各种主等重要信息都通过网络存贮、传输和处理。因此，难免会遭遇各种主动或被动的攻击。例如信息泄漏、信息窃取、数据篡改、数据删除和动或被动的攻击。例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等。因此，网络安全已经成为迫在眉睫的重要问题，没有计算机病毒等。因此，网络安全已经成为迫在眉睫

6、的重要问题，没有网络安全就没有社会信息化网络安全就没有社会信息化 2023/4/26浙江邮电职业技术学院计算机系 防火墙的局限性防火墙的局限性 v没有万能的网络安全技术，防火墙也不例外。防火墙有以没有万能的网络安全技术，防火墙也不例外。防火墙有以下三方面的局限：下三方面的局限：n防火墙不能防范网络内部的攻击。比如：防火墙无法禁止变节者或内部间谍将敏感数据拷贝到软盘上。n防火墙也不能防范那些伪装成超级用户或诈称新雇员的黑客们劝说没有防范心理的用户公开其口令，并授予其临时的网络访问权限。n防火墙不能防止传送己感染病毒的软件或文件，不能期望防火墙去对每一个文件进行扫描，查出潜在的病毒。2023/4/

7、27浙江邮电职业技术学院计算机系防火墙的分类防火墙的分类 v常见的放火墙有三种类型：分组过滤防火墙；应用代理防火墙；状态检测防常见的放火墙有三种类型：分组过滤防火墙；应用代理防火墙；状态检测防火墙。火墙。n分组过滤（分组过滤（Packet Filtering）：作用在协议组的网络层和传输层，根据分组）：作用在协议组的网络层和传输层，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，

8、其余的数据包则从数据流中丢弃。包则从数据流中丢弃。n应用代理（应用代理（Application Proxy）：也叫应用网关（）：也叫应用网关（Application Gateway），），它作用在应用层，其特点是完全它作用在应用层，其特点是完全“阻隔阻隔”网络通信流，通过对每种应用服务网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。网关通常由专用工作站实现。n状态检测（状态检测（Status Detection）：直接对分组里的数据进行处理，并且结合）：直

9、接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。前后分组的数据进行综合判断，然后决定是否允许该数据包通过。2023/4/28浙江邮电职业技术学院计算机系分组过滤防火墙分组过滤防火墙v数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。所各个数据包。v通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将通常情况下，如果规则中没有明确允许指定数据包的出入，那么数据包将被丢弃被丢弃 2023/4/29浙江邮电职业技术学院计算机系v一个可靠的分组过滤防火墙依

10、赖于规则集，表列出了几条典型的规则一个可靠的分组过滤防火墙依赖于规则集，表列出了几条典型的规则集。集。v第一条规则：主机第一条规则：主机10.1.1.1任何端口访问任何主机的任何端口，基于任何端口访问任何主机的任何端口，基于TCP协议协议的数据包都允许通过。第二条规则：任何主机的的数据包都允许通过。第二条规则：任何主机的20端口访问主机端口访问主机10.1.1.1的任的任何端口，基于何端口，基于TCP协议的数据包允许通过。第三条规则：任何主机的协议的数据包允许通过。第三条规则：任何主机的20端口端口访问主机访问主机10.1.1.1小于小于1024的端口，如果基于的端口，如果基于TCP协议的数据

11、包都禁止通过。协议的数据包都禁止通过。组组序号序号动动作作源源IP目的目的IP源端口源端口目的端口目的端口协议类协议类型型1允允许许10.1.1.1*TCP2允允许许*10.1.1.120*TCP3禁止禁止*10.1.1.120Security Logs”，察看日志纪录如图，察看日志纪录如图9-14所示。所示。2023/4/221浙江邮电职业技术学院计算机系案例案例9-2 用用WinRoute禁用禁用FTP访问访问 vFTP服务用服务用TCP协议，协议，FTP占用占用TCP的的21端口，主机的端口，主机的IP地址是地址是“172.18.25.109”，首先创建规则如表所示。，首先创建规则如表所

12、示。组组序号序号动动作作源源IP目的目的IP源端口源端口目的端口目的端口协议类协议类型型1禁止禁止*172.18.25.109*21TCP2023/4/222浙江邮电职业技术学院计算机系v利用利用WinRoute建立访问规则，如图建立访问规则，如图9-15所示。所示。2023/4/223浙江邮电职业技术学院计算机系v设置访问规则以后，再访问主机设置访问规则以后，再访问主机“172.18.25.109”的的FTP服务，将服务，将遭到拒绝，如图遭到拒绝，如图9-16所示。所示。2023/4/224浙江邮电职业技术学院计算机系v访问违反了访问规则，会在主机的安全日志中记访问违反了访问规则，会在主机的

13、安全日志中记录下来，如图录下来，如图9-17所示。所示。2023/4/225浙江邮电职业技术学院计算机系案例案例9-3 用用WinRoute禁用禁用HTTP访问访问vHTTP服务用服务用TCP协议，占用协议，占用TCP协议的协议的80端口，主机的端口，主机的IP地址是地址是“172.18.25.109”，首先创建规则如表所示。，首先创建规则如表所示。组组序号序号动动作作源源IP目的目的IP源端口源端口目的端口目的端口协议类协议类型型1禁止禁止*172.18.25.109*80TCP2023/4/226浙江邮电职业技术学院计算机系v利用利用WinRoute建立访问规则，如图建立访问规则，如图9-

14、18所示。所示。2023/4/227浙江邮电职业技术学院计算机系v打开本地的打开本地的IE连接远程主机的连接远程主机的HTTP服务，将遭到服务，将遭到拒绝，如图拒绝，如图9-19所示。所示。2023/4/228浙江邮电职业技术学院计算机系v访问违反了访问规则，所以在主机的安全日志中访问违反了访问规则，所以在主机的安全日志中记录下来，如图记录下来，如图9-20所示。所示。2023/4/229浙江邮电职业技术学院计算机系应用代理防火墙应用代理防火墙 v应用代理（应用代理（Application Proxy）是运行在防火墙上的一种服务器程序，防火）是运行在防火墙上的一种服务器程序，防火墙主机可以是一

15、个具有两个网络接口的双重宿主主机，也可以是一个堡垒主墙主机可以是一个具有两个网络接口的双重宿主主机，也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间，用于转接内外主机机。代理服务器被放置在内部服务器和外部服务器之间，用于转接内外主机之间的通信，它可以根据安全策略来决定是否为用户进行代理服务。代理服之间的通信，它可以根据安全策略来决定是否为用户进行代理服务。代理服务器运行在应用层，因此又被称为务器运行在应用层，因此又被称为“应用网关应用网关”。2023/4/230浙江邮电职业技术学院计算机系常见防火墙系统模型常见防火墙系统模型 v常见防火墙系统一般按照四种模型构建：常见防火墙系

16、统一般按照四种模型构建：筛选路由器模型、单宿主堡垒主机（屏蔽主机防火墙）模型、双宿主堡垒主机模型（屏蔽防火墙系统模型）和屏蔽子网模型。2023/4/231浙江邮电职业技术学院计算机系筛选路由器模型筛选路由器模型 v筛选路由器模型是网络的第一道防线，功能是实施包过滤。创建相应的过滤筛选路由器模型是网络的第一道防线，功能是实施包过滤。创建相应的过滤策略时对工作人员的策略时对工作人员的TCP/IP的知识有相当的要求，如果筛选路由器被黑客攻的知识有相当的要求，如果筛选路由器被黑客攻破那么内部网络将变的十分的危险。该防火墙不能够隐藏你的内部网络的信破那么内部网络将变的十分的危险。该防火墙不能够隐藏你的内

17、部网络的信息、不具备监视和日志记录功能。典型的筛选路由器模型如图息、不具备监视和日志记录功能。典型的筛选路由器模型如图9-23所示。所示。2023/4/232浙江邮电职业技术学院计算机系单宿主堡垒主机模型单宿主堡垒主机模型 v单宿主堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒主机组成。单宿主堡垒主机（屏蔽主机防火墙）模型由包过滤路由器和堡垒主机组成。该防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络该防火墙系统提供的安全等级比包过滤防火墙系统要高，因为它实现了网络层安全（包过滤）和应用层安全（代理服务）。所以入侵者在破坏内部网络层安全（包过滤）和应用层安全（代理服务）。所

18、以入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统。单宿主堡垒主机的模型的安全性之前，必须首先渗透两种不同的安全系统。单宿主堡垒主机的模型如图所示。如图所示。2023/4/233浙江邮电职业技术学院计算机系双宿主堡垒主机模型双宿主堡垒主机模型 v双宿主堡垒主机模型（屏蔽防火墙系统）可以构造更加安全的防火墙系统。双宿主堡垒主机模型（屏蔽防火墙系统）可以构造更加安全的防火墙系统。双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功双宿主堡垒主机有两种网络接口但是主机在两个端口之间直接转发信息的功能被关掉了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。能被关掉

19、了。在物理结构上强行将所有去往内部网络的信息经过堡垒主机。双宿主堡垒主机模型如图双宿主堡垒主机模型如图9-25所示。所示。2023/4/234浙江邮电职业技术学院计算机系屏蔽子网模型屏蔽子网模型v屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，因为在定义了系统之一，因为在定义了“中立区中立区”(DMZ，Demilitarized Zone)网络后，它网络后，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、Modem组，以及其

20、它公用服务器放在组，以及其它公用服务器放在DMZ网络中。如果黑客想突破该防火墙网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备，模型如图所示。那么必须攻破以上三个单独的设备，模型如图所示。2023/4/235浙江邮电职业技术学院计算机系创建防火墙的步骤创建防火墙的步骤 v成功的创建一个防火墙系统一般需要六步：成功的创建一个防火墙系统一般需要六步：n制定安全策略n搭建安全体系结构n制定规则次序n落实规则集n注意更换控制n做好审计工作2023/4/236浙江邮电职业技术学院计算机系入侵检测系统的概念入侵检测系统的概念 v入侵检测系统入侵检测系统IDS（Intrusion Detecti

21、on System）指的是一种硬件或者软件系统，该系统）指的是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、对系统资源的非授权使用能够做出及时的判断、记录和报警。记录和报警。2023/4/237浙江邮电职业技术学院计算机系入侵检测系统面临的挑战入侵检测系统面临的挑战v一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法使用受保护网络击。误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和计算机的访问。误报是入侵检测系统最头疼的问题，攻击者可以而和计算机

22、的访问。误报是入侵检测系统最头疼的问题，攻击者可以而且往往是利用包的结构伪造无威胁的且往往是利用包的结构伪造无威胁的“正常正常”假警报，而诱导没有警假警报，而诱导没有警觉性的管理员人把入侵检测系统关掉。觉性的管理员人把入侵检测系统关掉。2023/4/238浙江邮电职业技术学院计算机系误报误报v没有一个入侵检测能无敌于误报，因为没有一个应用系统不会发生错误，没有一个入侵检测能无敌于误报，因为没有一个应用系统不会发生错误，原因主要有四个方面。原因主要有四个方面。1、缺乏共享数据的机制 2、缺乏集中协调的机制3、缺乏揣摩数据在一段时间内变化的能力4、缺乏有效的跟踪分析2023/4/239浙江邮电职业

23、技术学院计算机系入侵检测系统的类型和性能比较入侵检测系统的类型和性能比较 v根据入侵检测的信息来源不同，可以将入侵检测系统分为两类：基于根据入侵检测的信息来源不同，可以将入侵检测系统分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统：主要用于保护运行关键应用的服务器。它通过监视与分析土机的审计记录和日志文件：来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。基于网络的入侵检测系统：主

24、要用于实时监控网络关键路径的信息，它监听网络上的所有分组来采集数据，分析可疑现象。2023/4/240浙江邮电职业技术学院计算机系入侵检测的方法入侵检测的方法 v目前入侵检测方法有三种分类依据：目前入侵检测方法有三种分类依据：1、根据物理位置进行分类。2、根据建模方法进行分类。3、根据时间分析进行分类。v常用的方法有三种：静态配置分析、异常性检测常用的方法有三种：静态配置分析、异常性检测方法和基于行为的检测方法。方法和基于行为的检测方法。2023/4/241浙江邮电职业技术学院计算机系静态配置分析静态配置分析 v静态配置分析通过检查系统的配置，诸如系统文件的内容，静态配置分析通过检查系统的配置

25、，诸如系统文件的内容，来检查系统是否已经或者可能会遭到破坏。静态是指检查来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征（比如，系统配置信息）。系统的静态特征（比如，系统配置信息）。v采用静态分析方法主要有以下几方面的原因：入侵者对系采用静态分析方法主要有以下几方面的原因：入侵者对系统攻击时可能会留下痕迹，可通过检查系统的状态检测出统攻击时可能会留下痕迹，可通过检查系统的状态检测出来。来。2023/4/242浙江邮电职业技术学院计算机系异常性检测方法异常性检测方法 v异常性检测技术是一种在不需要操作系统及其安全性缺陷的专门知识异常性检测技术是一种在不需要操作系统及其安全性缺陷的

26、专门知识的情况下，就可以检测入侵者的方法，同时它也是检测冒充合法用户的情况下，就可以检测入侵者的方法，同时它也是检测冒充合法用户的入侵者的有效方法。但是。在许多环境中，为用户建立正常行为模的入侵者的有效方法。但是。在许多环境中，为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事。因为并不是所有入侵者的行为都能够产生明显的异常比较困难的事。因为并不是所有入侵者的行为都能够产生明显的异常性，所以在入侵检测系统中，仅使用异常性检测技术不可能检测出所性，所以在入侵检测系统中，仅使用异常性检测技术不可能

27、检测出所有的入侵行为。而且，有经验的入侵者还可以通过缓慢地改变他的行有的入侵行为。而且，有经验的入侵者还可以通过缓慢地改变他的行为，来改变入侵检测系统中的用户正常行为模式，使其入侵行为逐步为，来改变入侵检测系统中的用户正常行为模式，使其入侵行为逐步变为合法，这样就可以避开使用异常性检测技术的入侵检测系统的检变为合法，这样就可以避开使用异常性检测技术的入侵检测系统的检测。测。2023/4/243浙江邮电职业技术学院计算机系基于行为的检测方法基于行为的检测方法 v基于行为的检测方法通过检测用户行为中的那些与某些已知的入侵行基于行为的检测方法通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为

28、或那些利用系统中缺陷或者是间接地违背系统安全为模式类似的行为或那些利用系统中缺陷或者是间接地违背系统安全规则的行为，来检测系统中的入侵活动。规则的行为，来检测系统中的入侵活动。v基于入侵行为的入侵检测技术的优势：如果检测器的入侵特征模式库基于入侵行为的入侵检测技术的优势：如果检测器的入侵特征模式库中包含一个已知入侵行为的特征模式，就可以保证系统在受到这种入中包含一个已知入侵行为的特征模式，就可以保证系统在受到这种入侵行为攻击时能够把它检测出来。但是，目前主要是从已知的入侵行侵行为攻击时能够把它检测出来。但是，目前主要是从已知的入侵行为以及已知的系统缺陷来提取入侵行为的特征模式，加入到检测器入为

29、以及已知的系统缺陷来提取入侵行为的特征模式，加入到检测器入侵行为特征模式库中，来避免系统以后再遭受同样的入侵攻击。侵行为特征模式库中，来避免系统以后再遭受同样的入侵攻击。2023/4/244浙江邮电职业技术学院计算机系案例案例10-4 检测与端口关联的应用程序检测与端口关联的应用程序v网络入侵者都会连接到主机的某个非法端口，通过检查出与端口关联应用程网络入侵者都会连接到主机的某个非法端口，通过检查出与端口关联应用程序，可以进行入侵检测，这种方法属于静态配置分析。序，可以进行入侵检测，这种方法属于静态配置分析。v利用工具软件利用工具软件fport.exe可以检查与每一端口关联的应用程序，执行程序

30、如图可以检查与每一端口关联的应用程序，执行程序如图9-27所示。所示。2023/4/245浙江邮电职业技术学院计算机系案例案例9-5 程序分析：检测与端口关联的应用程序程序分析：检测与端口关联的应用程序v利用利用VC+6.0建立基于控制台的建立基于控制台的Win32应用程序，应用程序，该程序需要一个外置的该程序需要一个外置的DLL文件文件“DBP2P.dll”，需要将该文件拷贝到工程目录下的需要将该文件拷贝到工程目录下的Debug目录下。目录下。v该案例包含两个程序：该案例包含两个程序：proj9_5.cpp和和dbp2p.h。其中其中proj9_5.cpp文件是主程序，文件是主程序，dbp2

31、p.h是动态是动态连接库文件连接库文件“DBP2P.dll”文件的头文件。文件的头文件。2023/4/246浙江邮电职业技术学院计算机系入侵检测的步骤入侵检测的步骤 v入侵检测系统的作用是实时地监控计算机系统的活动，发现可疑的攻入侵检测系统的作用是实时地监控计算机系统的活动，发现可疑的攻击行为，以避免攻击的发生，或减少攻击造成的危害。由此也划分了击行为，以避免攻击的发生，或减少攻击造成的危害。由此也划分了入侵检测的三个基本步骤：入侵检测的三个基本步骤：信息收集、数据分析和响应。2023/4/247浙江邮电职业技术学院计算机系信息收集信息收集 v入侵检测的第一步就是信息收集，收集的内容包括整个计

32、算机网络中系统、网络、数入侵检测的第一步就是信息收集，收集的内容包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。据及用户活动的状态和行为。v入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此，要确保采入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此，要确保采集、报告这些信息的软件工具的可靠性，这些软件本身应具有相当强的坚固性，能够集、报告这些信息的软件工具的可靠性，这些软件本身应具有相当强的坚固性，能够防止被篡改而收集到错误的信息。否则，黑客对系统的修改可能使入侵检测系统功能防止被篡改而收集到错误的信息。否则，黑客对系统的修改可能使入侵检测系统功能失常

33、但看起来却跟正常的系统一样。失常但看起来却跟正常的系统一样。2023/4/248浙江邮电职业技术学院计算机系数据分析数据分析v数据分析（数据分析（Analysis Schemes）是入侵检测系）是入侵检测系统的核心，它的效率高低直接决定了整个入侵检统的核心，它的效率高低直接决定了整个入侵检测系统的性能。根据数据分析的不同方式可将入测系统的性能。根据数据分析的不同方式可将入侵检测系统分为异常入侵检测与滥用入侵检测两侵检测系统分为异常入侵检测与滥用入侵检测两类：类：2023/4/249浙江邮电职业技术学院计算机系响应响应 v数据分析发现入侵迹象后，入侵检测系统的下一步工作就是响应。而数据分析发现入

34、侵迹象后，入侵检测系统的下一步工作就是响应。而响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应并不局限于对可疑的攻击者。目前的入侵检测系统一般采取下列响应。响应。1、将分析结果记录在日志文件中，并产生相应的报告。2、触发警报：如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送传呼或电子邮件等等。3、修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接，或更改防火墙配置等。2023/4/250浙江邮电职业技术学院计算机系案例案例 入侵检测工具：入侵检测工具：BlackICEvBlackICE是一个小型的入侵检测工具，在计算机上安全完毕后，会在是一个小型的入侵检测工

35、具，在计算机上安全完毕后，会在操作系统的状态栏显示一个图标，当有异常网络情况的时候，图标就操作系统的状态栏显示一个图标，当有异常网络情况的时候，图标就会跳动。主界面如图会跳动。主界面如图9-31所示。所示。2023/4/251浙江邮电职业技术学院计算机系v可以查看主机入侵的信息，选择属性页可以查看主机入侵的信息，选择属性页“Intruders”，如图，如图9-32所示。所示。2023/4/252浙江邮电职业技术学院计算机系入侵检测工具：冰之眼入侵检测工具：冰之眼 v“冰之眼冰之眼”网络入侵检测系统是网络入侵检测系统是NSFOCUS系列安全软件中一款专门针对网系列安全软件中一款专门针对网络遭受黑

36、客攻击行为而研制的网络安全产品，该产品可最大限度地、全天候络遭受黑客攻击行为而研制的网络安全产品，该产品可最大限度地、全天候地监控企业级的安全。由于用户自身网络系统的缺陷、网络软件的漏洞以及地监控企业级的安全。由于用户自身网络系统的缺陷、网络软件的漏洞以及网络管理员的疏忽等等，都可能使网络入侵者有机可乘，而系统遭受了攻击，网络管理员的疏忽等等，都可能使网络入侵者有机可乘，而系统遭受了攻击，就可能造成重要的数据、资料丢失，关键的服务器丢失控制权等。就可能造成重要的数据、资料丢失，关键的服务器丢失控制权等。2023/4/253浙江邮电职业技术学院计算机系v使用使用“冰之眼冰之眼”，系统管理人员可以

37、自动地监控网络的数据流、主机，系统管理人员可以自动地监控网络的数据流、主机的日志等，对可疑的事件给予检测和响应的日志等，对可疑的事件给予检测和响应,在内联网和外联网的主机和在内联网和外联网的主机和网络遭受破坏之前阻止非法的入侵行为，主界面如图所示。网络遭受破坏之前阻止非法的入侵行为，主界面如图所示。2023/4/254浙江邮电职业技术学院计算机系v管理员可以添加主机探测器来检测系统是否被入管理员可以添加主机探测器来检测系统是否被入侵，选择菜单栏侵，选择菜单栏“网络网络”下的菜单项下的菜单项“添加探测添加探测器器”，可以添加相关的探测器，如图所示。，可以添加相关的探测器，如图所示。2023/4/

38、255浙江邮电职业技术学院计算机系本章总结本章总结v本章介绍了防御技术中的防火墙技术与入侵检测技术。本章介绍了防御技术中的防火墙技术与入侵检测技术。v重点理解防火墙的概念、分类、常见防火墙的系统模型以重点理解防火墙的概念、分类、常见防火墙的系统模型以及创建防火墙的基本步骤。及创建防火墙的基本步骤。v掌握使用掌握使用Winroute创建简单的防火墙规则。创建简单的防火墙规则。v重点理解入侵检测系统的基本概念、检测的方法以及入侵重点理解入侵检测系统的基本概念、检测的方法以及入侵检测的步骤。检测的步骤。v掌握编写简单入侵检测的程序，掌握一种入侵检测工具。掌握编写简单入侵检测的程序，掌握一种入侵检测工具。2023/4/256浙江邮电职业技术学院计算机系