保障与安全14入侵检测.pptx
《保障与安全14入侵检测.pptx》由会员分享,可在线阅读,更多相关《保障与安全14入侵检测.pptx(37页珍藏版)》请在咨信网上搜索。
1、2024/9/26 周四11 入侵检测系统概述 入侵检测(入侵检测(Intrusion Detection System,Intrusion Detection System,IDSIDS)就是一种主动安全保护技术。入侵检测像雷达就是一种主动安全保护技术。入侵检测像雷达警戒一样,在不影响网络性能的前提下,对网络进行警戒一样,在不影响网络性能的前提下,对网络进行警戒、监控,从计算机网络的若干关键点收集信息,警戒、监控,从计算机网络的若干关键点收集信息,通过分析这些信息,看看网络中是否有违反安全策略通过分析这些信息,看看网络中是否有违反安全策略的行为和遭到攻击的迹象,从而扩展了系统管理员的的行为和
2、遭到攻击的迹象,从而扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。安全管理能力,提高了信息安全基础结构的完整性。2024/9/26 周四2 简单地说,入侵检测系统是这样工作的:若有一个简单地说,入侵检测系统是这样工作的:若有一个计算机系统,它与网络连接着,或许也同计算机系统,它与网络连接着,或许也同InternetInternet连接,连接,由于一些原因,允许网络上的授权用户访问该计算机。由于一些原因,允许网络上的授权用户访问该计算机。例如,有一个连接着例如,有一个连接着InternetInternet的的WebWeb服务器,允许一定的服务器,允许一定的客户、员工和一些潜在的
3、客户访问存放在该客户、员工和一些潜在的客户访问存放在该WebWeb服务器上服务器上的的WebWeb页面。然而,不希望其他员工、顾客或未知的第三页面。然而,不希望其他员工、顾客或未知的第三方的未授权访问。一般情况下,可以采用一个防火墙或方的未授权访问。一般情况下,可以采用一个防火墙或者一些类型的认证系统阻止未授权访问。然而,有时简者一些类型的认证系统阻止未授权访问。然而,有时简单的防火墙措施或者认证系统可能被攻破。入侵检测是单的防火墙措施或者认证系统可能被攻破。入侵检测是一系列在适当的位置上对计算机未授权访问进行警告的一系列在适当的位置上对计算机未授权访问进行警告的机制。对于假冒身份的入侵者,入
4、侵检测系统也能采取机制。对于假冒身份的入侵者,入侵检测系统也能采取一些措施来拒绝其访问。一些措施来拒绝其访问。2024/9/26 周四3 入侵检测系统基本上不具有访问控制的能力,它入侵检测系统基本上不具有访问控制的能力,它就像是一个有着多年经验、熟悉各种入侵方式的网络就像是一个有着多年经验、熟悉各种入侵方式的网络侦察员,通过对数据包流的分析,可以从数据流中过侦察员,通过对数据包流的分析,可以从数据流中过滤出可疑数据包,通过与已知的入侵方式进行比较,滤出可疑数据包,通过与已知的入侵方式进行比较,确定入侵是否发生以及入侵的类型并进行报警。网络确定入侵是否发生以及入侵的类型并进行报警。网络管理员可以
5、根据这些报警确切地知道所受到的攻击并管理员可以根据这些报警确切地知道所受到的攻击并采取相应的措施。可以说,入侵检测系统是网络管理采取相应的措施。可以说,入侵检测系统是网络管理员经验积累的一种体现,它极大地减轻了网络管理员员经验积累的一种体现,它极大地减轻了网络管理员的负担,降低了对网络管理员的技术要求,提高了网的负担,降低了对网络管理员的技术要求,提高了网络安全管理的效率和准确性。络安全管理的效率和准确性。2024/9/26 周四4 目前,大部分网络攻击在攻击前有资料搜集的过目前,大部分网络攻击在攻击前有资料搜集的过程,例如,基于特定系统的漏洞攻击,在攻击之前需程,例如,基于特定系统的漏洞攻击
6、,在攻击之前需要进行端口扫描,以确认系统的类型以及漏洞相关的要进行端口扫描,以确认系统的类型以及漏洞相关的端口是否开启。某些攻击在初期就可以表现出较为明端口是否开启。某些攻击在初期就可以表现出较为明显的特征,例如,假冒有效用户登录,在攻击初期的显的特征,例如,假冒有效用户登录,在攻击初期的登录尝试具有明显的特征。对于这两类攻击,入侵检登录尝试具有明显的特征。对于这两类攻击,入侵检测系统可以在攻击的前期准备时期或是在攻击刚刚开测系统可以在攻击的前期准备时期或是在攻击刚刚开始的时候进行确认并发出警报。同时入侵检测系统可始的时候进行确认并发出警报。同时入侵检测系统可以对报警的信息进行记录,为以后的一
7、系列实际行动以对报警的信息进行记录,为以后的一系列实际行动提供证据支持。这就是入侵检测系统的预警功能。提供证据支持。这就是入侵检测系统的预警功能。2024/9/26 周四5 入侵检测一般采用旁路侦听的机制,因此不会产生入侵检测一般采用旁路侦听的机制,因此不会产生对网络带宽的大量占用,系统的使用对网内外的用户来对网络带宽的大量占用,系统的使用对网内外的用户来说是透明的,不会有任何的影响。入侵检测系统的单独说是透明的,不会有任何的影响。入侵检测系统的单独使用不能起到保护网络的作用,也不能独立地防止任何使用不能起到保护网络的作用,也不能独立地防止任何一种攻击。但它是整个网络安全系统的一个重要的组成一
8、种攻击。但它是整个网络安全系统的一个重要的组成部分,它所扮演的是网络安全系统中侦察与预警的角色,部分,它所扮演的是网络安全系统中侦察与预警的角色,协助网络管理员发现并处理任何已知的入侵。可以说,协助网络管理员发现并处理任何已知的入侵。可以说,它是对其他安全系统有力的补充,弥补了防火墙在高层它是对其他安全系统有力的补充,弥补了防火墙在高层上的不足。通过对入侵检测系统所发出警报的处理,网上的不足。通过对入侵检测系统所发出警报的处理,网络管理员可以有效地配置其他的安全产品,以使整个网络管理员可以有效地配置其他的安全产品,以使整个网络安全系统达到最佳的工作状态,尽可能降低因攻击而络安全系统达到最佳的工
9、作状态,尽可能降低因攻击而带来的损失。带来的损失。2024/9/26 周四61.1 入侵检测与入侵检测系统 IDS是对计算机和网络系统资源上的恶意使用行为进行识别和响应的处理,它最早于1980年4月由James P.Anderson在为美国空军起草的技术报告Computer Security Threat Monitoring and Surveillance(计算机安全威胁监控与监视)中提出。他提出了一种对计算机系统风险和威胁的分类方法,将威胁分为外部渗透外部渗透、内部渗透内部渗透和不法行不法行为为;提出了利用审计跟踪数据,监视入侵活动的思想。2024/9/26 周四7相关概念 “入侵”(I
10、ntrusion)是一个广义的概念,不仅包括发起攻击的人(包括黑客)取得超出合法权限的行为,也包括收集漏洞信息,造成拒绝访问(Denial of Service)等对系统造成危害的行为。入侵检测(Intrusion Detection)就是对入侵行为的发觉。它通过对计算机网络等信息系统中若干关键点的有关信息的收集和分析,从中发现系统中是否存在有违反安全规则的行为和被攻击的迹象。2024/9/26 周四8入侵检测系统的概念入侵检测系统的概念 n n 入侵检测系统入侵检测系统入侵检测系统入侵检测系统IDSIDS(Intrusion Detection Intrusion Detection Sys
11、temSystem)指的是一种硬件或者软件系统,该系统)指的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断、对系统资源的非授权使用能够做出及时的判断、记录和报警。记录和报警。n 入侵检测作为一种积极主动的安全防护技术,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保提供了对内部攻击、外部攻击和误操作的实时保护,被认为是防火墙后面的第二道安全防线。护,被认为是防火墙后面的第二道安全防线。2024/9/26 周四9入侵检测系统的主要功能 具体说来,入侵检测系统的主要功能有:具体说来,入侵检测系统的主要功能有:监视并分析用户和系统的行为;监视
12、并分析用户和系统的行为;审计系统配置和漏洞;审计系统配置和漏洞;评估敏感系统和数据的完整性;评估敏感系统和数据的完整性;识别攻击行为、对异常行为进行统计;识别攻击行为、对异常行为进行统计;自动收集与系统相关的补丁;自动收集与系统相关的补丁;审计、识别、跟踪违反安全法规的行为;审计、识别、跟踪违反安全法规的行为;使用诱骗服务器记录黑客行为;使用诱骗服务器记录黑客行为;2024/9/26 周四10入侵检测系统的优点及其局限入侵检测系统的优点及其局限1.1.优点优点优点优点采用入侵检测系统和漏洞评估工具带来的好处有如下一些:采用入侵检测系统和漏洞评估工具带来的好处有如下一些:提高了信息系统安全体系其
13、他部分的完整性;提高了信息系统安全体系其他部分的完整性;提高了系统的监察能力;提高了系统的监察能力;可以跟踪用户从进入到退出的所有活动或影响;可以跟踪用户从进入到退出的所有活动或影响;能够识别并报告数据文件的改动;能够识别并报告数据文件的改动;可以发现系统配置的错误,并能在必要时予以改正;可以发现系统配置的错误,并能在必要时予以改正;可以识别特定类型的攻击,并进行报警,作出防御响应;可以识别特定类型的攻击,并进行报警,作出防御响应;可以使管理人员最新的版本升级添加到程序中;可以使管理人员最新的版本升级添加到程序中;允许非专业人员从事系统安全工作;允许非专业人员从事系统安全工作;可以为信息系统安
14、全提供指导。可以为信息系统安全提供指导。2024/9/26 周四112.2.局限局限局限局限但是,与其他任何工具一样,入侵检测也不是万能的,它们的使用存但是,与其他任何工具一样,入侵检测也不是万能的,它们的使用存在如下局限:在如下局限:在无人干预的情形下,无法执行对攻击的检测;在无人干预的情形下,无法执行对攻击的检测;无法感知组织(公司)安全策略的内容;无法感知组织(公司)安全策略的内容;不能弥补网络协议的漏洞;不能弥补网络协议的漏洞;不能弥补系统提供信息的质量或完整性问题;不能弥补系统提供信息的质量或完整性问题;不能分析网络繁忙时的所有事物;不能分析网络繁忙时的所有事物;不能总是对数据包级的
15、攻击进行处理;不能总是对数据包级的攻击进行处理;2024/9/26 周四12入侵检测系统面临的挑战入侵检测系统面临的挑战n n 一个有效的入侵检测系统应限制误报出现的一个有效的入侵检测系统应限制误报出现的次数,但同时又能有效截击。误报是指被入侵检次数,但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和测系统测报警的是正常及合法使用受保护网络和计算机的访问。误报是入侵检测系统最头疼的问计算机的访问。误报是入侵检测系统最头疼的问题,攻击者可以而且往往是利用包的结构伪造无题,攻击者可以而且往往是利用包的结构伪造无威胁的威胁的“正常正常”假警报,而诱导没有警觉性的管假警报,
16、而诱导没有警觉性的管理员人把入侵检测系统关掉。理员人把入侵检测系统关掉。2024/9/26 周四13误报误报n n 没有一个入侵检测能无敌于误报,因为没有一没有一个入侵检测能无敌于误报,因为没有一个应用系统不会发生错误,原因主要有四个方面。个应用系统不会发生错误,原因主要有四个方面。n n1 1、缺乏共享数据的机制、缺乏共享数据的机制 n n2 2、缺乏集中协调的机制、缺乏集中协调的机制n n3 3、缺乏揣摩数据在一段时间内变化的能力、缺乏揣摩数据在一段时间内变化的能力n n4 4、缺乏有效的跟踪分析、缺乏有效的跟踪分析2024/9/26 周四142 入侵检测系统的类型和性能比较入侵检测系统的
17、类型和性能比较 n n 根据入侵检测的信息来源不同,可以将入侵检测系统根据入侵检测的信息来源不同,可以将入侵检测系统分为两类:分为两类:n n 基于主机的入侵检测系统和基于网络的入侵检测系统。基于主机的入侵检测系统和基于网络的入侵检测系统。n n1 1、基于主机的入侵检测系统:、基于主机的入侵检测系统:、基于主机的入侵检测系统:、基于主机的入侵检测系统:主要用于保护运行关键应主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志用的服务器。它通过监视与分析主机的审计记录和日志文件来检测入侵。日志中包含发生在系统上的不寻常和文件来检测入侵。日志中包含发生在系统上的不寻常和不期望活
18、动的证据,这些证据可以指出有人正在入侵或不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。的入侵或入侵企图,并很快地启动相应的应急响应程序。2024/9/26 周四152 入侵检测系统的类型和性能比较入侵检测系统的类型和性能比较 n n2 2、基于网络的入侵检测系统:主要用于实时监控网、基于网络的入侵检测系统:主要用于实时监控网络关键路径的信息,它监听网络上的所有分组来采络关键路径的信息,它监听网络上的所有分组来采集数据,分析可疑现象。集数据,分析可疑
19、现象。2024/9/26 周四163 入侵检测的方法入侵检测的方法 n n目前入侵检测方法有三种分类依据:目前入侵检测方法有三种分类依据:n n1 1、根据物理位置进行分类。、根据物理位置进行分类。n n2 2、根据建模方法进行分类。、根据建模方法进行分类。n n3 3、根据时间分析进行分类。、根据时间分析进行分类。n n常用的方法有三种:静态配置分析、异常性检测常用的方法有三种:静态配置分析、异常性检测方法和基于行为的检测方法。方法和基于行为的检测方法。2024/9/26 周四17静态配置分析静态配置分析 n n 静态配置分析通过检查系统的配置,诸如系静态配置分析通过检查系统的配置,诸如系统
20、文件的内容,来检查系统是否已经或者可能会统文件的内容,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(比如,遭到破坏。静态是指检查系统的静态特征(比如,系统配置信息)。系统配置信息)。n n 采用静态分析方法的原因:入侵者对系统攻采用静态分析方法的原因:入侵者对系统攻击时可能会留下痕迹,可通过检查系统的状态检击时可能会留下痕迹,可通过检查系统的状态检测出来。测出来。2024/9/26 周四18异常性检测方法异常性检测方法 n n 异常性检测技术是一种在不需要操作系统及其安全性异常性检测技术是一种在不需要操作系统及其安全性缺陷的专门知识的情况下,就可以检测入侵者的方法,缺陷的专
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 保障 安全 14 入侵 检测
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【人****来】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【人****来】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。