网络安全原理与技术(第二版) 作者 冯登国 徐静 chapter7a.pptVIP

通信系统典型攻击 必威体育官网网址性: 窃听、业务流分析 完整性: 篡改、重放、木马 鉴别：冒充、IP欺骗、会话重放、会话劫持 不可否认性：抵赖 可用性：拒绝服务、蠕虫病毒、中断 主要的传统安全技术 加密 消息摘要、数字签名 身份鉴别：口令、鉴别交换协议、生物特征 访问控制 安全协议： IPSec、SSL 网络安全产品与技术：防火墙、VPN 内容控制: 防病毒、内容过滤等 预防(prevention)、防护（protection) 预防措施的局限性 建造一个绝对安全的计算机系统是不可能的 加密算法本身也存在问题。认证技术并不能抵制脆弱性口令，木马，网络嗅探器等攻击。 绝对安全的系统虽然抵挡了非法用户的入侵，仍然易于受到合法用户的非授权操作的攻击。 访问控制和用户工作效率之间的矛盾不易解决。 P2DR安全模型 为了保障网络安全，需要重视提高系统检测攻击和入侵的能力——入侵检测能力。 以安全策略为核心 P2DR安全模型 策略：是模型的核心，具体的实施过程中，策略意味着网络安全要达到的目标。 防护：安全规章、安全配置、安全措施 检测：异常监视、模式发现 响应：报告、记录、反应、恢复 Pt??Dt?+?Rt Pt****系统为了保护安全目标设置各种保护后的防护时间；或者理解为在这样的保护方式下，黑客（入侵者）攻击安全目标所花费的时间。 Dt?****从入侵者开始发动入侵开始，系统能够检测到入侵行为所花费的时间。 Rt?****从发现入侵行为开始，系统能够做出足够的响应，将系统调整到正常状态的时间。 防护时间大于检测时间加上响应时间，也就是在入侵者危害安全目标之前就能够被检测到并及时处理。 入侵检测的定义 对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性 进行入侵检测的软件与硬件的组合便是入侵检测系统 IDS : Intrusion Detection System 入侵检测的起源（1） 审计技术：系统中发生事件的记录和分析处理过程。 与系统日志相比，审计更关注安全问题。 审计的目标： 确定和保持系统活动中每个人的责任 评估损失 监测系统的问题区 提供有效的灾难恢复 阻止系统的不正当使用 入侵检测的起源（2） 1980年4月，James P. Anderson 《Computer Security Threat Monitoring and Surveillance》 （计算机安全威胁监控与监视） 第一次详细阐述了入侵检测的概念 计算机系统威胁分类: 外部渗透、内部渗透和不法行为 提出了利用审计跟踪数据监视入侵活动的思想 这份报告被公认为是入侵检测的开山之作 入侵检测的起源（3） 从1984年到1986年 乔治敦大学的Dorothy Denning SRI/CSL的Peter Neumann 研究出了一个实时入侵检测系统模型—IDES（入侵检测专家系统） 入侵检测的起源（3） 入侵检测的起源（4） 1990，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM（Network Security Monitor） 该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机 入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS 完善的入侵检测系统 (1) 实时性要求 如果攻击或者攻击的企图能够被尽快发现，就有可能查出攻击者的位置，阻止进一步的攻击活动，有可能把破坏控制在最小限度，并能够记录下攻击过程，可作为证据回放。实时入侵检测可以避免管理员通过对系统日志进行审计以查找入侵者或入侵行为线索时的种种不便与技术限制。 完善的入侵检测系统 (2) 可扩展性要求 攻击手段多而复杂，攻击行为特征也各不相同。所以必须建立一种机制，把入侵检测系统的体系结构与使用策略区分开。入侵检测系统必须能够在新的攻击类型出现时，可以通过某种机制在无需对入侵检测系统本身体系进行改动的情况下，使系统能够检测到新的攻击行为。在入侵检测系统的整体功能设计上，也必须建立一种可以扩展的结构，以便适应扩展要求。 完善的入侵检测系统 (3) 安全性与可靠性要求 入侵检测系统必须尽可能的完善与健壮，不能向其宿主计算机系统以及其所属的计算机环境中引入新的安全问题及安全隐患。并且入侵检测系统在设计和实现时，应该考虑可以预见的、针对该入侵检测系统的类型与工作原理的攻击威胁，及其相应的抵御方法。确保该入侵检测系统的安全性与可靠性。 完善的入侵检测系统 (4) 有效性要求 能够证明根据某一设计所建立的入侵检测系统是切实有效的。即：对于攻击事件的错报与漏报能够控制在一定范围内。 IDS基本结构