第9章网络安全技术要点分析.pptVIP

* 9.4.1 入侵检测系统概述 入侵检测系统的主要功能 监测、记录并分析用户和系统的活动； 核查系统配置和漏洞； 评估系统关键资源和数据文件的完整性； 识别已知的攻击行为； 统计分析异常行为； 管理操作系统日志，识别违反安全策略的用户活动。 */49 * 9.4.1 入侵检测系统概述 入侵检测系统的组成 IDS需要分析的数据称为事件(Event)，它可以是网络中的数据包，也可以是从系统日志等其它途径得到的信息。 IDS一般包括以下组件 事件产生器(Event generators) 事件分析器(Event analyzers) 响应单元(Response units) 事件数据库(Event databases) */49 9.4.2 IDS类型与部署 1. 网络IDS 网络IDS是网络上的一个监听设备，通过监听网络上传递的报文，按照协议对报文进行分析，并报告网络中可能存在的入侵或非法使用者信息，还能对入侵行为自动地反击。 网络IDS的部署 9.4.2 IDS类型与部署 1. 网络IDS 网络IDS通过旁路技术实时采集网络通信流量 采用总线式的连接方式 交换机的调试端口(Span Port)连接IDS 采用分接器并联IDS 网络IDS承担两种职责 实时监测 安全审计 9.4.2 IDS类型与部署 1. 网络IDS 网络IDS的工作原理：按事件分析方法分类 基于知识的数据模式判断方法：分析建立网络中非法使用者(入侵者)的工作方法——数据模型，在实时检测网络流量时，将网络中读取的数据与数据模型比对，匹配成功则报告事件。 9.4.2 IDS类型与部署 1. 网络IDS 网络IDS的工作原理：按事件分析方法分类 基于知识的数据模式判断方法原理逻辑图 * 9.4.2 IDS类型与部署 1. 网络IDS 网络IDS的工作原理：按事件分析方法分类 基于行为的行为模式判断方法 统计行为判断：根据上面模式匹配的事件，在进行事后统计分析时，根据已知非法行为的规则判断出非法行为。 异常行为判断：根据平时统计的各种信息，得出正常网络行为准则，当遇到违背这种准则的事件发生时，报告非法行为事件。 */49 * 9.4.2 IDS类型与部署 2．主机IDS 基本原理 以主机系统日志、应用程序日志等作为数据源，也可以包括其他资源（如网络、文件、进程），从所在的主机上收集信息并进行分析，通过查询、监听当前系统的各种资源的使用、运行状态，发现系统资源被非法使用或修改的事件，并进行上报和处理。 */49 * 9.4.2 IDS类型与部署 2．主机IDS 主机IDS可以完成以下工作 截获本地主机系统的网络数据，查找出针对本地系统的非法行为。 扫描、监听本地磁盘文件操作，检查文件的操作状态和内容，对文件进行保护、恢复等。 通过轮询等方式监听系统的进程及其参数，检查出非法进程。 查询系统各种日志文件，报告非法的入侵者。 */49 9.4.3 IDS工作原理 从工作原理上，IDS包含两大部分： 引擎：读取原始数据和产生事件 控制中心：显示和分析事件以及策略制定 9.4.3 IDS工作原理 IDS引擎的主要功能和工作流程 通过读取和分析原始数据 比对事件规则库对异常数 据产生事件，根据定义的 安全策略规则库匹配响应 策略，按照策略处理相应 事件，并与控制中心以及 联动设备进行通信。 9.4.3 IDS工作原理 IDS控制中心 与引擎通信，读取引擎事件，并存入控制中心事件数据库，也可以把接收到的事件以各种形式实时显示在屏幕上； 通过控制中心可以修改事件规则库和响应策略规则库并下发给IDS引擎； 控制中心具有日志分析功能，通过读取事件数据库中的事件数据，按照用户要求生成各种图形和表格，便于用户事后对过去一段时间内的工作状态进行分析和浏览。 * 9.4.4 典型入侵检测系统规划与配置 */49 * 本章目录 9.1 网络安全技术概述 9.2 网络扫描技术 9.3 网络防火墙技术 9.4 入侵检测技术 9.5 蜜罐技术 */49 * 如何更有效地检测非法入侵网络行为？ * * * 9.5 蜜罐技术 蜜罐(Honeypot)技术可以看成是一种诱导技术，目的是发现恶意攻击和入侵。通过设置一个“希望被探测、攻击甚至攻陷”系统，模拟正常的计算机系统或网络环境，引诱攻击者入侵蜜罐系统，从而发现甚至定位入侵者，发现攻击模式、手段和方法，进而发现配置系统的缺陷和漏洞，以便完善安全配置管理消除安全隐患。 蜜罐可以分为 高交互蜜罐（High-interaction honeypots） 低交互蜜罐（Low-interaction honeypots） */49 * 9.5 蜜罐技术 1. 高交互蜜罐 一个高交互蜜罐是一个常规的计算机系统，如使用一台标准计算机