通信网络安全 第9章.ppt

入侵检测系统的部署 1.基于网络入侵检测系统部署 入侵检测系统部署位置图 入侵检测系统的部署 1.基于网络入侵检测系统部署 1）DMZ区 部署在DMZ区的总口上是常用的部署方式，可以检测到所有针对用户向外提供服务的服务器进行攻击的行为。由于DMZ区中的服务器时外网可见的，因此这里部署入侵检测也是最为需要的 该点部署入侵检测的优点： 检测来自外部的攻击，这些攻击已经渗入过第一层防御体系 可以容易地检测网络防火墙的性能并找到配置策略中的问题 检测的对象比较集中 即使进入的攻击行为不可识别，入侵检测系统通过正确的配置也可以从被攻击主机的反馈中获得受攻击的信息 入侵检测系统的部署 1.基于网络入侵检测系统部署 2）外网入口 位于防火墙之前，布置该点可以检测所有进出防火墙外网口的数据，可以检测到所有来自外部网络的可能的攻击行为并记录 入侵检测器性能的限制，部署该点效果并不理想，对使用NAT的内部网来说，无法定位攻击的源和目的地址 优点： 可以针对目标网络的攻击进行计数，并记录最为原始的攻击数据包 可以记录针对目标网络的攻击类型 入侵检测系统的部署 1.基于网络入侵检测系统部署 3）内部主干 内部主干部署点也最常用的部署方式，主要检测内网流出和经过防火墙流入内网的网络数据，可以检测通过防火墙进入的攻击以及内部网络向外的不正常的操作。能够准确定位攻击源和目的 防火墙已经过滤掉大量非法数据包，因此使入侵检测器能有效的工作 优点： 检测大量的网络通信，提高了检测攻击的识别可能 检测内网可信用户的越权行为 实现对内部网络信息的检测 入侵检测系统的部署 1.基于网络入侵检测系统部署 4）关键子网 部署在内部关键子网的出口，可以检测来自内部和外部的所有的针对受保护子网的不正常的网络行为。内部子网的进出流量比较小，可以保证入侵检测器的有效检测 优点： 集中资源用于检测针对关键系统和资源的来自企业内外部的攻击 将有限的资源进行有效的部署，获取最高的使用价值 入侵检测系统的部署 2.基于主机入侵检测系统部署 基于主机的入侵检测系统的部署可以给系统提供高级别的保护。 由于基于主机的入侵检测系统本身需要占用服务器的计算和存储资源，因此，要根据服务器本身的空闲负载能力选取不同类型的入侵检测系统并进行专门的配置 入侵检测系统的部署 3.报警策略 入侵检测系统在检测到入侵行为时，需要报警并进行相应的反应。如何报警和选取什么样的报警，需要根据整个网络的环境和安全的需求进行确定。 网络安全需求不同，入侵检测报警也就存在不同的方式。如对于一般性服务的企业，报警主要集中在已知的有威胁的攻击行为上；关键性服务企业则需要将尽可能多的报警进行记录并对部分认定的报警进行实时的反馈 入侵检测系统的优点和局限性 1.入侵检测系统的优点 可以检测和分析系统事件以及用户的行为 可以测试系统设置的安全状态 以系统的安全状态为基础，跟踪任何对系统安全的修改操作 通过模式识别等技术从通信行为中检测出已知的攻击行为 可以对网络通信行为进行统计，并进行检测分析 管理操作系统认证和日志机制并对产生的数据进行分析处理 在检测到攻击时，通过适当的方式进行适当的报警处理 通过对分析引擎的配置对网络的安全进行评估和监督 允许非安全领域的管理人员对重要的安全事件进行有效的处理 入侵检测系统的优点和局限性 2.入侵检测系统的局限性： 1）入侵检测系统无法弥补安全防御系统中的安全缺陷和漏洞 2）对于高负载的网络或主机，很难实现对网络入侵的实时检测、报警和迅速地进行攻击响应 3）基于知识的入侵检测系统很难检测到未知的攻击行为，检测具有一定的后滞性，而对于已知的报警，一些没有明显特征的攻击行为也很难检测到，或需要付出提高误报警率的代价才能够正确检测 入侵检测系统的优点和局限性 2.入侵检测系统的局限性： 4）入侵检测系统的主动防御功能和联动防御功能会对网络的行为产生影响，同样也会成为攻击者的目标，实现以入侵检测系统过敏自主防御为基础的攻击 5）入侵检测系统无法单独防止攻击行为的渗透，只能调整相关网络设备的参数或人为地进行处理 6）网络入侵检测系统在纯交换环境下无法正常工作，只有对交换环境进行一定的处理，利用镜像等技术，网络入侵检测系统才能对镜像的数据进行分析处理 7）入侵检测系统主要是对网络行为进行分析检测，不能解决信息资源中存在的安全问题 * 第九章 入侵检测 本章内容 入侵检测的结构 入侵检测系统分类 入侵检测系统分析方式 入侵检测系统的设置与部署 入侵检测系统的优缺点 入侵检测概述 1. 入侵检测的概念 入侵行为 入侵行为主要指对系统资源的非授权使用，它可以造成系统数据的丢失和破坏，甚至会造成系统拒绝对合法用户服务等后果。 入侵检测 入侵检测技术是从计算机网络或系统中的若干关键点搜集