第六讲 入侵检测系统.pptVIP

* 在外部网络中设置NIDS(放在防火墙前面)，可以捕捉外部攻击机的真实地址来源并调整防火墙进行相应的阻断 在内部网络中设置NIDS(放在防火墙后面)，可以捕捉内部攻击机的真实地址来源 在所保护的主机上安装HIDS，重点分析系统做接受的操作及相应用户的系统行为，以弥补NIDS的遗漏点 同时采用以上三种设置方式相结合能更好的保护网络安全，更全面的监测所保护的网络系统 * * 本讲概要 本讲主要阐述目前最常用的信息安全技术和信息安全产品，内容包括了： 入侵检测系统的概念 入侵检测系统的主要技术 入侵检测系统的类型 入侵检测系统的优缺点 入侵检测系统的部署方式 * 入侵检测系统（IDS） 当前，平均每20秒就发生一次入侵计算机网络的事件，超过1/3的互联网防火墙被攻破！面对接二连三的安全问题，人们不禁要问：到底是安全问题本身太复杂，以至于不可能被彻底解决，还是仍然可以有更大的改善，只不过我们所采取安全措施中缺少了某些重要的环节。有关数据表明，后一种解释更说明问题。有权威机构做过入侵行为统计，发现有80%来自于网络内部，也就是说，“堡垒”是从内部被攻破的。另外，在相当一部分黑客攻击中，黑客都能轻易地绕过防火墙而攻击网站服务器。这就使人们认识到：仅靠防火墙仍然远远不能将“不速之客”拒之门外，还必须借助于一个“补救”环节——入侵检测系统。 * 什么是IDS？ IDS是什么？ 入侵检测系统(Intrusion Detection System) 入侵检测技术是为了保证计算机系统安全面而设置和配置的一种能够及时发现并报告系统中未授权或异常行为的技术，是一种检测计算机网络中违反安全策略行为的技术。 入侵检测被视为防火墙之后的第二道安全阐门，主要用来监视和分析用户和系统的活动，能够反映已知的攻击模式并报警，同时监控系统的异常模式，对于异常行为模式，IDS采用报表的方式进行统计分析 假如说防火墙是一幢大楼的门锁，那入侵监测系统就是这幢大楼里的监视系统。 IDS的特点 不需要人工干预即可不间断地运行 有容错功能 不需要占用大量的系统资源 能够发现异于正常行为的操作 能够适应系统行为的长期变化 判断准确 灵活定制 保持领先 * 入侵行为的误判 正误判（false positive） 概念：把一个合法操作判断为异常行为。 特点：导致用户不理会IDS的报警，类似于“狼来了”的后果，使得用户逐渐对IDS的报警淡漠起来，这种“淡漠”非常危险，将使IDS形同虚设。 负误判（false negative） 概念：把一个攻击动作判断为非攻击行为，并允许其通过检测。 特点：背离了安全防护的宗旨，IDS系统成为例行公事，后果十分严重。 失控误判（subversion） 概念：攻击者修改了IDS系统的操作，使它总是出现负误判的情况。 特点：不易觉察，长此以往，对这些“合法”操作IDS将不会报警。 * * IDS 检测技术 签名分析法 Signature Analysis 统计分析法 Statistics Analysis 数据完整性分析法 Data Integration Analysis 入侵检测系统按照其检测原理可以分为以下类型： * IDS的主要类型 应用软件入侵监测系统 Application Intrusion Detection 主机入侵监测系统 Host Intrusion Detection 网络入侵监测系统 Network Intrusion Detection 集成入侵监测系统 Integrated Intrusion Detection 根据IDS工作位置和数据来源，可以分为： * 应用软件入侵检测 应用软件入侵检测 ——在应用软件级收集信息。 网络入侵检测系统（IDS）可以分为基于网络数据包分析的和基于主机的两种基本方式。简单说，前者在网络通信中寻找符合网络入侵模版的数据包，并立即做出相应反应；后者在宿主系统审计日志文件中寻找攻击特征，然后给出统计分析报告。它们各有优缺点，互相作为补充。 * 主机入侵检测系统（HIDS） 主机入侵检测系统(HIDS) 　　 -----在网络中所监测的每台主机上都装有探测器(工作对象基于主机) HIDS特点: 1.确定攻击是否成功---比网络IDS更准确的判定攻击是否成功; 2.系统行动监视的更好---对于每一个用户(尤其是系统管理员)上网下网的信息、连入网络后的行为和所受到的入侵行为监测的更为详细，记录的更准确; 3.能够检