1 / 87

网络安全技术

网络安全技术. 真正的安全是一种意识,而非技术 !. 世界上没有一种技术能够真正保证绝对安全,即没有一种技术可以百分百解决网络上的所有问题!. 问题提出. 记住两句话. 1. 2. 3. 问题提出. 单一产品的缺陷. 动态多变的网络环境. 防御方法和防御策略的有限性. 来自外部和内部的威胁. 网络安全技术. 入侵检测基本知识. 1. 第 5 章 入侵检测技术. 入侵检测系统简介. 2. IDS 解决方案. 3. IDS 相关产品. 4. 5. 本章作业. 入侵检测基本知识. 入侵检测的概念

rudolf
Download Presentation

网络安全技术

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 网络安全技术

  2. 真正的安全是一种意识,而非技术! 世界上没有一种技术能够真正保证绝对安全,即没有一种技术可以百分百解决网络上的所有问题! • 问题提出 记住两句话

  3. 1 2 3 • 问题提出 单一产品的缺陷 • 动态多变的网络环境 • 防御方法和防御策略的有限性 • 来自外部和内部的威胁

  4. 网络安全技术 入侵检测基本知识 1 第5章 入侵检测技术 入侵检测系统简介 2 IDS解决方案 3 IDS相关产品 4 5 本章作业

  5. 入侵检测基本知识 • 入侵检测的概念 • 入侵:是指任何企图危及资源的完整性、机密性和可用性的活动 • 入侵检测:指识别非法用户未经授权使用计算机系统,或合法用户越权操作计算机系统的行为,通过对计算机网络中若干关键点或计算机系统资源信息的收集并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和攻击的迹象

  6. 入侵检测基本知识 • 入侵检测的概念 • 入侵检测技术是为保证计算机系统和计算机网络系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术 • 入侵检测系统IDS(Intrusion Detection System):完成入侵检测功能的软件、硬件组合,该系统对系统资源的非授权使用能够做出及时的判断、记录和报警

  7. …… 交换机 内部网 入侵检测基本知识 • 入侵检测系统的作用和目的 智能发现攻击 记录并发出报警信息 启动响应动作 Internet

  8. 交换机 内部网 入侵检测系统的作用和目的 • 入侵检测系统的作用 实时检测:实时地监视、分析网络中所有的数据包;发现并实时处理所捕获的数据包 Internet

  9. 交换机 内部网 入侵检测系统的作用和目的 • 入侵检测系统的作用 安全审计:对系统记录的网络事件进行统计分析;发现异常现象;得出系统的安全状态,找出所需要的证据 Internet

  10. 交换机 内部网 入侵检测系统的作用和目的 • 入侵检测系统的作用 主动响应:主动切断连接或与防火墙联动,调用其他程序处理 Internet

  11. 交换机 内部网 入侵检测系统的作用和目的 • 入侵检测系统的目的 防范透过防火墙的入侵:利用应用系统漏洞及后门实施的入侵;利用防火墙配置失误实施的入侵 Internet

  12. 交换机 内部网 入侵检测系统的作用和目的 • 入侵检测系统的目的 防范来自内部网的入侵:内部网的攻击占总的攻击事件的80%;没有监测的内部网是内部人员的“自由王国” Internet

  13. 交换机 内部网 入侵检测系统的作用和目的 • 入侵检测系统的目的 对网络行为的审计,防范无法自动识别的恶意破坏 Internet

  14. 入侵检测基本知识 • IDS与防火墙的关系 • 功能互补,通过合理搭配部署和联动提升网络安全级别 • 检测来自外部和内部的入侵行为和资源滥用 • 在关键边界点进行访问控制 • 实时的发现和阻断

  15. 入侵检测基本知识 • IDS与防火墙的关系 相辅相成,在网络安全中承担不同的角色 IDS 防火墙 保护 发现 审计

  16. 入侵检测基本知识 • IDS与扫描器的关系 都是简化管理员的工作,发现网络中的问题 扫描器是完全主动式安全工具,能够了解网络现有的安全水平 IDS 是相对被动式安全工具,能够了解网络中即时发生的攻击

  17. 入侵检测基本知识 • 入侵检测的步骤 • 信息收集 • 数据分析 • 响应

  18. 入侵检测的步骤 • 信息收集 • 系统日志 • 文件异常改变 • 程序执行异常行为 • 物理形式入侵信息

  19. 入侵检测的步骤 • 信息收集 • 系统日志 • 文件异常改变 • 程序执行异常行为 • 物理形式入侵信息 • 日志文件中记录了各种行为类型及每种类型的不同信息

  20. 入侵检测的步骤 • 信息收集 • 系统日志 • 文件异常改变 • 程序执行异常行为 • 物理形式入侵信息 • 包含很多具有重要信息的文件和私有数据文件

  21. 入侵检测的步骤 • 信息收集 • 系统日志 • 文件异常改变 • 程序执行异常行为 • 物理形式入侵信息 • 包括OS、网络服务用户启动的程序等,每个执行的程序由一个或多个进程来实现

  22. 入侵检测的步骤 • 信息收集 • 系统日志 • 文件异常改变 • 程序执行异常行为 • 物理形式入侵信息 • 未授权的网络硬件连接;对物理资源的未授权访问

  23. 入侵检测的步骤 • 数据分析 • 模式匹配 • 统计分析 • 完整性分析

  24. 实时的 入侵检测 入侵检测的步骤 • 数据分析 • 模式匹配 • 统计分析 • 完整性分析 事后 分析

  25. 入侵检测的步骤 • 数据分析 • 模式匹配 • 统计分析 • 完整性分析 • 模式匹配就是将收集到的信息与已知的网络入侵,和系统误用模式数据库进行比较,从而发现违背安全策略的行为

  26. 入侵检测的步骤 • 数据分析 • 模式匹配 • 统计分析 • 完整性分析 • 优点:只收集相关数据集合,减少系统负担,技术成熟,检测准确率和效率高 • 弱点:无法检测到从未出现过的攻击手段,需要不断升级

  27. 入侵检测的步骤 • 数据分析 • 模式匹配 • 统计分析 • 完整性分析 • 首先为系统对象创建一个统计描述,统计正常使用时的一些测量属性,测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,则认为有入侵发生

  28. 入侵检测的步骤 • 数据分析 • 模式匹配 • 统计分析 • 完整性分析 • 优点: 可检测到未知的入侵和更为复杂的入侵 • 缺点: 误报、漏报率高,且不适应用户正常行为的突然改变

  29. 入侵检测的步骤 • 数据分析 • 模式匹配 • 统计分析 • 完整性分析 • 关注某个文件或对象是否被更改,包括文件和目录的内容及属性 • 优点: 能够发现攻击导致文件或其它对象的任何改变 • 缺点:不实时响应,一般以批处理方式实现

  30. 入侵检测的步骤 • 响应 • 将分析结果记录在日志文件中,并产生相应的报告 • 触发警报,如在系统管理员的桌面上产生一个告警标志位,向系统管理员发送传呼或电子邮件等等 • 修改入侵检测系统或目标系统,如终止进程、切断攻击者的网络连接, 或更改防火墙配置等

  31. 入侵检测系统简介 • 入侵检测系统的基本结构 响应单元 事件数据库 事件分析器 事件产生器 原始数据

  32. 控制台 数据分析器 数据收集器 入侵检测系统简介 • 入侵检测系统的基本结构 响应单元 事件数据库 事件分析器 事件产生器 原始数据

  33. 入侵检测系统简介 • 入侵检测系统的基本结构 位于IDS的最低层,功能是从整个网络环境中获取事件,并向其部分提供事件 响应单元 事件数据库 事件分析器 事件产生器 原始数据

  34. 入侵检测系统简介 • 入侵检测系统的基本结构 响应单元 事件数据库 事件分析器 分析得到的数据,并产生结果 事件产生器 原始数据

  35. 入侵检测系统简介 • 入侵检测系统的基本结构 存放各种中间和最终数据可以是复杂的数据库,也可以是简单的文本文件 响应单元 事件数据库 事件分析器 事件产生器 原始数据

  36. 入侵检测系统简介 • 入侵检测系统的基本结构 对分析结果作出反应。如:切换连接、改变文件属性等。也可给出简单的报警 响应单元 事件数据库 事件分析器 事件产生器 原始数据

  37. 入侵检测系统简介 • 入侵检测系统的基本结构 • 完整的控制台应包括: • 警报信息查询 • 探测器管理 • 规则库管理 • 用户管理 响应单元 事件数据库 事件分析器 事件产生器 原始数据

  38. 入侵检测系统简介 • 入侵检测系统的基本结构 控制台 探测器:监视、发现攻击,报告控制器 控制器:接受报警信息,控制探测器 分布式结构,控制台管理多个探测器 探测器 探测器

  39. 入侵检测系统简介 • 入侵检测系统的类型 • 基于主机的入侵检测系统(HIDS) • 基于网络的入侵检测系统(NIDS)

  40. 入侵检测系统的类型 • 基于主机的入侵检测系统(HIDS) • HIDS是在系统一级进行的入侵检测 • 检测目标是主机系统和系统本地用户 • 安装在被检测的主机上 • 对被检测主机的网络实时连接以及对系统审计日志进行智能分析和判断,发现不寻常的改动后采取相应的措施

  41. 入侵检测系统的类型 • 基于主机的入侵检测系统(HIDS) 基于主机的入侵检测系统的原理 误用模式库 审计记录 配置系统库 报警 应急措施 入侵检测系统 系统操作 主机系统

  42. 入侵检测系统的类型 • 基于主机的入侵检测系统(HIDS) • 优势:监视特定的系统活动;接近实时的检测和响应;不需要额外的硬件设 • 不足:会降低应用系统的效率;全面布署 HIDS 代价大;依赖于服务器固有的日志和监视能力;无法进行网络上的入侵检测

  43. 入侵检测系统的类型 • 基于网络的入侵检测系统(HIDS) • 通过硬件或软件对网络上的数据包进行实时检查,并与系统的网络安全数据库的入侵特征进行比较、分析,一旦发现有被攻击的迹象,立刻根据用户所定义的动作做出反应,如切断网络连接,或通知防火墙系统对访问控制策略进行调整,将入侵的数据包过滤掉

  44. 入侵检测系统的类型 • 基于网络的入侵检测系统(HIDS) 基于网络的入侵检测系统的原理 过滤器、网络接口引擎器及过滤规则决策器 响应单元 应急措施 事件 数据库 配置新 的规则 事件分析器 事件产生器 网络接口

  45. 入侵检测系统的类型 • 基于网络的入侵检测系统(HIDS) • 优势:能够检测基于主机的入侵检测漏掉的攻击;攻击者不易转移证据;实时检测和响应;与操作系统无关 • 弱点:不能检测到所有的数据包;不容易实现一些复杂的需要大量计算与分析时间的攻击检测

  46. 入侵检测系统的类型 • 两种系统的比较 • NIDS使用监听的方式,在网络通信中寻找符合网络入侵模板的数据包;HIDS在宿主系统审计日志文件或其他操作中寻找攻击特征 • NIDS独立于被保护的机器之外;HIDS安装在被保护的机器之上

  47. 入侵检测系统简介 • 入侵检测系统的主要方法 • 误用检测方法 • 异常检测方法

  48. 入侵检测系统的主要方法 • 误用检测方法 • 是对不正常的行为进行建模,这些行为是以前确认了的误用或攻击 • 误用检测器分析系统的活动,发现那些与预先定义好了的攻击特征相匹配的事件或事件集 • 误用检测往往也被叫做基于特征的检测

  49. 入侵检测系统的主要方法 • 误用检测方法 • 采用的常用方法是模式匹配 • 模式匹配建立一个攻击特征库,检查发过来的数据是否包含这些攻击特征(如特定的命令等),然后判断它是不是攻击

  50. 入侵检测系统的主要方法 • 误用检测方法 • 优点:只收集相关的数据集合,显著减少系统负担,且技术已相当成熟,检测准确率和效率都相当高 • 弱点:需要不断的升级以对付不断出现的攻击手法,不能检测到从未出现过的攻击手段

More Related