第七讲-网络安全课件.ppt

28 03 2020 数据结构 1 第七讲入侵检测系统 引言 入侵检测基本概念 入侵检测系统的功能 入侵响应 入侵检测的方法 入侵检测技术分析 入侵检测系统的未来 28 03 2020 数据结构 2 第七讲入侵检测系统 入侵检测系统 是一个能检测出入侵的系统 它是网络安全技术和信息处理技术的结合 它是一个计算机安全产品或工具 28 03 2020 数据结构 3 第七讲入侵检测系统 一 什么是安全 机密性 完整性 可用性 认证 如果系统能保证上面四个安全特性 那么这个系统就被认为是安全的 只要上述安全特性的其中之一可能被破坏 那么 这个系统被认为是不安全的 28 03 2020 数据结构 4 第七讲入侵检测系统 二 什么是攻击 入侵 1 攻击 所有试图破坏系统的安全性的行为都叫做攻击 3 从攻击者的角度来看 一次攻击包括 目标攻击脚本 工具目标系统的缺陷入侵的风险入侵对系统造成的影响 2 入侵 就是成功的攻击 28 03 2020 数据结构 5 第七讲入侵检测系统 二 什么是攻击 入侵 4 从受害者的角度来看 一次攻击包括 发生了什么 谁是受害者 受害程度大不大 谁是入侵者 入侵的来源在哪 入侵发生的时间 入侵是怎么发生的 为什么发生入侵 28 03 2020 数据结构 6 第七讲入侵检测系统 二 什么是攻击 入侵 5 攻击分为两种 远程攻击 用系统提供服务的漏洞从系统外边进行攻击 本地攻击 攻击者是系统本身的一个合法用户 用系统缺陷提升自己的权限 28 03 2020 数据结构 7 第七讲入侵检测系统 三 什么是入侵检测系统 入侵检测系统 是一种安全软件 或硬件 入侵被检测出来的过程 监控在计算机系统或者网络中发生的事件 再分析处理这些事件 检测出入侵事件 检测并不是根据系统和网络的缺陷 而是根据入侵事件的特征去检测的 28 03 2020 数据结构 8 第七讲入侵检测系统 四 为什么需要入侵检测系统 理由 检测防护部分阻止不了的入侵检测入侵的前兆入侵事件的归档网络遭受威胁程度的评估入侵事件的恢复 28 03 2020 数据结构 9 第七讲入侵检测系统 五 基于主机和基于网络的入侵检测系统 这是根据数据来源的不同进行划分的 基于主机的入侵检测系统的数据源来自主机 如日志文件 审计记录等 基于网络的入侵检测系统的数据源是网络流量 一个真正有效的入侵检测系统应该是两者的结合 28 03 2020 数据结构 10 第七讲入侵检测系统 六 误用检测和异常检测 这是根据检测方法的不同进行划分的 误用检测技术应用了系统缺陷和特殊入侵的累积知识 优点 误警率低 方便响应 缺点 入侵信息的收集和更新困难 异常检测技术是认为入侵事件的行为不同于一般正常用户或系统的行为 优点 能够检测出新的入侵或从未发生过的入侵 缺点 误警过多 28 03 2020 数据结构 11 第七讲入侵检测系统 主要功能如下 监测病分析用户和系统的活动 查找用户的越权操作 检查系统配置和漏洞 并提示管理员修补漏洞 评估系统关键资源和数据文件的完整性 识别已知的攻击行为 统计分析异常行为 操作系统日志管理 并识别违反安全策略的用户活动等 28 03 2020 数据结构 12 第七讲入侵检测系统 入侵响应 IntrusionResponse 就是当检测到入侵或攻击时 采取适当的措施阻止入侵和攻击的进行 估计形势并决定需要做出那些响应 如果有必要就断开连接或关闭资源 事故分析和响应 根据响应策略向其他人报警 保存系统状态 恢复遭到攻击的系统工程 记录所发生的一切 建议 28 03 2020 数据结构 13 第七讲入侵检测系统 1 静态配置方法 静态配置分析通过检查系统的配置 如系统文件的内容 来检查系统是否已经或者可能会遭到破坏 静态是指检查系统的静态特征 如系统配置信息 28 03 2020 数据结构 14 第七讲入侵检测系统 2 异常性检测方法 异常性检测技术是一种在不需要操作系统及其安全性缺陷的专门知识的情况下 就可以检测入侵者的方法 同时它也是检测冒充合法用户的入侵者的有效方法 但是 在许多环境中 为用户建立正常行为模式的特征轮廓及对用户活动的异常性进行报警的门限值的确定都是比较困难的事 因为并不是所有入侵者的行为都能够产生明显的异常性 所以在入侵检测系统中 仅使用异常性检测技术不可能检测出所有的入侵行为 28 03 2020 数据结构 15 第七讲入侵检测系统 2 异常性检测方法 目前这类入侵检测系统多采用统计或者基于规则描述的方法建立系统主体的行为特征轮廓 统计性特征轮廓 基于规则描述的特征轮廓 神经网络方法 28 03 2020 数据结构 16 第七讲入侵检测系统 3 基于行为的检测方法 基于行为的检测方法通过检测用户行为中的哪些与某些已知的入侵行为模式类似的行为或哪些利用系统中缺陷或者是间接地违背系统安全规则的行为 来检测系统中的入侵活动 28 03 2020 数据结构 17 第七讲入侵检测系统 3 基于行为的检测方法 基于行为的检测主要可以分成3类 1 专家系统 2 状态迁移分析技术 3 模式匹配的方法 模式识别入侵检测方法可以处理4种类型的入侵行为 通过审计某个事件的存在性即可确定的入侵行为 根据审计某一事件序列的顺序出现即可识别的入侵行为 根据审计某一具有偏序关系的事件序列的出现即可识别的入侵行为 审计的事件序列发生在某一确定的时间间隔或者持续的时间在一定的范围 根据这些条件就可以确定的入侵行为 28 03 2020 数据结构 18 第七讲入侵检测系统 一 入侵检测原理 从一组数据中 检测出符合某一特点的数据 入侵检测系统有两个重要组成部分 数据取得检测技术 28 03 2020 数据结构 19 第七讲入侵检测系统 二 入侵检测系统统一模型 如图所示 信息收集器 响应 分析器 数据库 目录服务器 28 03 2020 数据结构 20 第七讲入侵检测系统 三 总体结构 入侵检测系统的总体结构就是各个组件在网络上的分布 以及它们之间的关系 收集资料判决中心 判决中心 28 03 2020 数据结构 21 第七讲入侵检测系统 四 目标 1 寻找攻击源寻找入侵的发起源 包括谁是入侵者 入侵事件从哪开始 并提供有效证据 2 系统恢复就是将系统恢复成正常 包括 发生了什么事件 事件影响的范围以及可能使用的安全缺陷有哪些 28 03 2020 数据结构 22 第七讲入侵检测系统 五 定时 1 间隔模式信息流从被监控到被分析之间有一定的时间间隔 2 实时模式被监控的信息直接送到分析部分实时处理 28 03 2020 数据结构 23 第七讲入侵检测系统 六 信息收集器 1 基于网络的入侵检测系统就是捕获并分析网络数据包 2 基于主机的入侵检测系统即处理信息来自一台计算机系统里 28 03 2020 数据结构 24 第七讲入侵检测系统 七 分析器 1 误用检测需要对已知的入侵事件提前描述 优点 误检率低 可以提供攻击的详细信息 缺点 只能检测出已知的攻击 误检查全率不高 2 异常检测识别处在主机或网络上的异常事件或行为 优点 可以发现新的攻击模式 缺点 误警率高 数据难得到 28 03 2020 数据结构 25 第七讲入侵检测系统 八 响应选项 1 主动响应就是当一次攻击或入侵被检测到 它自动作出一些动作 2 被动响应提供攻击和入侵的相关信息 再由管理员根据所提供的信息采取适当的行动 28 03 2020 数据结构 26 第七讲入侵检测系统 一 入侵检测系统有很大的市场前景二 提高入侵检测的速度三 硬件化四 专业化五 异常检测六 人工智能的应用七 互联化和标准化八 与法律结合 28 03 2020 数据结构 27 第七讲入侵检测系统 九 蜜罐技术 HoneyPot 它是入侵检测系统的一个重要方向 它就是建立一个虚