信息网络安全知识普及教育培训教程--防火墙和入侵技术.doc

1、目录1.防火墙技术2.防火墙的体系结构3.防火墙应用中的几个问题4.入侵检测技术5.入侵检测系统6.入侵防护系统5.1 概要1 防火墙技术1.1 防火墙的定义与基本功能1.2 防火墙的分类和工作原理5.1.1 防火墙的定义与基本功能1.防火墙的定义防火墙名称的由来当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。在今日的电子世界中，人们仍然依靠防火墙来保护敏感的数据，不过这些防火墙是由采用先进技术的计算机产品砌成的。防火墙是位于两个信任程度不同的网络之间（如企业内部网络和Internet之间）的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通

2、过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以保护系统安全。5.1.1 防火墙的定义与基本功能在逻辑上，防火墙是分离器，限制器，也是一个分析器，有效地监控了内部网和外部网之间的任何活动，保证了内部网络的安全。所有进出网络的通讯流都应该通过防火墙；所有穿过防火墙的通讯流都必须有安全策略和计划的确认和授权； 理论上说，防火墙是穿不透的。在物理上，防火墙既可以是单纯的硬件设备路由器、主计算机，也可以是纯软件产品，还可以是路由器、计算机和配有软件的网络的组合。5.1.1 防火墙的定义与基本功能防火墙的实质是一对矛盾（或称机制) 限制数据流通；允许数据流通。防火墙的安全策略：两种极端的表

3、现形式：除非允许的，其余均被禁止，安全但不好用。（限制政策） 除非禁止的，其余均被允许，好用但不安全。（宽松政策）通常防火墙采取第一种安全策略！ 5.1.1 防火墙的定义与基本功能2、防火墙的基本功能1.过滤进出网络的数据：防火墙是阻塞点，可强迫所有进出信息都通过这个唯一狭窄的检查点，便于集中实施安全策略（加密认证软件等）。2.管理进出网络的访问行为：限制网络访问服务，实行强制的网络安全策略。3.封堵某些禁止的业务：例如禁止不安全的协议NFS，禁止finger 。4.记录通过防火墙的信息内容和活动; 5.对网络攻击检测和告警。5.1.1 防火墙的定义与基本功能防火墙的作用示意图5.1.2 防火

4、墙的分类和工作原理1、根据防火墙适用范围来分：个人防火墙和企业防火墙1.个人防火墙软件采用的技术与传统的企业级防火墙技术基本相同；2.在规则的设置、防火墙的管理等方面进行了简化，主要是为了使非专业的个人用户能够轻松地安装和使用它们而企业级防火墙具有更高的稳定性、更快的处理速度；3.在规则的配置及管理方面相应地就更加复杂。5.1.2 防火墙的分类和工作原理2、根据防火墙的存在形式1.硬件防火墙2.软件防火墙3.软硬件结合防火墙5.1.2 防火墙的分类和工作原理(1) 硬件防火墙1.采用专用芯片处理数据包，CPU只作管理之用;2.它使用专用的操作系统平台，避免了通用性操作系统的安全性漏洞；3.具有

5、高带宽、高吞吐量，是真正的线速防火墙（即实际带宽与理论值可以达到一致），安全与速度同时兼顾；4.管理简单，价格昂贵；此类产品的外观为硬件机箱形，一般不会对外公布其CPU或RAM等硬件水平，其核心为硬件芯片。5.1.2 防火墙的分类和工作原理(2) 软件防火墙l.运行在通用操作系统上的能控制存取访问的软件;2.对底层操作系统的安全依赖性很高，易造成网络带宽瓶颈(通常带宽只有理论值的20%70%)；3.它的管理比较复杂，与系统有关，要求维护人员必须熟悉各种工作站及操作系统的安装及维护；4.价格便宜，但性价比较低。5.1.2 防火墙的分类和工作原理(3) 软硬件结合防火墙l.机箱+CPU+防火墙软件

6、集成于一体（PC BOX 结构），现在市面上有些自称“硬件”防火墙的产品实际采用的就是这种结构；2.它采用专用或通用操作系统，核心技术为软件，容易形成网络带宽瓶颈（通常带宽只能达到理论值的20%70%），只能满足中低带宽要求，吞吐量不高；3.管理较方便，性价比较高；4.产品外观为硬件机箱形，此类防火墙一般会对外强调其CPU与RAM等硬件水平。5.1.2 防火墙的分类和工作原理3、根据防火墙的设计原理1.包过滤防火墙2.代理服务器3.状态检测防火墙5.1.2 防火墙的分类和工作原理(1) 包过滤防火墙(packet filtering)监视与过滤网络上流入流出的IP包，并拒绝发送或接收可疑的包。

7、包过滤式的防火墙会检查所有通过信息包里的IP地址、端口号及其它包头信息，并按照系统管理员所给定的过滤规则过滤信息包。(不做基于内容的决定，只检查包头的内容,不理会包内的正文信息内容)5.1.2 防火墙的分类和工作原理包过滤工作原理5.1.2 防火墙的分类和工作原理包过滤防火墙的优缺点优点：1.速度快，性能高；2.对应用程序透明（无帐号口令等)。缺点：1.安全性低（IP欺骗等）；2.不能根据状态信息进行控制；3.不能处理网络层以上的信息；4.伸缩性差；5.维护不直观。5.1.2 防火墙的分类和工作原理(2) 代理防火墙代理防火墙也叫应用层网关（Application Gateway）防火墙。从内

8、部发出的数据包经过防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。它的核心技术就是代理服务器技术； 防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现；外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。 5.1.2 防火墙的分类和工作原理代理防火墙工作原理5.1.2 防火墙的分类和工作原理代理防火墙的优缺点代理类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接都要通过Proxy的介入和转换,通过专门为特定的服务(如http) 编写的安全化的应用程序进行处理,然后由防火墙本身提交请求和应答，没

9、有给内外网络的计算机以任何直接会话的机会；代理防火墙的最大缺点就是速度相对比较慢，当用户对内外网络网关的吞吐量要求比较高时，代理防火墙就会成为内外网络之间的瓶颈；另外代理防火墙具有性能差、伸缩性差、只支持有限的应用、不透明等缺点。5.1.2 防火墙的分类和工作原理(3) 状态检测防火墙（Stateful-inspection）状态检测防火墙检测每一个有效连接的状态，并根据这些信息决定网络数据包是否能够通过防火墙：1.它在协议栈低层截取数据包，然后分析这些数据包，并且将当前数据包和状态信息与前一时刻的数据包和状态信息进行比较，从而得到该数据包的控制信息，来达到保护网络安全的目的。2.和代理防火墙

10、相比较而言，状态检测防火墙使用用户定义的过滤规则，不依赖预先定义的应用信息，执行效率比应用网关防火墙高；而且它不识别特定的应用信息，所以不用对不同的应用信息制定不同的应用规则，从而具有伸缩性好的优点。 5.1.2 防火墙的分类和工作原理状态检测工作原理状态检测可以结合前后数据包里的数据信息进行综合分析决定是否允许该包通过.5.1.2 防火墙的分类和工作原理状态检测防火墙工作示意图5.1.2 防火墙的分类和工作原理状态检测防火墙的优点高安全性1.状态检测防火墙工作在数据链路层和网络层之间，它从中截取数据包。由于数据链路层是网卡工作的真正位置，网络层是协议栈的第一层，所以防火墙确保了对所有通过网络

11、的原始数据包的截取和检查。 2.状态检测防火墙虽然工作在协议栈较低层，但它监测所有应用层的数据包，从中提取有用信息，如IP地址、端口号和数据内容等，安全性从而得到了很大提高。5.1.2 防火墙的分类和工作原理高效性1.状态检测防火墙工作在协议栈的较低层，通过防火墙的所有数据包都在低层处理，而不需要协议栈的上层来处理任何数据包，因此减少了高层协议头的开销，执行效率也大大提高；2.一旦一个连接在防火墙中建立起来，就不用再对该连接进行更多的处理，这样，系统就可以去处理其他连接，执行效率可以得到进一步的提高。 5.1.2 防火墙的分类和工作原理可伸缩性和可扩展性1.应用网关防火墙采用一个应用对应一个服

12、务程序的方式。因为这种方式所能提供的服务是有限的，而且当增加一个新的服务时，必须为新的服务开发相应的服务程序，因此，系统的可伸缩性和可扩展性降低。2.状态检测防火墙不区分每个具体的应用，只是根据从数据包中提取的信息、对应的安全策略以及过滤规则来处理数据包，当增加一个新的应用时，状态检测防火墙能动态地产生新应用的规则，而不需要另外编写代码，所以系统具有很好的可伸缩性和可扩展性。5.1.2 防火墙的分类和工作原理应用范围广1.状态检测防火墙不仅支持基于TCP的应用，而且支持基于无连接协议的应用，如RPC、基于UDP的应用（如DNS、WAIS、Archie）等。对于无连接的协议，连接请求和应答没有区

13、别。2.包过滤防火墙和应用网关防火墙对此类应用或者不支持，或者开放一个大范围的UDP端口，从而使内部网暴露，降低了网络安全性。5.1.2 防火墙的分类和工作原理三种主要防火墙技术的性能比较5.2 防火墙的体系结构2、防火墙的体系结构1.屏蔽路由器2.双重宿主主机体系结构3.屏蔽主机体系结构4.屏蔽子网体系结构5.其它的防火墙结构5.2.1 屏蔽路由器 屏蔽路由器（Screening Router）这是防火墙最基本的构件。它可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。路由器上可以装基于IP层的报文过滤软件，实现报文过滤功

14、能。许多路由器本身带有报文过滤配置选项，但一般比较简单。单纯由屏蔽路由器构成的防火墙的危险带包括路由器本身及路由器允许访问的主机。它的缺点是一旦被攻陷后很难发现，而且不能识别不同的用户。5.2.2 双重宿主主机体系结构双重宿主主机体系结构（Dual Homed)双重宿主主机至少有两个网络接口，它位于内部网络和外部网络之间，这样的主机可以充当与这些接口相连的网络之间的路由器，它能从一个网络接收IP数据包并将之发往另一网络。然而实现双重宿主主机的防火墙体系结构禁止这种发送功能，完全阻止了内外网络之间的IP通信。两个网络之间的通信可通过用户直接登录和应用层代理服务的方法实现。用户直接登录需要用户先登

15、入双重宿主主机，在以此为起点访问外部服务，因用户帐号易被攻破，所以不推荐使用。一般情况下采用代理服务的方法。 5.2.2 双重宿主主机体系结构双重宿主主机体系结构（Dual Homed)5.2.2 双重宿主主机体系结构双重宿主主机的特性与缺点用户口令控制安全是关键；必须支持很多用户的访问（中转站），其性能非常重要。缺点：双重宿主主机是隔开内外网络的唯一屏障，一旦它被入侵，内部网络便向入侵者敞开大门。5.2.3 屏蔽主机体系结构屏蔽主机体系结构（Screened Host ）屏蔽主机体系结构由防火墙和内部网络的堡垒主机承担安全责任；典型构成：包过滤路由器堡垒主机。包过滤路由器配置在内部网和外部网

16、之间，保证外部系统对内部网络的操作只能经过堡垒主机；堡垒主机配置在内部网络上，是外部网络主机连接到内部网络主机的桥梁，它需要拥有高等级的安全。5.2.3 屏蔽主机体系结构优点： 安全性更高，双重保护：实现了网络层安全（包过滤）和应用层安全（代理服务）。缺点：过滤路由器能否正确配置是安全与否的关键。如果路由器被损害，堡垒主机将被穿过，整个网络对侵袭者是开放的。5.2.3 屏蔽主机体系结构屏蔽主机体系结构 5.2.4 屏蔽子网体系结构本质上与屏蔽主机体系结构一样，但添加了额外的一层保护体系周边网络。堡垒主机位于周边网络上，周边网络和内部网络被内部路由器分开。 堡垒主机是用户网络上最容易受侵袭的机器

17、。通过在周边网络上隔离堡垒主机，能减少在堡垒主机被侵入的影响。5.2.4 屏蔽子网体系结构屏蔽子网体系结构5.2.5 其它的防火墙结构 (1) 一个堡垒主机和一个非军事区5.2.5 其它的防火墙结构 (2) 两个堡垒主机和两个非军事区5.3.1 IP和MAC地址绑定 5.3.2 NAT地址转换 隐藏了内部网络的结构内部网络可以使用私有IP地址公开地址不足的网络可以使用这种方式提供IP复用功5.3.3 反向地址映射5.3.4 防火墙划分VLAN5.3.5 小 结小 结防火墙是使用最广泛的网络安全工具，是网络安全的第一道防线，用以防止外部网络的未授权访问;防火墙具有副作用，使内部网络与外部网络的信

18、息系统交流受到阻碍，增大了网络管理开销，而且减慢了信息传递速率；防火墙不是解决网络安全问题的万能药方，它只是网络安全政策和策略的一个组成部分。目录4、入侵检测技术4.1 引言4.2 入侵检测的定义及评测标准4.3 入侵检测防范的典型黑客攻击类型4.4 异常检测技术4.5 滥用检测技术 网络入侵的特点网络入侵的特点：1.没有地域和时间的限制；2.通过网络的攻击往往混杂在大量正常的网络活动之间，隐蔽性强；3.入侵手段更加隐蔽和复杂。 防火墙的缺点防火墙的缺点:l.传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的反应；

19、2.难于防止内部人员的攻击，而网络上来自内部攻击事件占70%左右；3.难于管理和配置，易造成安全漏洞；4.因为防火墙要转发报文，往往成为网络性能的瓶颈。这个问题随着高带宽网络的流行尤为严重；5.单层防御体系，一旦被突破则黑客可以为所欲为。 为什么要采用入侵检测系统(1) 入侵检测技术是动态安全技术(P2DR)的最核心的技术之一检测是静态防护转化为动态的关键；检测是动态响应的依据；检测是落实/强制执行安全策略的有力工具。 为什么要采用入侵检测系统(2) 入侵检测系统（IDS）是对防火墙的必要补充；入侵检测是为那些已经采取了结合强防火墙和验证技术措施的客户准备的，入侵检

20、测在其上又增加了一层安全性。(3) 对系统或网络资源进行实时检测，及时发现闯入系统或网络的入侵者；(4) 预防合法用户对资源的误操作以及发现内部人员作案；(5) 采用被动式的监听报文的方式捕获入侵，不会成为网络性能的瓶颈。5.4.2 入侵检测的定义及评测标准入侵检测的定义入侵检测: 是指对于面向计算资源和网络资源的恶意行为的识别和响应。入侵: 是指任何试图破坏资源完整性、机密性和可用性的行为。这里，应该包括用户对于系统资源的误用。从入侵策略的角度可将入侵检测的内容分为：试图闯入或成功闯入、冒充其它用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用等6个方面。5.4.2 入侵检测的定义及评

21、测标准入侵检测的评价标准准确性: 指IDS对系统环境中的异常行为（或入侵）与合法行为进行区分的能力； 性能: 指IDS处理审计事件的效率；完整性: 指IDS可以检测到所有的攻击；容错性: 指IDS本身对于攻击的抵御能力和从系统崩溃中恢复的能力；时限性（timeliness）: 指IDS执行并完成分析，以及进行响应的时间快慢。5.4.2 入侵检测的定义及评测标准此外，还应考虑以下几点：1.IDS运行时，尽量减少对系统的开销，以便不影响其它正常操作；2.能够针对系统的安全策略对IDS进行配置；3.对系统和用户行为随时间的变化具有适应性。基于网络的IDS还应具有以下性质： 可伸缩性、部件相关性小、允

22、许动态重构。5.4.3 入侵检测防范的典型黑客攻击类型1.探测攻击寻找攻击目标并收集相关信息及漏洞，如Ping Sweeps，TCP/UDP scan， SATAN，Port Scan； 2.拒绝服务攻击抢占目标系统资源阻止合法用户使用系统或使系统崩溃，如Ping of Death, SYN Flood, TearDrop, UDPBomb, Land/Latierra, WinNuke, Trinoo, TFN2K, Stacheldraht等； 3.缓冲区溢出攻击利用系统应用程序中存在的错误，执行特定的代码以获取系统的超级权限，如DNS overflow, Statd overflow等；

23、5.4.3 入侵检测防范的典型黑客攻击类型l.WEB攻击: 利用CGI、WEB服务器和浏览器中存在的安全漏洞，损害系统安全或导致系统崩溃，如URL, HTTP, HTML, JavaScript, Frames, Java, and ActiveX等； 2.邮件攻击: 邮件炸弹、邮件滚雪球、邮件欺骗等；3.非授权访问: 越权访问文件、执行无权操作，如Admind, EvilFTP Backdoor, Finger_perl, FTP_Root, BackOrifice等；4.网络服务缺陷攻击: 利用NFS，NIS，FTP等服务存在的漏洞，进行攻击和非法访问，如NfsGuess, NfsMkno

24、d等；5.网络监听: 获取有用信息，夺取网络控制权，如snoop, tcpdump, Netwatch, sniffer等。 基于统计方法的攻击检测技术(1) 基于统计方法的攻击检测技术审计系统实时地检测用户对系统的使用情况,根据系统内部保持的用户行为的概率统计模型进行监测,当发现有可疑的用户行为发生时，保持跟踪并监测、记录该用户的行为。 SRI (Stanford Research Institute) 研制开发的IDES (Intrusion Detection Expert System)是一个典型的实时检测系统。IDES 系统能根据用户以前的历史行为决定用户当前的行为是否

25、合法。系统根据用户的历史行为,生成每个用户的历史行为记录库。IDES能够自适应地学习被检测系统中每个用户的行为习惯，当某个用户改变他的行为习惯时，这种异常就会被检测出来。 基于统计方法的攻击检测技术目前IDES实现的监测主要基于以下两个方面： 一般项目：例如CPU的使用时间： IO的使用通道和频率，常用目录的建立与删除，文件的读写、修改、删除，以及来自局域网的行为； 特定项目：包括习惯使用的编辑器和编译器、最常用的系统调用、用户ID的存取、文件和目录的使用。 基于统计的攻击检测系统的缺点 因为用户的行为可以是非常复杂的, 所以想要准确匹配一个用户的历史行为和当前的行为相当困难。

26、 错发的警报往往来自对审计数据的统计算法所基于的不准确或不贴切的假设。 基于神经网络的攻击检测技术(2) 基于神经网络的攻击检测技术采用神经网络技术，根据实时检测到的信息有效地加以处理作出攻击可能性的判断。神经网络技术可以用于解决传统的统计分析技术所面临的以下问题：1.难于建立确切的统计分布：统计方法基本上是依赖于用户行为的主观假设，如偏差高斯分布；错发警报常由这种假设所导致;2.难于实现方法的普适性：适用于某类用户行为的检测措施一般无法适用于另一类用户； 基于神经网络的攻击检测技术3.算法实现比较昂贵：由于基于统计的算法对不同类型的用户行为不具有自适应性，因此算法

27、比较复杂而且庞大，导致算法实现上的昂贵；4.系统臃肿难于剪裁：由于采用统计方法检测具有大量用户的计算机系统，将不得不保留大量的用户行为信息，导致系统的臃肿和难于剪裁。目前，虽然神经网络技术提出了对基于传统统计技术的攻击检测方法的改进方向，但尚不十分成熟，所以传统的统计方法仍将继续发挥作用。 基于专家系统的攻击检测技术基于专家系统的攻击检测技术根据安全专家对可疑行为的分析经验来形成一套推理规则，然后再在此基础之上构成相应的专家系统，并应用于入侵检测。所谓专家系统是基于一套由专家经验事先定义的规则的推理系统。例如，在数分钟之内某个用户连续进行登录，而且失败超过三次就可以被认为是一种攻

28、击行为。 专家系统对历史数据的依赖性总的来说比基于统计的检测技术的审计系统较少，因此系统的适应性比较强，可以较灵活地适应广泛的安全策略和检测需求。 基于专家系统的攻击检测技术基于规则的专家系统或推进系统的局限性:因为作为这类系统的基础的推理规则一般都是根据已知的安全漏洞进行安排和策划的，而对系统的最危险的威胁则主要是来自未知的安全漏洞；其功能应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正，实际操作起来很困难。 基于模型推理的攻击检测技术基于模型推理的攻击检测技术攻击者在攻击一个系统时往往采用一定的行为程序，如猜测口令的程序，这种行为程序构成了某种具有

29、一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图。 用基于模型的推理方法人们能够为某些行为建立特定的模型，从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本，这种系统就能检测出非法的用户行为。一般为了准确判断，要为不同的攻击者和不同的系统建立特定的攻击脚本。 基于模式匹配的检测技术基于模式匹配的检测技术在大多数入侵检测系统中，识别网络攻击采用的方法还是模式匹配，这主要是因为目前其它技术或者实用性较差或者实时性不能满足要求。模式匹配的基本思想是：提取各种攻击的特征（如协议、IP地址、服务端口等），建立一个用于检测的特征库，以特征库为

30、依据来执行模式匹配从而识别大量的攻击和试探。目前常见的模式匹配算法，如Snort,存在效率低、不能适应高速网络的入侵检测等缺点。因此针对规则库采用的规则结构，改进规则的存储结构、数据结构以及匹配方法，可以有效提高规则的匹配效率。入侵检测规则库模式匹配5.5 入侵检测系统5、入侵检测系统5.1 入侵检测的发展历史5.2 入侵检测系统的分类5.3 发展趋势及主要研究方向5.4 IDS技术面临挑战 5.5.1 入侵检测的发展历史入侵检测的发展历史1980年,James Anderson最早提出入侵检测概念1987年,DEDenning首次给出了一个入侵检测的抽象模型，并将入侵检测作为一种新的安全防御

31、措施提出。1988年,Morris蠕虫事件直接刺激了IDS的研究1988年,创建了基于主机的系统,主要有：IDES，Haystack等等1989年,提出基于网络的IDS系统,主要有：NSM, NADIR,DIDS等等5.5.1 入侵检测的发展历史入侵检测的发展历史90年代，不断有新的思想提出，如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统；2000年2月，对Yahoo！、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮；2001年至今，RedCode、求职信等新型病毒的不断出现，进一步促进了IDS的发展。5.5.2 入侵检测系统的分类5.

32、5.2.1 基于主机的入侵检测系统基于主机的入侵检测系统初期多以基于主机的入侵检测研究为主，即在每个要保护的主机上运行一个代理程序。它以计算机主机作为目标环境，只考虑系统局部范围的用户，因此大大简化了检测任务。由入侵检测工具对主机的审计信息分析来进行检测，并报告安全可疑事件。 基于主机的入侵检测系统基于主机的入侵检测系统检测内容：统调用、端口调用、系统日志、安全审记、应用日志 基于主机的入侵检测系统基于主机的入侵检测系统具有以下优点：1.性能价格比高，适用在主机数量较少的情况下；2.更加细腻，可以很容易地监测一些活动，如对敏感文件、目录、程序或端口的存取；3.视野集

33、中，最有可能区分正常的活动和非法的活动；4.易于用户剪裁，每一个主机有其自己的代理；5.对网络流量不敏感，一般不会因为网络流量的增加而丢掉对网络行为的监视。6.随着Internet的发展，基于网络的攻击日益增多。基于主机的IDS已难以胜任入侵检测任务，入侵检测也发展为基于网络的入侵检测，主要研究方向为分布式系统。 基于网络的入侵检测系统基于网络的入侵检测系统基于网络的入侵检测系统，是通过连接在网络上的站点捕获网上的包，并分析其是否具有已知的攻击模式或将引起网络系统异常，以此来判别是否为入侵者。 基于网络的入侵检测系统基于网络的入侵检测系统 基于网络的入

34、侵检测系统 基于网络的入侵检测系统基于网络的检测有以下优点： 1.侦测速度快，实时性好； 2.隐蔽性好，网络上的监测器不易遭受攻击； 3.视野更宽，可以在网络的边缘上制止攻击； 4.使用较少的监测器进行保护； 5.占用资源少。 目前，开发特定的工具来侦听网络数据报文，分析负载，搜索可疑命令成为检测网络攻击的主要手段。管理员可以通过分布少量的工具检测到大多数攻击。 发展趋势发展趋势随着网络攻击手段向分布式方向发展(如目前出现的分布DOS攻击），并采用了各种数据处理技术，其破坏性和隐蔽性也越来越强。相应的，也要求入侵检测系统向分布式结构发展，采用分布收集信息、分布处理、

35、多方协作的方式,将基于主机的IDS和基于网络的IDS结合使用，构筑面向大型网络的IDS。同时，在处理速度及各类相关性能上也有了更高的要求。 主要研究方向主要研究方向 l.IDS体系结构研究 2.具有多系统的互操作性，重用性的通用入侵检测框架，总体结构和各部件相互关系； 3.系统安全策略； 4.具有可伸缩性的统一的IDS系统结构； 5.IDS的管理等； 6.研究DARP提出的通用入侵检测框架The Common Intrusion Detection Framework (CIDF)；设计具有可伸缩性、重用性的系统框架；制定安全、健壮、可扩展的安全策略。 主要研究方向

36、安全通信技术研究目前，分布式系统中的安全通讯机制也是研究领域的一个热点，而且，目前尚无明确有效的标准。其主要研究内容有：l.安全认证机制；2.建立高效的安全通道；3.远程控制等安全。 入侵检测(ID)技术研究入侵检测（ID）技术研究目前已有的入侵检测技术包括基于知识的检测和基于行为的检测。基于知识的检测包括专家系统、模型推理、状态转换图、信号分析、Petri nets图等；这种方法由于依据具体特征库进行判断，所以准确度很高、方便响应。但与具体系统依赖性太强，移植性不好，维护工作量大，受已有知识的局限，难以检测出权力滥用。 入侵检测(ID)技术研究基于行为的检测包括概

37、率统计方法、神经网络方法、专家系统、用户意图识别、计算机免疫系统等；这种方法与系统相对无关，通用性较强。可能检测出以前未出现过的攻击方法。它的主要缺陷在于误检率很高。鉴于两者存在的优点和不足，而且已证明依靠单一的入侵检测方法不可能检测出所有入侵，现在的研究主要集中在将已有的检测方法结合实用和对于新方法的探索中，期望找到效率和效果相一致的方法。 响应策略与恢复研究响应策略与恢复研究IDS在识别出入侵后所进行的响应是维护系统安全性、完整性的关键步骤。IDS的目标是实现实时响应和恢复。实现IDS的响应包括： 向管理员和其它实体发出警报；进行紧急处理的功能研究；对于攻击的追踪、诱导和反击；ID部件的自学习和改进。实现IDS的恢复包括： 对于系统状态一致性的检测方法的研究；系统数据的备份；系统恢复策略