信息安全基础 课件 6.IDS与IPS

信息安全基础InformationSecurityFundamentals6.2IDS与IPS网络安全产品本节内容IDS的基本概念IDS与IPS的关系IPS的基本概念1.IDS的基本概念企业局域网中常见的保护措施（1）对内网加以隔离，把内网保护起来（防火墙，Firewall）。（2）动态监控和跟踪内网遭受的各种攻击并做出快速反应（入侵检测，IDS和入侵防御，IPS）。（3）构建公用骨干网，特别是Internet连接而成的逻辑上的虚拟子网（VirtualPersonnelNetwork，VPN）。（4）了解攻击者的方法、工具和意图（“密罐”技术，HoneyPot）1.IDS的基本概念入侵检测系统（IntrusionDetectionSystem，IDS）是静态安全防御技术的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，查看网络中是否有违反安全策略的行为和遭到袭击的迹象。1.IDS的基本概念现今流行的防火墙技术的局限性主要表现在：防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙不能主动跟踪入侵者。防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者该类程序附在电子邮件上传输。为什么需要入侵检测系统？1.IDS的基本概念入侵检测技术作为近20年来出现的一种积极主动的网络安全技术，是P2DR模型的一个重要组成部分。P2DR模型是美国ISS公司提出的，他是动态网络安全体系的代表模型，也是动态安全模型的雏形。P2DR模型是在整体安全策略的控制和指导下，在综合运用防护工具（如防火墙、操作系统身份认证、加密等）的同时，利用检测工具（如漏洞评估、入侵检测等）了解和评估系统的安全状态，通过适当的反应将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环，在安全策略的指导下保证信息系统的安全。1.IDS的基本概念与传统的加密和访问控制等常用的安全方法相比，入侵检测系统IDS是种全新的计算机安全措施，它不仅可以检测来自网络外部的入侵行为，同时也可以检测来自网络内部用户的未授权活动和误操作，有效地弥补了防火墙的不足，被称为防火墙之后的第二道安全闸门。1.IDS的基本概念入侵检测系统（intrusiondetectionsystem，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

IDS是计算机网络中的监视系统，它通过实时监视系统，一旦发现异常情况就发出警告。1.IDS的基本概念事件产生器：它的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器：分析数据，发现危险、异常事件，通知响应单元响应单元：对分析结果作出反应事件数据库：存放各种中间和最终数据入侵检测系统的架构1.IDS的基本概念入侵检测过程1.IDS的基本概念入侵检测系统的部署——基于网络的IDS

1.IDS的基本概念入侵检测系统的部署——基于主机的IDS

1.IDS的基本概念入侵检测系统的局限性对用户知识要求较高，配置、操作和管理使用较为复杂网络发展迅速，对入侵检测系统的处理性能要求越来越高，现有技术难以满足实际需要高虚警率，用户处理的负担重由于警告信息记录的不完整，许多警告信息可能无法与入侵行为相关联，难以得到有用的结果在应对对自身的攻击时，对其他数据的检测也可能会被抑制或受到影响2.IPS的基本概念入侵检测系统的局限性入侵防御系统(IPS:IntrusionPreventionSystem)是一种网络安全设施，是对防病毒软件和防火墙的补充。通过分析网络流量，检测入侵（包括缓冲区溢出攻击、木马、蠕虫等），并通过一定的响应方式，实时地中止入侵行为，保护企业信息系统和网络架构免受侵害。2.IPS的基本概念入侵防御系统的接入2.IPS的基本概念入侵防御系统的必要性2.IP