hcscp1204 入侵检测与防御技术基础 issue 3 0

1、本页不打印修订记录版权所有 2017 华为技术第0页作者/工号时间审核人/工号新开发/优化吉小东/wx3332202017.2.28王锐/wwx163689新开发课程编码适用产品产品版本课程版本HCSCP1204NIP6000V5R1V3.0入侵检测与防御技术基础版权所有 2017 华为技术前言 传统的信息安全方法采用严格的访问控制和数据加密策略来防护，但在复杂系统中，这些策略是不充分的，不能完全保证系统的安全。 入侵检测是对入侵行为的发觉，通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。版权所有

2、2017 华为技术第2页目标 学完本课程后，您将能够：p 描述入侵检测技术产生背景p 描述入侵检测技术原理p 描述入侵防御系统组成版权所有 2017 华为技术第3页目录1. 网络入侵简介2. 入侵检测系统3. 入侵防御系统版权所有 2017 华为技术第4页网络威胁现状 现在大多数病毒等网络威胁不再单纯地攻击电脑系统，而是被攻击和分子利用，成为他们获取利益的工具。因此，传统的电脑病毒等网络威胁，正在向由利益驱动的、全面的网络威胁发展变化。拒绝服务攻击入侵病毒及恶意软件个人安全意识薄弱版权所有 2017 华为技术第5页什么是入侵 入侵p 入侵是指未经授权而尝试访问信息系统资源、篡改信息系统中的数据

3、， 使信息系统不可靠或不能使用的行为；入侵企图破坏信息系统的完整性、性、可用性以及可控性。 典型的入侵行为：p 篡改Web网页；p 破解系统；p 复制/查看敏感数据；p 使用网络嗅探工具获取用户p 访问未经允许的服务器；p 其他特殊硬件获得原始网络包；p 向主机植入特洛伊木马程序。版权所有 2017 华为技术第6页常见入侵方式版权所有 2017 华为技术第7页风险性完整性可用性未授权访问拒绝服务假冒和线路窃听计算机病毒特洛伊木马后门和陷阱电磁辐射常见入侵方式版权所有 2017 华为技术第8页风险性完整性可用性未授权访问拒绝服务假冒和线路窃听计算机病毒特洛伊木马后门和陷阱电磁辐射系统漏洞 漏洞p

4、 漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。p 漏洞会影响到很大范围的软硬件设备，包括操作系统本身及支撑软件，路由器、等。 在不同的软、硬件设备中，不同系统，或同种系统在不同的设置条件下，都会存在各自不同的安全漏洞问题。版权所有 2017 华为技术第9页病毒 病毒是一种恶意代码，可感染或附着在应用程序或文件中， 一般通过邮件或文件共享等协议进行传播，威胁用户主机和网络的安全。 有些病毒会耗尽主机资源、占用网络带宽，有些病毒会控制主机权限、窃取用户数据，有些病毒甚至会对主机硬件造成破坏。 病毒的主要目的是破坏信息，而入侵的主

5、要目的是窃取信息， 有些病毒可以作为入侵的工具来使用（如特洛伊木马病毒）。版权所有 2017 华为技术第10页目录1. 入侵检测技术背景2. 入侵检测系统3. 入侵防御系统版权所有 2017 华为技术第11页入侵检测 入侵检测（ ID，Intrusion Detection ）p 通过监视各种操作，分析、审计各种数据和现象来实时检测入侵行为的过程，它是一种积极的和动态的安全防御技术；p 入侵检测的内容涵盖了授权的和非授权的各种入侵行为。 入侵检测系统（ IDS，Intrusion Detection System ）p 用于入侵检测的所有软硬件系统；p 发现有违反安全策略的行为或系统存在被攻击

6、的痕迹，立即启动有关安全机制进行应对。版权所有 2017 华为技术第12页入侵检测系统特点监测速度快隐蔽性好视野更宽较少的监测器攻击者不易转移证据操作系统无关性不占用被保护的设备上的资源ppppppp版权所有 2017 华为技术第13页入侵检测系统特点监测速度快隐蔽性好视野更宽较少的监测器攻击者不易转移证据操作系统无关性不占用被保护的设备上的资源ppppppp版权所有 2017 华为技术第14页入侵检测系统在安全体系中的位置版权所有 2017 华为技术第15页保安员扫描器、漏洞查找门禁系统身份认证、访问控制监控室安全管理中心安全传输加密、VPN门加 固 的 房 间 系统加固、免疫监视器入侵检测

7、系统入侵检测原理知识库历史行为当前系统/ 用户行为入侵检测分析引擎特定行为模式 否其它入侵？是版权所有 2017 华为技术第16页相应处理记录证据数据提取入侵检测系统结构 原始数据流版权所有 2017 华为技术第17页数据提取数据存储入侵分析知识库响应处理入侵检测的技术实现 异常检测模型（Anomaly Detection）p 首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型（Misuse Detection）p 收集非正常操作的行为特征，建立相关的特征库，当检测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵p 误用检测模

8、型也称为特征检测（Signature-based detection）版权所有 2017 华为技术第18页入侵检测分析模型 异常检测 通过对系统审计数据的分析建立起系统主体(单个用户、一组用户、主机， 甚至是系统中的某个关键的程序和文件等)的正常行为特征轮廓；检测时， 如果系统中的审计数据与已建立的主体的正常行为特征有较大出入就认为是一个入侵行为。9080706050用户行为403020100行为尺度可能的入侵CPUProcess Size版权所有 2017 华为技术第19页正常异常入侵检测分析模型 误用检测 误用检测（特征检测）的特点：p 容易实现：主要的匹配算法都是成熟算法，实现上技术难点

9、比较少。p 检测精确：对入侵特征的精确描述使入侵检测系统可以很容易将入侵辨别出来。同时，因为检测结果有明显的参照，可以帮助系统管理员采取相应的措施来防止入侵。p 升级容易：不少基于特征检测的入侵检测系统都提供了自己的规则定义语言，当新的攻击或漏洞出现时，厂商或用户只要根据该攻击或漏洞的特征编写对应的规则，就可以升级系统。版权所有 2017 华为技术第20页异常检测与误用检测的优缺点对比版权所有 2017 华为技术第21页误用检测 优点：p 可检测所有已知入侵行为。p 能够明确入侵行为并提示防范方法。 缺点：p 缺乏对未知入侵行为的检测。p 对内部人员的越权行为无法进行检测。异常检测 优点：p

10、不需要专门的操作系统缺陷特征库；p 有效检测对合法用户的冒充检测。 缺点：p 建立正常的行为轮廓和确定异常行为轮廓的阀值困难。p 不是所有的入侵行为都会产生明显的异常。目录1. 入侵检测技术背景2. 入侵检测系统3. 入侵防御系统版权所有 2017 华为技术第22页入侵防御系统的引入 随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统胁。技术加传统IDS的技术，已经无法应对一些安全威 在这种情况下，入侵防御技术应运而生，入侵防御技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对报文进行限流以保护网络带宽资源。版权所有 2017 华为技术第23页入侵防御技术 入侵防御是

11、一种安全机制，通过分析网络流量，检测入侵（包括缓冲区溢出攻击、木马、蠕虫等），并通过一定的响应方式，实时地中止入侵行为，保护企业信息系统和网络架构免受侵害。 入侵防御是种既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后，能自动丢弃入侵报文或者阻断攻 击源，从而从根本上避免攻击行为。版权所有 2017 华为技术第24页入侵防御优势 入侵防御的主要优势有如下几点。p 实时阻断攻击p 深层防护p 全方位防护p 内外兼防p 不断升级，精准防护版权所有 2017 华为技术第25页入侵防御系统 入侵防御系统（ IPS，Intrusion Prevention System ）p 定义：在发

12、现入侵行为时能实时阻断的入侵检测系统。p IPS使得IDS和走向统一。p IPS在网络中一般有两种部署方式。SPAN:接在交换机上，通过交换机做端口镜像。TAP:通过专用的流量镜像设备，部署在网络边界。旁路直路Inline:串接在网络边界，在线部署，在线阻断。版权所有 2017 华为技术第26页入侵检测系统与防御系统对比 IDS的主要作用是监控网络状况，侧重于风险管理。IDS联动 IPS的主要作用是实时阻断入侵行为，侧重于风险控制。版权所有 2017 华为技术第27页IPS功能思考题1.从系统构成上看，入侵检测系统应包括哪些组成部分？提取A.B. 入侵分析C. 入侵响应D. 远程管理版权所有 2017 华为技术第28页本章总结 入侵检测技术背景 入侵检测系统 入侵防御系统版权所有 2017 华为技术第29页更多信息 HUAWEI NIP6000 V500R001C30 产品文档p /hedex/hdx.do?docid=EDOC1000159776 &lang=zh 安全产品多媒体视频p /evideo/zh/multimedia/sec