收藏
下载资源

入侵检测方法课件

上传人:鲁** 文档编号:588087805 上传时间:2024-09-07 格式:PPT 页数:65 大小:3.31MB
返回 下载 相关 举报
入侵检测方法课件_第1页
第1页 / 共65页
入侵检测方法课件_第2页
第2页 / 共65页
入侵检测方法课件_第3页
第3页 / 共65页
入侵检测方法课件_第4页
第4页 / 共65页
入侵检测方法课件_第5页
第5页 / 共65页
点击查看更多>>
资源描述

《入侵检测方法课件》由会员分享,可在线阅读,更多相关《入侵检测方法课件(65页珍藏版)》请在金锄头文库上搜索。

1、入侵检测1PPT学习交流主要内容:入侵检测的定义入侵检测的分类入侵检测系统的设计原理2PPT学习交流6.1入侵检测方法入侵:入侵:包括发起攻击的人取得超出范围的系统控制权、收集漏洞信息,造成拒绝访问或对计算机危害的行为。入侵检测入侵检测:是对入侵行为的发觉。它通过对计算机网络或系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统入侵检测系统:指的是任何有能力检测系统或网络状态改变的系统或系统的集合,它能发送警报或采取预先设置好的行动来帮助保护网络。3PPT学习交流6.1.1 异常入侵检测技术异常入侵检测技术 异常检测(Anomaly

2、 Detection)技术是运行在系统层或应用层的监控程序通过将当前主体的活动情况和用户轮廓进行比较来监控用户的行为。错报错报(False Positive)(False Positive):系统错误地将异常活动定义为入侵。漏报漏报(False Negative)(False Negative):系统未能检测出真正的入侵行为。4PPT学习交流6.1.1 异常入侵检测技术异常入侵检测技术 异常检测只能识别出那些与正常过程有较大偏差的行为,而无法知道具体的人侵情况。由于对各种网络环境的适应性不强,且缺乏精确的判定准则,难以配置,异常检测经常会出现错报和漏报情况。 5PPT学习交流6.1.2 误用入

3、侵检测技术误用入侵检测技术误用检测(MisuseDetection)的前提是首先提取已知入侵行为的特征,建立入侵特征库,然后将当前用户或系统行为与入侵特征库中的记录进行匹配,如果相匹配就认为当前用户或系统行为是入侵,否则人侵检测系统认为是正常行为。6PPT学习交流6.1.2 误用入侵检测技术误用入侵检测技术通过误用入侵检测技术可以看出,其缺点是漏报率会增加,因为当新的入侵行为出现或入侵特征发生细微变化,误用检测技术将无法检测出入侵行为。7PPT学习交流6.2 6.2 入侵检测系统的设计原理入侵检测系统的设计原理 入侵检测系统(IDS)可以用来保护不同的对象,有的IDS仅用来保护某台主机的安全;

4、有的IDS用来检测内部用户对内部网络的攻击行为;有的IDS用来检测外部网络用户对内部网络的攻击;还有的采用分布式入侵检测系统结构,即在多个点部署IDS,进而在不同的层次、不同的区域使用入侵检测技术。 8PPT学习交流6.2.1 6.2.1 其于主机系统结构其于主机系统结构基于主机的入侵检测系统(HIDS)通常从主机的审计记录和日志文件中获得所需要的主要数据,并辅助以主机上的其他信息。9PPT学习交流6.2.2 6.2.2 基于网络系统的结构基于网络系统的结构基于网络的入侵检测系统(NIDS),如图所示,它在共享式网络上对通信数据进行侦听并采集数据,分析可疑现象。与主机系统相比,这类系统对入侵者

5、而言是透明的。10PPT学习交流6.2.3 6.2.3 基于分布式系统的结构基于分布式系统的结构 在大范围网络中部署有效的IDS推动了分布式入侵检测系统的诞生和不断发展。分布式入侵检测系统一般具有如图所示的体系结构。分布式系统的几种类型:集中式协同检测层次化协同检测完全分布式协同检测11PPT学习交流6.2.4 6.2.4 入侵检测系统需求特性入侵检测系统需求特性入侵检测的部署与实现是和用户的需求密切相关的入侵检测系统应该具有以下特点:1.可靠性。检测系统必须可以在无人监控的情况下持续运行。 2.容错性。入侵检测系统必须是可容错的,即使系统崩溃,检测系统本身必须能保留下来,而且不必在重启系统时

6、重建知识库。12PPT学习交流6.2.4 6.2.4 入侵检测系统需求特性入侵检测系统需求特性入侵检测的部署与实现是和用户的需求密切相关的入侵检测系统应该具有以下特点:3.可用性。入侵检测系统所占用的系统资源要最小,这样不会严重降低系统性能。4.可检验性。入侵检测系统必须能观察到非正常行为。5.对观察的系统来说必须是易于开发的。13PPT学习交流6.2.4 6.2.4 入侵检测系统需求特性入侵检测系统需求特性入侵检测的部署与实现是和用户的需求密切相关的入侵检测系统应该具有以下特点:6.可适应性。检测系统应能实时追踪系统环境的改变, 7.准确性。检测系统不能随意发送误警报和漏报。8.安全性。检测

7、系统应不易于被欺骗,能保护自身系统的安全。14PPT学习交流6.2.5 6.2.5 入侵检测框架简介入侵检测框架简介 入侵检测框架包括通用入侵检测框架CIDF和入侵检测交换格式IDDEF。 1通用入侵检测框架CIDF CIDF的主要工作在于集成各种IDS使之协同工作,实现各IDS之间的组件重用,所以CIDF也是构建分布式IDS的基础。15PPT学习交流6.2.5 6.2.5 入侵检测框架简介入侵检测框架简介CIDF的体系结构16PPT学习交流6.2.5 6.2.5 入侵检测框架简介入侵检测框架简介 入侵检测框架包括通用入侵检测框架CIDF和入侵检测交换格式IDDEF。 2入侵检测交换格式IDE

8、F 入侵检测工作组IDWG定义和设计了入侵检测的数据模型,用于描述在不同组件之间所交换的各种警报信息、控制命令和配置信息等通信数据。17PPT学习交流6.3入侵检测系统的部署不同的组网应用可能使用不同的规则配置,所以用户在配置人侵检测系统前应先明确自己的目标,建议从如下几个方面进行考虑。6.3.1定义IDS的目标1.明确网络拓扑需求2.安全策略需求 3.1DS的管理需求 18PPT学习交流6.3.1定义IDS的目标1.明确网络拓扑需求。 分析网络拓扑结构,需要监控什么样的网络,是交换式的网络还是共享式网络;是否需要同时监控多个网络,多个子网是交换机连接还是通过路由器/网关连接;选择网络入口点,

9、需要监控网络中的哪些数据流,IP流还是TCP/UDP流,还是应用层的各种数据包;分析关键网络组件、网络大小和复杂度。19PPT学习交流2.安全策略需求。 是否限制Telnet,SSH,HTTP,HTTPS等服务管理访问;Telnet登录是否需要登录密码;安全的Shell(SSH)的认证机制是否需要加强;是否允许从非管理口(如以太网口,而不是Console端口)进行设备管理。 6.3.1定义IDS的目标20PPT学习交流3.IDS的管理需求。 有哪些接口需要配置管理服务;是否启用Telnet进行设备管理;是否启用SSH进行设备管理;是否启用HTTP进行设备管理;是否启用HTTPS进行设备管理;是

10、否需要和其他设备(例如防火墙)进行联动6.3.1定义IDS的目标21PPT学习交流1.选择监视的网络区域 在小型网络结构中,如果内部网络是可以信任的,那么只需要监控内部网络和外部网络的边界流量。2.选择监视的数据包的类型 入侵检测系统可事先对攻击报文进行协议分析,从中提取IP、TCP、UDP、ICMP协议头信息和应用载荷数据的特征,并且构建特征匹配规则,然后根据需求使用特征匹配规则对侦听到的网络流量 6.3.2选择监视内容选择监视内容22PPT学习交流3.根据网络数据包的内容进行检测 利用字符串模式匹配技术对网络数据包的内容进行匹配来检测多种方式的攻击和探测,如缓冲区溢出、cGI攻击、SMB检

11、测、操作系统类型探测等。 6.3.2选择监视内容选择监视内容一般来说,不同的入侵检测系统采用不同的方法来监视网络数据包的内容,然后再根据此协议数据包中的字符特征进行检测。23PPT学习交流6.3.3部署部署IDSIDS 1.只检测内部网络和外部网络边界流量的IDS系统的部署,如图所示的部署方式不仅方便了用户的使用和配置,也节约了投资成本,适合中小规模企业的网络安全应用。只监控网络边界流理的IDS系统的拓扑结构图24PPT学习交流6.3.3部署部署IDSIDS 2.集中监控多个子网流量内部局域网中划分了多个不同职能的子网,有些子网访问某些子网资源量希望受到监控和保护,假设具体进行监控。含IDS的

12、网络拓扑如图集中监控多个子网流量的IDS拓扑结构图25PPT学习交流6.4管理IDS6.4.1 IDSIDS提供的信息提供的信息 IDS可以提供多种形式的输出信息,既可以是将网络数据包解码后的ASCII字符形式,也可以是全文本的警报信息形式。 在安装某一个入侵检测系统之后,当入侵检测系统检测到这种攻击企图后,以解码以后的ASCII字符形式输出数据负载为5245545220736861646F770D0A,以警报信息的形式输出为 retrieval attempt。26PPT学习交流6.4.2 调查可疑事件调查可疑事件 对计算机攻击的分析可以在攻击正在发生的时候进行,也可以事后调查分析。 IDS

13、提供的这些工具的目的和功能都不尽相同,但是它们大多都会根据入侵检测系统创建的警报数据分析和显示相关的安全事件,提供协议分析及统计信息,并具有良好的用户界面,还可以以文本、国表的形式显示。27PPT学习交流6.4.2 调查可疑事件调查可疑事件 例如,入侵数据库分析控制器ACID可以帮助用户搜索和处理由各种IDS生成的安全事件数据库,它可以实现以下功能:1.根据警报源信息以及潜在的网络事件查找和搜索相匹配的攻击。28PPT学习交流6.4.2 调查可疑事件调查可疑事件 2.协议数据包浏览。ACID可以根据日志写入到数据库中的警报数据,以图形化的形式显示网络层和传输层的数据包信息。 3.警报信息管理。

14、可以删除处理过的或错报的警报信息,也可以导出在电子邮件中或者在其他警报数据库之间进行存档和传送。29PPT学习交流6.4.2 调查可疑事件调查可疑事件 4.国表统计生成。能根据时间、检测器、攻击特征、协议、IP地址、TCP/UDP端口号进行分类统计。通过IDS的附属工具能够广泛地分析已预处理过的数据库中的警报信息,从而帮助用户进行可疑事件的调查并采取一定的行为。30PPT学习交流6.5.1预防入侵活动 IDS是一种并联在网络上的设备,它主要功能是检测网络遭到了何种攻击,然后发出警告。 使用IDS要实现预防入侵,其方式主要有:1.网管手动分析处理;2.IDS旁路阻断网络传输;3.集成其他安全设备

15、,联动阻止攻击。31PPT学习交流6.5.1预防入侵活动1. 1. 网管手动分析处理网管手动分析处理 当IDS检测到事件发生时,发送警报,网管对警报进行分析,提出解决方案,然后处理问题。 优点:能准确、灵活、有效地解决问题。 缺点:反应速度慢,无法即时处理,网管工作负担重、压力大。32PPT学习交流6.5.1预防入侵活动2.2. IDSIDS旁路阻断网络传输旁路阻断网络传输 当IDS检测到事件发生时,自动发送数据包,使用旁路阻隔技术,采取干扰或伪造报文方式对非法数据包进行阻隔,以阻止攻击行为。优点:不需要外部设备,容易实现,反应速度快。缺点:无法有效地阻断网络传输。33PPT学习交流6.5.1

16、预防入侵活动3.3.集成其他安全设备,联动阻止攻击集成其他安全设备,联动阻止攻击 当IDS检测到事件发生时,将自动通知防火墙等安全设备,修改防火墙策略,靠其阻止攻击行为。 优点:反应迅速,能有效地阻断; 缺点:可靠性不强,成本较高,不同品牌设备间通信可能会出现兼容性问题。 我们可以看出,IDS侧重于对网络安全状况的监视,在阻断攻击方面其能力是比较弱的。34PPT学习交流6.5.1预防入侵活动 在一些专业的机构,或对网络安全要求比较高的地方,入侵检测系统和其他审计跟踪产品结合,可以提供针对企业信息资源全面的审计资料,这些资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等等都有很重要的作用。

17、 但一般来说,更多的用户关注的是自己的网络能否避免被攻击,对于能检测到多少攻击并不是很热衷。 业界开始关注如何实现集检测和防御一体化的系统,并对当前网络遭受的主要威胁进行研究分析。35PPT学习交流6.5.2入侵预防问题1. 1. 入侵预防概述入侵预防概述(1 1)网络遭受的主要威胁网络遭受的主要威胁 随着网络安全技术的发展以及用户需求的升级,网络应用越来越多,管理起来也越来越复杂,问题层出不穷。当前网络的威胁主要来自以下几方面:n 安全漏洞n DoS/DDoS攻击n 内部网络的威胁36PPT学习交流1. 1. 入侵预防概述入侵预防概述(1 1)网络遭受的主要威胁网络遭受的主要威胁n 安全漏洞

18、越来越多,零日漏洞攻击问题严重安全漏洞越来越多,零日漏洞攻击问题严重零日漏洞攻击:零日漏洞攻击:安全补丁与漏洞曝光的同一日内,相关的恶意程序就出现37PPT学习交流1. 1. 入侵预防概述入侵预防概述(1 1)网络遭受的主要威胁网络遭受的主要威胁n DoS/DDoS DoS/DDoS威胁威胁根据调查,每天平均侦测到6,110个事件,相关研究指出,DoS/DDoS攻击占网络安全事件的65%DOS:拒绝服务,即阻止合法用户对正常网络资源访问DDOS:分布式拒绝服务38PPT学习交流Internet1. 1. 入侵预防概述入侵预防概述(1 1)网络遭受的主要威胁网络遭受的主要威胁n 来自内部网络的威

19、胁来自内部网络的威胁Instant Message在线聊天软件P2P共享软件虚拟隧道软件IM:MSN、QQ、SkypeP2P:迅雷、:迅雷、BitTorrent虚拟隧道:虚拟隧道:VNN39PPT学习交流1. 1. 入侵预防概述入侵预防概述(1 1)网络遭受的主要威胁网络遭受的主要威胁n 来自内部网络的威胁来自内部网络的威胁Instant Message在线聊天软件降低工作效率文件传输,引发泄密风险散布恶意程序这些工具我们都在用,安全吗?这些工具我们都在用,安全吗?网管的梦想网管的梦想“只允许聊天,禁止其它功能只允许聊天,禁止其它功能” “不同的对象使用不同管理不同的对象使用不同管理方式方式”

20、40PPT学习交流1. 1. 入侵预防概述入侵预防概述(1 1)网络遭受的主要威胁网络遭受的主要威胁n 来自内部网络的威胁来自内部网络的威胁P2P共享软件Thunder迅雷、eMule电驴、BT、FlashGetPPLive、PPStream、QQLiveP2P在耗尽带宽在耗尽带宽-Thunder 迅雷-eMule 电驴-BT-FlashGet-PPLive-PPStream-QQLive41PPT学习交流1. 1. 入侵预防概述入侵预防概述(1 1)网络遭受的主要威胁网络遭受的主要威胁n 来自内部网络的威胁来自内部网络的威胁虚拟隧道软件-通过防火墙开放的合法端口建立虚拟隧道-数据加密,难以防

21、范,机密信息泄露-虚拟隧道软件:VNN、SoftEther、Hamachi、TinyVPN、PacketiX、HTTP-Tunnel、Tor Thunder迅雷、eMule电驴、BT、FlashGetPPLive、PPStream、QQLive穿透防火墙对外连机 与外界计算机直接交换信息 42PPT学习交流1. 1. 入侵预防概述入侵预防概述问题:问题: 当前网络遭受的威胁主要来自于哪几方面,其中最让当前网络遭受的威胁主要来自于哪几方面,其中最让网管头痛的是哪方面?网管头痛的是哪方面?Thunder迅雷、eMule电驴、BT、FlashGetPPLive、PPStream、QQLive43PP

22、T学习交流 随着网络应用越来越复杂,网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙技术加传统IDS技术,已无法应对这些安全威胁。 为了进一步保证网络安全,入侵防御系统(Intrusion Prevention System,IPS)应运而生。1. 1. 入侵预防概述入侵预防概述带宽管理带宽管理行为管理行为管理抗抗DoS/DDoS净化流量净化流量防止漏洞防止漏洞入侵检测入侵检测IPSIPS44PPT学习交流1. 1. 入侵预防概述入侵预防概述概念:IPS是一种采用在线模式的,可以对所有攻击采取适时行动的入侵防御系统。(2)(2)入侵防御系统(IPSIPS)防火墙是IDS是IPS是45

23、PPT学习交流1. 1. 入侵预防概述入侵预防概述概念:IPS是一种采用在线模式的,可以对所有攻击采取适时行动的入侵防御系统。(2)(2)入侵防御系统(IPSIPS)防火墙是IDS是IPS是46PPT学习交流1. 1. 入侵预防概述入侵预防概述(2)(2)入侵防御系统(IPSIPS) 主要功能:对网络的净化、优化和管理。主要功能:对网络的净化、优化和管理。47PPT学习交流2. IPS2. IPS的工作原理的工作原理 IPS是一种主动的、积极的入侵防范与阻止系统,它部署在网络的进出口处,当它检测到攻击企图后,会自动地将攻击包丢掉或采取措施将攻击源阻断。IPSIPSIPSIPS48PPT学习交流

24、2. IPS2. IPS的工作原理的工作原理 它根据预先设定的安全策略,对流经的每个报文进行深度检测,包括协议分析跟踪、特征匹配、流量统计分析、事件关联分析等。49PPT学习交流2. IPS2. IPS的工作原理的工作原理 在深度感知并检测报文后,一旦发现隐藏于其中的网络攻击,可以根据该攻击的威胁级别立即采取抵御措施。服务器区服务器区Internet50PPT学习交流2. IPS2. IPS的工作原理的工作原理IPSIPS的特点:的特点:n采用在线(in-line)的工作方式。一般串接在网络边界,对进出被保护网络的数据包进行深层检查,一旦发现入侵,立刻阻断攻击者对攻击目标的访问,达到防御攻击的

25、目的;nIPS工作在应用层,具备深度检测能力,需要配合及时更新的攻击特征库,才能达到有效检测并实时阻断隐藏在海量网络中的病毒、攻击与滥用行为;n对分布在网络中的各种流量进行管理,从而达到对网络架构防护、网络性能保护和核心应用防护。51PPT学习交流2. IPS2. IPS的工作原理的工作原理IPSIPS的特点:的特点:n采用在线(in-line)的工作方式。一般串接在网络边界,对进出被保护网络的数据包进行深层检查,一旦发现入侵,立刻阻断攻击者对攻击目标的访问,达到防御攻击的目的;nIPS工作在应用层,具备深度检测能力,需要配合及时更新的攻击特征库,才能达到有效检测并实时阻断隐藏在海量网络中的病

26、毒、攻击与滥用行为;n对分布在网络中的各种流量进行管理,从而达到对网络架构防护、网络性能保护和核心应用防护。52PPT学习交流2. IPS2. IPS的工作原理的工作原理IPSIPS、IDSIDS、防火墙的区别:防火墙的区别:IPS注重对入侵行为的控制,其核心在于安全策略的实施。IDS注重网络安全状况的监管,其核心在信息系统安全状况的报告。防火墙处于网关的位置,为保证网络性能,不能对进出 的攻击作太多判断。IPS的特殊设计保证其可以实施深层防御安全策略,在应用层检测出攻击并予以阻断。53PPT学习交流2. IPS2. IPS的工作原理的工作原理问题: IPS和IDS、防火墙之间有什么区别?54

27、PPT学习交流2. IPS2. IPS的工作原理的工作原理IPS一般包括IPS检测引擎、管理服务器、升级支持系统等部分,管理员通过网页浏览器设置策略并查看报告。55PPT学习交流2. IPS2. IPS的工作原理的工作原理IPS的设置界面:56PPT学习交流6.5.2入侵预防问题2. IPS2. IPS的工作原理的工作原理IPS的网络状况报告界面:57PPT学习交流6.5.2入侵预防问题2. IPS2. IPS的工作原理的工作原理问题: IPS一般包括哪些部分,它们各起什么作用?58PPT学习交流3. IPS3. IPS的布署和应用的布署和应用(1)(1)重点区域防护重点区域防护(2)(2)上

28、网行为管理上网行为管理(3)(3)内外兼顾(4)(4)多路防护多路防护59PPT学习交流3. IPS3. IPS的布署和应用的布署和应用(1)(1)重点区域防护重点区域防护n部署在重点区域前n防范外网攻击60PPT学习交流3. IPS3. IPS的布署和应用的布署和应用(2)(2)上网行为管理上网行为管理n部署在内网出口n上网行为管理IMIM即时消息软件即时消息软件Web-IMWeb-IMP2PP2P软件软件虚拟隧道虚拟隧道在线游戏在线游戏反动软件反动软件61PPT学习交流3. IPS3. IPS的布署和应用的布署和应用(3)(3)内外兼顾n部署在网络出口n防范外网攻击n上网行为管理62PPT学习交流3. IPS3. IPS的布署和应用的布署和应用(4)(4)多路防护多路防护n多路IPSn每路设置不同的策略n带宽限流63PPT学习交流3. IPS3. IPS的布署和应用的布署和应用应用案例:某高校校园网应用案例:某高校校园网目标:控制校园网内各种应用,实现带宽的优化。目标:控制校园网内各种应用,实现带宽的优化。网络特点网络特点n应用复杂n人员众多n管理松散64PPT学习交流4. 4. 常见的常见的IPSIPS品牌品牌H3C入侵防御系统联想网御入侵防御系统绿盟入侵防御系统天融信入侵防御系统65PPT学习交流

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 医学/心理学 > 基础医学

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号