,單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),*,入侵檢測(cè),防火墻,是位于兩個(gè)或多個(gè)網(wǎng)絡(luò)之間，執(zhí)行訪問(wèn)控制策略的一個(gè)或一組系統(tǒng)，是一類防范措施的總稱。,它可以有效地保護(hù)本地系統(tǒng)或網(wǎng)絡(luò)，抵制外部網(wǎng)絡(luò)安全威脅，同時(shí)支持受限的通過(guò)WAN或Internet對(duì)外界進(jìn)行訪問(wèn)。,防火墻,防火墻嵌入在局域網(wǎng)和,Internet,連接的網(wǎng)關(guān)上,所有從內(nèi)到外和從外到內(nèi)的數(shù)據(jù)都必須通過(guò)防火墻（物理上阻塞其它所有訪問(wèn)）,只有符合安全政策的數(shù)據(jù)流才能通過(guò)防火墻,防火墻系統(tǒng)自身應(yīng)對(duì)滲透,(,peneration,),免疫，（如一般必須是一個(gè)安裝了安全操作系統(tǒng)的可信任系統(tǒng)）,防火墻特征,防火墻對(duì)企業(yè)內(nèi)部網(wǎng)實(shí)現(xiàn)了集中的安全管理，可以強(qiáng)化網(wǎng)絡(luò)安全策略，比分散的主機(jī)管理更經(jīng)濟(jì)易行,防火墻能防止非授權(quán)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，有效地對(duì)抗外部網(wǎng)絡(luò)入侵,由于所有的訪問(wèn)都經(jīng)過(guò)防火墻，防火墻成為審計(jì)和記錄網(wǎng)絡(luò)的訪問(wèn)和使用的最佳地點(diǎn)，可以方便地監(jiān)視網(wǎng)絡(luò)的安全性并報(bào)警。,可以作為部署網(wǎng)絡(luò)地址轉(zhuǎn)換（,Network Address Translation,）的地點(diǎn)，利用,NAT,技術(shù)，可以緩解地址空間的短缺，隱藏內(nèi)部網(wǎng)的結(jié)構(gòu)。,利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可以實(shí)現(xiàn)重點(diǎn)網(wǎng)段的分離，從而限制安全問(wèn)題的擴(kuò)散。,防火墻可以作為,IPSec,的平臺(tái)，可以基于隧道模式實(shí)現(xiàn),VPN,。,防火墻的優(yōu)點(diǎn),為了提高安全性，限制或關(guān)閉了一些有用但存在安全缺陷的網(wǎng)絡(luò)服務(wù)，給用戶帶來(lái)使用的不便。,防火墻不能對(duì)繞過(guò)防火墻的攻擊提供保護(hù)，如撥號(hào)上網(wǎng)等。,不能對(duì)內(nèi)部威脅提供防護(hù)支持。,受性能限制，防火墻對(duì)病毒傳輸保護(hù)能力弱。,防火墻對(duì)用戶不完全透明，可能帶來(lái)傳輸延遲、性能瓶頸及單點(diǎn)失效。,防火墻不能有效地防范數(shù)據(jù)內(nèi)容驅(qū)動(dòng)式攻擊。,作為一種被動(dòng)的防護(hù)手段，防火墻不能自動(dòng)防范因特網(wǎng)上不斷出現(xiàn)的新的威脅和攻擊。,防火墻的局限性,為什么需要IDS,不安全的防火墻設(shè)計(jì),入侵檢測(cè)系統(tǒng)（IDS）,入侵（,Intrusion,）,:,企圖進(jìn)入或?yàn)E用計(jì)算機(jī)系統(tǒng)的行為。,入侵檢測(cè),（Intrusion Detection）：,對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性,。,入侵檢測(cè)系統(tǒng)（,Intrusion Detection System）,進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng),入侵檢測(cè)的分類（1）,按照分析方法（檢測(cè)方法）,異常檢測(cè),（Anomaly Detection):首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），,當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵,誤用檢測(cè),（Misuse Detection)：收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，,當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵,入侵檢測(cè)的分類（2）,按照數(shù)據(jù)來(lái)源：,基于主機(jī)：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī),基于網(wǎng)絡(luò)：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行,混合型,IDS 分類,網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(NIDS),-在網(wǎng)絡(luò)中的某個(gè)節(jié)點(diǎn)上裝有探測(cè)器來(lái)監(jiān)測(cè)整個(gè)網(wǎng)絡(luò)(工作對(duì)象基于網(wǎng)絡(luò)),特點(diǎn)：,1.擁有較低的成本-在幾個(gè)很少的監(jiān)測(cè)點(diǎn)上進(jìn)行配置就可以監(jiān)控一個(gè)網(wǎng)絡(luò)中所發(fā)生的入侵行為,2.能監(jiān)測(cè)主機(jī)IDS所不能監(jiān)測(cè)到的某些攻擊(如DOS、Teardrop)通過(guò)分析IP包的頭可以捕捉這些須通過(guò)分析包頭才能發(fā)現(xiàn)的攻擊,3.與操作系統(tǒng)無(wú)關(guān)性-基于網(wǎng)絡(luò)的IDS與所監(jiān)測(cè)的主機(jī)所運(yùn)行的操作系統(tǒng)無(wú)關(guān)，而主機(jī)IDS則必須在特定的操作系統(tǒng)下才能運(yùn) 行,4.檢測(cè)未成功能攻擊和不良意圖-與之相比，主機(jī)IDS只能檢測(cè)到成功的攻擊，而很多未成功的攻擊對(duì)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估成到關(guān)鍵的作用,5.實(shí)時(shí)檢測(cè)和響應(yīng)-網(wǎng)絡(luò)IDS可以在攻擊發(fā)生的同時(shí)將其檢測(cè)出來(lái)，并進(jìn)行實(shí)時(shí)的報(bào)警和響應(yīng)，而主機(jī)IDS只能在可疑信息被記錄下來(lái)后才能做出響應(yīng)，而這時(shí)，可以系統(tǒng)已被摧毀或主機(jī)IDS已被摧毀,IDS 分類,主機(jī)入侵檢測(cè)系統(tǒng)(HIDS),-在網(wǎng)絡(luò)中所監(jiān)測(cè)的每臺(tái)主機(jī)上都裝有探測(cè)器(工作對(duì)象基于主 機(jī)),特點(diǎn)：,1.確定攻擊是否成功-使用已發(fā)生的事件信息做為檢測(cè)條件，比網(wǎng)絡(luò)IDS更準(zhǔn)確的判定攻擊是否成功,2.系統(tǒng)行動(dòng)監(jiān)視的更好-對(duì)于每一個(gè)用戶(尤其是系統(tǒng)管理員)上 網(wǎng)下網(wǎng)的信息、連入網(wǎng)絡(luò)后的行為和所受到的入侵行為監(jiān)測(cè)的 更為詳細(xì)，記錄的更準(zhǔn)確，相比之下，網(wǎng)絡(luò)IDS要想做到這一點(diǎn)存在很大的難度,3.能夠檢測(cè)到網(wǎng)絡(luò)IDS檢測(cè)不到的特殊攻擊-如某服務(wù)器上有人直接對(duì)該機(jī)進(jìn)行非法操作，網(wǎng)絡(luò)IDS不能檢測(cè)出該攻擊，而主 機(jī)IDS則可以做到,4.適用于加密的環(huán)境-在某些特殊的加密網(wǎng)絡(luò)環(huán)境中，由于網(wǎng)絡(luò)IDS所需要的網(wǎng)絡(luò)環(huán)境不能滿足，所以在這種地方應(yīng)用主機(jī) IDS就可以完成這一地方的監(jiān)測(cè)任務(wù),5.不需要額外的硬件設(shè)備-與網(wǎng)絡(luò)IDS相比，不需要專用的硬件檢測(cè)系統(tǒng)，降低的硬件成本,IDS 分類,大規(guī)模分布式入侵檢測(cè)系統(tǒng)(DIDS),-,系統(tǒng)中既包括網(wǎng)絡(luò)探測(cè)器也包括主機(jī)探測(cè)器(工作對(duì)象同時(shí)基,于網(wǎng)絡(luò)和主機(jī)),特點(diǎn)：,1.適用于大規(guī)模復(fù)雜的網(wǎng)絡(luò)環(huán)境-分層次、多級(jí)的分布的系統(tǒng)結(jié),構(gòu)適用于大規(guī)模的網(wǎng)絡(luò)環(huán)境中,2.全面的檢測(cè)方式更好的保護(hù)網(wǎng)絡(luò)-包含網(wǎng)絡(luò)IDS和主機(jī)IDS兩,種入侵檢測(cè)系統(tǒng)的檢測(cè)部分，更全面、更詳細(xì)的監(jiān)測(cè)網(wǎng)絡(luò)及系,統(tǒng)動(dòng)態(tài)。,入侵檢測(cè)的分類（3）,按系統(tǒng)各模塊的運(yùn)行方式,集中式：系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集分析集中在一臺(tái)主機(jī)上運(yùn)行,分布式：系統(tǒng)的各個(gè)模塊分布在不同的計(jì)算機(jī)和設(shè)備上,入侵檢測(cè)的分類（4）,根據(jù)時(shí)效性,脫機(jī)分析：行為發(fā)生后，對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析,聯(lián)機(jī)分析：在數(shù)據(jù)產(chǎn)生的同時(shí)或者發(fā)生改變時(shí)進(jìn)行分析,IDS能做什么？,監(jiān)控網(wǎng)絡(luò)和系統(tǒng),發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象,實(shí)時(shí)報(bào)警,主動(dòng)響應(yīng)（非常有限）,入侵響應(yīng)系統(tǒng)（IRS）,入侵響應(yīng)（Intrusion Response）：,當(dāng)檢測(cè)到入侵或攻擊時(shí)，采取適當(dāng)?shù)拇胧┳柚谷肭趾凸舻倪M(jìn)行。,入侵響應(yīng)系統(tǒng)（Intrusion Response System）,實(shí)施入侵響應(yīng)的系統(tǒng),入侵響應(yīng)系統(tǒng)分類（1）,按響應(yīng)類型,報(bào)警型響應(yīng)系統(tǒng),人工響應(yīng)系統(tǒng),自動(dòng)響應(yīng)系統(tǒng),入侵響應(yīng)系統(tǒng)分類（2）,按響應(yīng)方式：,基于主機(jī)的響應(yīng),基于網(wǎng)絡(luò)的響應(yīng),入侵響應(yīng)系統(tǒng)分類（3）,按響應(yīng)范圍,本地響應(yīng)系統(tǒng),協(xié)同入侵響應(yīng)系統(tǒng),響應(yīng)方式（1）,記錄安全事件,產(chǎn)生報(bào)警信息,記錄附加日志,激活附加入侵檢測(cè)工具,隔離入侵者,IP,禁止被攻擊對(duì)象的特定端口和服務(wù),隔離被攻擊對(duì)象,較溫和,被動(dòng)響應(yīng),介于溫和,和嚴(yán)厲之間,主動(dòng)響應(yīng),響應(yīng)方式（2）,警告攻擊者,跟蹤攻擊者,斷開(kāi)危險(xiǎn)連接,攻擊攻擊者,較嚴(yán)厲,主動(dòng)響應(yīng),自動(dòng)響應(yīng)系統(tǒng)的結(jié)構(gòu),響應(yīng)決策,響應(yīng)執(zhí)行,響應(yīng)決策,知識(shí)庫(kù),響應(yīng),工具庫(kù),安全事件,響應(yīng)策略,響應(yīng)命令,自動(dòng)入侵響應(yīng)總體結(jié)構(gòu),IDS部署方式,IDS 部署方式,NIDS的位置必須要看到所有數(shù)據(jù)包,共享媒介HUB,交換環(huán)境,隱蔽模式,千兆網(wǎng),分布式結(jié)構(gòu),探測(cè)器,控制中心,IDS 部署方式,共享式部署,HUB,Monitored Servers,Console,IDS 部署方式,交換環(huán)境部署方式,Switch,IDS Sensor,Monitored Servers,Console,通過(guò)端口鏡像實(shí)現(xiàn),（SPAN/Port Monitor）,IDS 部署方式,安全隱蔽模式,Switch,Monitored Servers,Console,不設(shè)IP,IDS 應(yīng)用,與其它網(wǎng)絡(luò)安全設(shè)備聯(lián)動(dòng)工作,全方位發(fā)揮IDS的功能-與其它安全設(shè)備的聯(lián)動(dòng)工作,1.與防火墻聯(lián)動(dòng),IDS不能做最好的阻斷-IDS根據(jù)實(shí)時(shí)檢測(cè)出的結(jié)果,調(diào)整防火墻來(lái)進(jìn)行相應(yīng)的阻斷,2.與掃描器聯(lián)動(dòng),IDS可以根據(jù)掃描器所做的掃描結(jié)果，對(duì)一點(diǎn)特殊系統(tǒng)做重點(diǎn)監(jiān),測(cè)，也可讓掃描器根據(jù)實(shí)時(shí)探測(cè)的結(jié)果做更詳細(xì)的安全評(píng)估,3.與其它一些安全設(shè)備聯(lián)動(dòng)工作以保障網(wǎng)絡(luò)系統(tǒng)安全,IDS 應(yīng)用,實(shí)際網(wǎng)絡(luò)環(huán)境中的應(yīng)用方式,在外部網(wǎng)絡(luò)中設(shè)置NIDS(放在防火墻前面)，可以捕捉外部攻擊機(jī)的真實(shí)地址來(lái)源并調(diào)整防火墻進(jìn)行相應(yīng)的阻斷,在內(nèi)部網(wǎng)絡(luò)中設(shè)置NIDS(放在防火墻后面)，可以捕捉內(nèi)部攻擊機(jī)的真實(shí)地址來(lái)源,在所保護(hù)的主機(jī)上安裝HIDS，重點(diǎn)分析系統(tǒng)做接受的操作及相應(yīng)用戶的系統(tǒng)行為，以彌補(bǔ)NIDS的遺漏點(diǎn),同時(shí)采用以上三種設(shè)置方式相結(jié)合能更好的保護(hù)網(wǎng)絡(luò)安全，更全面的監(jiān)測(cè)所保護(hù)的網(wǎng)絡(luò)系統(tǒng),IDS 應(yīng)用,NIDS應(yīng)用的局限性,網(wǎng)絡(luò)局限,1.交換機(jī)局限,-網(wǎng)絡(luò)監(jiān)聽(tīng)需要共享環(huán)境，主機(jī)的網(wǎng)絡(luò)上多采用交換機(jī)，而很多,交換機(jī)不能提供鏡像口，或所提供的鏡像口不能滿足需要,2.監(jiān)聽(tīng)端口流量局限,-交換機(jī)的端口是全雙工，例如百兆交換機(jī)的理論雙向流量是,200兆，而監(jiān)聽(tīng)端口只有100兆，這樣在雙向流量大于100兆的情,況下會(huì)造成丟包，同時(shí)如果利用一個(gè)端口監(jiān)聽(tīng)其它多個(gè)端口時(shí)，,在網(wǎng)絡(luò)流量大的情況下也可能造成丟包,IDS 應(yīng)用,網(wǎng)絡(luò)拓?fù)渚窒?1.特殊路由局限,-如果IP源路由選項(xiàng)允許，可以通過(guò)精心設(shè)計(jì)IP路由繞過(guò)NIDS,2.MTU值的局限,-因?yàn)槭鼙Ｗo(hù)的主機(jī)各式各樣，其MTU值設(shè)置也不會(huì)完全相,同，如果其中一些MTU值設(shè)置的與NIDS的MTU值不同的話，可,以設(shè)置MTU值處于兩者之間，并且設(shè)置此包不會(huì)片，這樣就使,NIDS收到的包與受保護(hù)主機(jī)收到的包不同，從而繞過(guò)NIDS的檢,測(cè),3.TTL值的局限,-如果數(shù)據(jù)包到達(dá)NIDS和主機(jī)的HOP數(shù)不同，可以通過(guò)精心設(shè),置TTL值使得該包只能被受保護(hù)的主機(jī)收到而不能被NIDS收到，從而繞,過(guò)NIDS的檢測(cè),產(chǎn)品是否可擴(kuò)展,系統(tǒng)支持的傳感器數(shù)目、最大數(shù)據(jù)庫(kù)大小、傳感器與控制臺(tái)之間通信帶寬和對(duì)審計(jì)日志溢出的處理,該產(chǎn)品是否進(jìn)行過(guò)攻擊測(cè)試,了解產(chǎn)品提供商提供的產(chǎn)品是否進(jìn)行過(guò)攻擊測(cè)試，明確測(cè)試步驟和內(nèi)容，主要關(guān)注本產(chǎn)品抵抗拒絕服務(wù)攻擊的能力,產(chǎn)品支持的入侵特征數(shù),不同廠商對(duì)檢測(cè)特征庫(kù)大小的計(jì)算方法都不一樣，盡量參考國(guó)際標(biāo)準(zhǔn),特征庫(kù)升級(jí)與維護(hù)的周期、方式、費(fèi)用,入侵檢測(cè)的特征庫(kù)需要不斷更新才能檢測(cè)出新出現(xiàn)的攻擊方法,最大可處理流量,一般有百兆、千兆、萬(wàn)兆之分,是否通過(guò)了國(guó)家權(quán)威機(jī)構(gòu)的測(cè)評(píng),主要的權(quán)威測(cè)評(píng)機(jī)構(gòu)有：國(guó)家信息安全測(cè)評(píng)認(rèn)證中心、公安部計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心,是否有成功案例,需要了解產(chǎn)品的成功應(yīng)用案例，有必要進(jìn)行實(shí)地考察和測(cè)試使用,系統(tǒng)的價(jià)格,性能價(jià)格比，以要保護(hù)系統(tǒng)的價(jià)值為主要的因素,入侵檢測(cè)系統(tǒng)選擇標(biāo)準(zhǔn),IDS 技術(shù)的發(fā)展方向,1.分布式入侵檢測(cè),1)針對(duì)分布式攻擊的檢測(cè)方法,2)使用分布式的方法來(lái)檢測(cè)分布式的攻擊，關(guān)鍵技術(shù)為檢,測(cè)信息的協(xié)同處理與入侵攻擊的全局信息提取,2.智能化入侵檢測(cè),使用智能化的手法也實(shí)現(xiàn)入侵檢測(cè)，現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、模糊,算法、遺傳算法、免疫原理等技術(shù),3.全面的安全防御方案,采用安全工程風(fēng)險(xiǎn)管理的理論也來(lái)處理網(wǎng)絡(luò)安全問(wèn)題，將網(wǎng)絡(luò)安全做為一個(gè)整體工程來(lái)處理，從管理、網(wǎng)絡(luò)結(jié)構(gòu)、防火墻、防病毒、入侵檢測(cè)、漏洞掃描等多方面對(duì)網(wǎng)結(jié)進(jìn)行安全分析,隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，還會(huì)有更多新技術(shù)應(yīng)用到入侵檢測(cè)系統(tǒng)中來(lái)!,