《计算机基础——系统安全》课程教学资源（PPT课件）第4章 信息系统安全监控

第4章信息系统安全监控

第4章 信息系统安全监控

从安全性的角度看,所有试图破坏系统安全性的 为都称为攻击,入侵就是成功的攻击。当一次入侵 是成功的时候,一次入侵就发生了。或着说,系统 藉以保障安全的第一道防线已经被攻破了。所以 从防御的角度被动地构筑安全系统是不够的 安全监控是从一种积极的防御措施。它通过对系统 中所发生的现象的记录,分析系统出现了什么异常, 以便采取相应的对策

从安全性的角度看，所有试图破坏系统安全性的行 为都称为攻击，入侵就是成功的攻击。当一次入侵 是成功的时候，一次入侵就发生了。或着说，系统 藉以保障安全的第一道防线已经被攻破了。所以， 只从防御的角度被动地构筑安全系统是不够的。 安全监控是从一种积极的防御措施。它通过对系统 中所发生的现象的记录，分析系统出现了什么异常， 以便采取相应的对策

本章结构 ●4.1入侵检测系统概述 ●4.2入侵检测系统的基本结构 4.3入侵检测系统的实现 ●4.4入侵检测系统的标准化 4.5网络诱骗 4.6安全审计 ●习题

本章结构 ⚫ 4.1 入侵检测系统概述 ⚫ 4.2 入侵检测系统的基本结构 ⚫ 4.3 入侵检测系统的实现 ⚫ 4.4 入侵检测系统的标准化 ⚫ 4.5 网络诱骗 ⚫ 4.6 安全审计 ⚫ 习题

4.1入侵检测系统概述 入侵检测( Intrusion Detection System,IDS) 就是一种主动安全保护技术。入侵检测像雷达警 戒一样,在不影响网络性能的前提下,对网络进 行警戒、监控,从计算机网络的若干关键点收集 信息,通过分析这些信息,看看网络中是否有违 反安全策略的行为和遭到攻击的迹象,从而扩展 了系统管理员的安全管理能力,提高了信息安全 基础结构的完整性

4.1 入侵检测系统概述 入侵检测（Intrusion Detection System, IDS） 就是一种主动安全保护技术。入侵检测像雷达警 戒一样，在不影响网络性能的前提下，对网络进 行警戒、监控，从计算机网络的若干关键点收集 信息，通过分析这些信息，看看网络中是否有违 反安全策略的行为和遭到攻击的迹象，从而扩展 了系统管理员的安全管理能力，提高了信息安全 基础结构的完整性

4.1.1入侵检测与入侵检测系统 IDS是对计算机和网络系统资源上的恶意使用行为进 行识别和响应的处理,它最早于1980年4月由 james P. Anderson在为美国空军起草的技术报告 COmputer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视)中 提出。他提出了一种对计算机系统风险和威胁的分 类方法,将威胁分为外部渗透、内部渗透和不法 为;提出了利用审计跟踪数据,监视入侵活动的思 相

4.1.1 入侵检测与入侵检测系统 IDS是对计算机和网络系统资源上的恶意使用行为进 行识别和响应的处理，它最早于1980年4月由James P. Anderson在为美国空军起草的技术报告 《Computer Security Threat Monitoring and Surveillance》（计算机安全威胁监控与监视）中 提出。他提出了一种对计算机系统风险和威胁的分 类方法，将威胁分为外部渗透、内部渗透和不法行 为；提出了利用审计跟踪数据，监视入侵活动的思 想

相关概念 入侵”( Intrusion)是一个广义的概念,不仅包括发起 攻击的人(包括黑客)取得超出合法权限的行为,也包括 收集漏洞信息,造成拒绝访问( Denial of service)等对 系统造成危害的行为。 入侵检测( Intrusion detection)就是对入侵行为的发觉。 它通过对计算机网络等信息系统中若干关键点的有关信息 的收集和分析,从中发现系统中是否存在有违反安全规则 的行为和被攻击的迹象 入侵检测系统( Intrusion Detection System,IDS)就是 进行入侵检测的软件和硬件的组合 入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部 攻击和误操作的实时保护,被认为是防火墙后面的第二道安全防线

相关概念 “入侵”（Intrusion）是一个广义的概念，不仅包括发起 攻击的人（包括黑客）取得超出合法权限的行为，也包括 收集漏洞信息，造成拒绝访问（Denial of Service）等对 系统造成危害的行为。 入侵检测（Intrusion Detection）就是对入侵行为的发觉。 它通过对计算机网络等信息系统中若干关键点的有关信息 的收集和分析，从中发现系统中是否存在有违反安全规则 的行为和被攻击的迹象。 入侵检测系统（Intrusion Detection System, IDS）就是 进行入侵检测的软件和硬件的组合。 入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部 攻击和误操作的实时保护，被认为是防火墙后面的第二道安全防线

入侵检测系统的主要功能 具体说来,入侵检测系统的主要功能有: 监视并分析用户和系统的行为; 审计系统配置和漏洞; 评估敏感系统和数据的完整性; 识别攻击行为、对异常行为进行统计; 自动收集与系统相关的补丁; 审计、识别、跟踪违反安全法规的行为; 使用诱骗服务器记录黑客行为;

入侵检测系统的主要功能 具体说来，入侵检测系统的主要功能有： · 监视并分析用户和系统的行为； · 审计系统配置和漏洞； · 评估敏感系统和数据的完整性； · 识别攻击行为、对异常行为进行统计； · 自动收集与系统相关的补丁； · 审计、识别、跟踪违反安全法规的行为； · 使用诱骗服务器记录黑客行为； · ……

412实时入侵检测和事后入侵检测 实时入侵检测 实时入侵检测在网络的连接过程中进行,通过攻击识别模块对 用户当前的操作进行分析,一旦发现攻击迹象就转入攻击处理 模块,如立即断开攻击者与主机的连接、收集证据或实施数据 恢复等。如图41所示,这个检测过程是反复循环进行的

4.1.2 实时入侵检测和事后入侵检测 实时入侵检测 实时入侵检测在网络的连接过程中进行，通过攻击识别模块对 用户当前的操作进行分析，一旦发现攻击迹象就转入攻击处理 模块，如立即断开攻击者与主机的连接、收集证据或实施数据 恢复等。如图4.1所示，这个检测过程是反复循环进行的

当前操作 攻击识别模块 入侵检测 监测 是攻击否 攻击处理模块 图4.1实时入侵检测过程

当前操作 攻击识别模块 入侵检测 攻击处理模块 是攻击否 监测 N Y 图4.1 实时入侵检测过程

事后入侵检测 事后入侵检测是根据计算机系统对用户操作所做的历史审计 记录,判断是否发生了攻击行为,如果有,则转入攻击处理 模块处理。事后入侵检测通常由网络管理人员定期或不定期 地进行的。图42为事后入侵检测的过程

事后入侵检测 事后入侵检测是根据计算机系统对用户操作所做的历史审计 记录，判断是否发生了攻击行为，如果有，则转入攻击处理 模块处理。事后入侵检测通常由网络管理人员定期或不定期 地进行的。图4.2为事后入侵检测的过程