《网络安全技术》课程电子教案（PPT教学课件）第4章 入侵检测和安全审计技术

用%安改小 上 回出

退出 网络安全技术

学习目的 了解入侵检测概念 ■初步掌握入侵检测系统(IDS)的分析方法 了解入侵检测系统(IDS)结构 ■初步掌握入侵检测工具 ■了解安全审计技术 学习重点 入侵检测系统(IDS)的分析方法 入侵检测工具 ■安全审计技术

❖学习目的： ▪ 了解入侵检测概念 ▪ 初步掌握入侵检测系统（IDS）的分析方法 ▪ 了解入侵检测系统（IDS）结构 ▪ 初步掌握入侵检测工具 ▪ 了解安全审计技术 ❖学习重点： ▪ 入侵检测系统（IDS）的分析方法 ▪ 入侵检测工具 ▪ 安全审计技术

4.1 入侵检测系 统概述

4.1 入侵检测系 统概述

当我们无法完全防止入侵时,那么只能希 望系统在受到攻击时,能尽快检测出入侵,而 且最好是实时的,以便可以采取相应的措施来 对付入侵,这就是入侵检测系统要做的,它从 计算机网络中的若干关键点收集信息,并分析 这些信息,检査网络中是否有违反安全策略的 行为和遭到袭击的迹象。入侵检测被认为是防 火墙之后的第二道安全闸门

当我们无法完全防止入侵时，那么只能希 望系统在受到攻击时，能尽快检测出入侵，而 且最好是实时的，以便可以采取相应的措施来 对付入侵，这就是入侵检测系统要做的，它从 计算机网络中的若干关键点收集信息，并分析 这些信息，检查网络中是否有违反安全策略的 行为和遭到袭击的迹象。入侵检测被认为是防 火墙之后的第二道安全闸门

411入侵检测定义 1、定义 可以看到入侵检测的作用就在于及时地发现各 种攻击以及攻击企图并作出反应。我们可以给入侵 检测做一个简单的定义,入侵检测就是对(网络) 系统的运行状态进行监视,发现各种攻击企图、攻 击行为或者攻击结果,以保证系统资源的机密性、 完整性与可用性。 2、基本特性 经济性 时效性 安全性 可扩展性

4.1.1 入侵检测定义 1、定义 可以看到入侵检测的作用就在于及时地发现各 种攻击以及攻击企图并作出反应。我们可以给入侵 检测做一个简单的定义，入侵检测就是对（网络） 系统的运行状态进行监视，发现各种攻击企图、攻 击行为或者攻击结果，以保证系统资源的机密性、 完整性与可用性。 2、基本特性 ▪经济性 ▪时效性 ▪安全性 ▪可扩展性

2、入侵检测技术主要的发展方向 体系结构方向进一步研究分布式入侵检测与通 用的入侵检测架构 应用层入侵检测 智能的入侵检测 提供高层统计与决策 令响应策略与恢复研究 入侵检测的评测方法 和其它网络安全部件的协作、与其他安全技术 的结合

2、入侵检测技术主要的发展方向 ❖ 体系结构方向进一步研究分布式入侵检测与通 用的入侵检测架构。 ❖ 应用层入侵检测 ❖ 智能的入侵检测 ❖ 提供高层统计与决策 ❖ 响应策略与恢复研究 ❖ 入侵检测的评测方法 ❖ 和其它网络安全部件的协作、与其他安全技术 的结合

413)入侵检测系统的功能及分类 1、入侵检测系统的功能 今监测并分析用户和系统的活动,查找非法用户 和合法用户的越权操作。 今检查系统配置和漏洞,并提示管理员修补漏洞 (现在通常由安全扫描系统完成)。 评估系统关键资源和数据文件的完整性。 识别已知的攻击行为。 统计分析异常行为 操作系统日志管理,并识别违反安全策略的用 户活动等

4.1.3 入侵检测系统的功能及分类 1、入侵检测系统的功能 ❖ 监测并分析用户和系统的活动，查找非法用户 和合法用户的越权操作。 ❖ 检查系统配置和漏洞，并提示管理员修补漏洞 （现在通常由安全扫描系统完成）。 ❖ 评估系统关键资源和数据文件的完整性。 ❖ 识别已知的攻击行为。 ❖ 统计分析异常行为。 ❖ 操作系统日志管理，并识别违反安全策略的用 户活动等

2.入侵检测的分类 对入侵检测技术的分类方法很多,根据着眼 点的不同,主要有下列几种分法:按数据来源和 系统结构分类,入侵检测系统分为3类:基于主机 的入侵检测系统,基于网络的入侵检测系统,分 布式入侵检测系统(混合型)。根据数据分析方 法(也就是检测方法)的不同,可以将入侵检测 系统分为2类:异常检测和误用检测。按数据分析 发生的时间不同,入侵检测系统可以分为2类:离 线检测系统与在线检测系统。按照系统各个模块 运行的分布方式不同,可以分为2类:集中式检测 系统和分布式检测系统

2．入侵检测的分类 对入侵检测技术的分类方法很多，根据着眼 点的不同，主要有下列几种分法：按数据来源和 系统结构分类，入侵检测系统分为3类：基于主机 的入侵检测系统，基于网络的入侵检测系统，分 布式入侵检测系统（混合型）。根据数据分析方 法（也就是检测方法）的不同，可以将入侵检测 系统分为2类：异常检测和误用检测。按数据分析 发生的时间不同，入侵检测系统可以分为2类：离 线检测系统与在线检测系统。按照系统各个模块 运行的分布方式不同，可以分为2类：集中式检测 系统和分布式检测系统

414入侵响应( ntrusion Response 入侵响应就是当检测到入侵或攻击时,采取适当 的措施阻止入侵和攻击的进行。入侵响应系统分类也有 几种分类方式,按响应类型可分为:报警型响应系统、 人工响应系统、自动响应系统;按响应方式可分为:基 于主机的响应、基于网络的响应;按响应范围可分为: 本地响应系统、协同入侵响应系统。当我们检测到入侵 攻击时,采用的技术很多,又大致可分为被动入侵响应 技术和主动入侵响应技术。被动入侵响应包括:记录安 全事件、产生报警信息、记录附加日志、激活附加入侵 检测工具等。主动入侵响应包括隔离入侵者IP、禁止被 攻击对象的特定端口和服务、隔离被攻击对象、警告攻 击者、跟踪攻击者、断开危险连接、攻击攻击者等

4.1.4 入侵响应（Intrusion Response） 入侵响应就是当检测到入侵或攻击时，采取适当 的措施阻止入侵和攻击的进行。入侵响应系统分类也有 几种分类方式，按响应类型可分为：报警型响应系统、 人工响应系统、自动响应系统；按响应方式可分为：基 于主机的响应、基于网络的响应；按响应范围可分为： 本地响应系统、协同入侵响应系统。当我们检测到入侵 攻击时，采用的技术很多，又大致可分为被动入侵响应 技术和主动入侵响应技术。被动入侵响应包括：记录安 全事件、产生报警信息、记录附加日志、激活附加入侵 检测工具等。主动入侵响应包括隔离入侵者IP、禁止被 攻击对象的特定端口和服务、隔离被攻击对象、警告攻 击者、跟踪攻击者、断开危险连接、攻击攻击者等

Garfinkel和 Spafford于1996年 不好情都堡范(不要第了 Zwcy针对人侵攻击提出了如下七步建议: 第一步:估计形势并决定需要做出那些响应 第二步:如果有必要就断开连接或关闭资源 第三步:事故分析和响应 第四步:根据响应策略向其他人报警 第五步:保存系统状态 第六步:恢复遭到攻击的系统工程 第七步:记录所发生的一切

Garfinkel和Spafford于1996年推荐了两个重要 的响应方案：第一个是保持冷静，不要惊慌。第 二个是对每件事情都进行记录。Chapman与 Zwicky也针对入侵攻击提出了如下七步建议： 第一步：估计形势并决定需要做出那些响应 第二步：如果有必要就断开连接或关闭资源 第三步：事故分析和响应 第四步：根据响应策略向其他人报警 第五步：保存系统状态 第六步：恢复遭到攻击的系统工程 第七步：记录所发生的一切