网络安全技术

问题提出 记住两句话 真正的安全是一种意识，而非技术! 世界上没有一种技术能够真正保证绝对安全，即没有一种技术可以百分百解决网络上的所有问题！

问题提出 单一产品的缺陷 1 动态多变的网络环境 2 防御方法和防御策略的有限性 3 来自外部和内部的威胁

网络安全技术 1 入侵检测基本知识 第5章 入侵检测技术 2 入侵检测系统简介 3 IDS解决方案 4 IDS相关产品 5 本章作业

入侵检测基本知识 入侵：是指任何企图危及资源的完整性、机密性和可用性的活动 入侵检测的概念 入侵：是指任何企图危及资源的完整性、机密性和可用性的活动 入侵检测：指识别非法用户未经授权使用计算机系统，或合法用户越权操作计算机系统的行为，通过对计算机网络中若干关键点或计算机系统资源信息的收集并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和攻击的迹象

入侵检测基本知识 入侵检测技术是为保证计算机系统和计算机网络系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术 入侵检测的概念 入侵检测技术是为保证计算机系统和计算机网络系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术 入侵检测系统IDS(Intrusion Detection System)：完成入侵检测功能的软件、硬件组合，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警

入侵检测基本知识 入侵检测系统的作用和目的 …… 智能发现攻击 记录并发出报警信息 启动响应动作 内部网 交换机 Internet

入侵检测系统的作用和目的 Internet 实时检测：实时地监视、分析网络中所有的数据包；发现并实时处理所捕获的数据包 交换机 内部网

入侵检测系统的作用和目的 Internet 安全审计：对系统记录的网络事件进行统计分析；发现异常现象；得出系统的安全状态，找出所需要的证据 内部网 交换机 Internet

入侵检测系统的作用和目的 入侵检测系统的作用 主动响应：主动切断连接或与防火墙联动，调用其他程序处理 内部网 交换机 Internet

入侵检测系统的作用和目的 Internet 防范透过防火墙的入侵：利用应用系统漏洞及后门实施的入侵；利用防火墙配置失误实施的入侵 交换机 入侵检测系统的目的 防范透过防火墙的入侵：利用应用系统漏洞及后门实施的入侵；利用防火墙配置失误实施的入侵 内部网 交换机 Internet

入侵检测系统的作用和目的 Internet 入侵检测系统的目的 防范来自内部网的入侵：内部网的攻击占总的攻击事件的80%；没有监测的内部网是内部人员的“自由王国” 内部网 交换机 Internet

入侵检测系统的作用和目的 入侵检测系统的目的 对网络行为的审计，防范无法自动识别的恶意破坏 内部网 交换机 Internet

入侵检测基本知识 功能互补，通过合理搭配部署和联动提升网络安全级别 检测来自外部和内部的入侵行为和资源滥用 在关键边界点进行访问控制 IDS与防火墙的关系 功能互补，通过合理搭配部署和联动提升网络安全级别 检测来自外部和内部的入侵行为和资源滥用 在关键边界点进行访问控制 实时的发现和阻断

入侵检测基本知识 IDS与防火墙的关系 相辅相成，在网络安全中承担不同的角色 防火墙 IDS 保护 发现 审计

入侵检测基本知识 都是简化管理员的工作，发现网络中的问题 扫描器是完全主动式安全工具，能够了解网络现有的安全水平 IDS与扫描器的关系 都是简化管理员的工作，发现网络中的问题 扫描器是完全主动式安全工具，能够了解网络现有的安全水平 IDS 是相对被动式安全工具，能够了解网络中即时发生的攻击

入侵检测基本知识 入侵检测的步骤 信息收集 数据分析 响应

入侵检测的步骤 信息收集 系统日志 文件异常改变 程序执行异常行为 物理形式入侵信息

入侵检测的步骤 信息收集 系统日志 文件异常改变 程序执行异常行为 物理形式入侵信息 日志文件中记录了各种行为类型及每种类型的不同信息

入侵检测的步骤 信息收集 系统日志 文件异常改变 程序执行异常行为 物理形式入侵信息 包含很多具有重要信息的文件和私有数据文件

入侵检测的步骤 系统日志 文件异常改变 程序执行异常行为 物理形式入侵信息 信息收集 系统日志 文件异常改变 程序执行异常行为 物理形式入侵信息 包括OS、网络服务用户启动的程序等，每个执行的程序由一个或多个进程来实现

入侵检测的步骤 信息收集 系统日志 文件异常改变 程序执行异常行为 物理形式入侵信息 未授权的网络硬件连接；对物理资源的未授权访问

入侵检测的步骤 数据分析 模式匹配 统计分析 完整性分析

入侵检测的步骤 数据分析 实时的 入侵检测 模式匹配 统计分析 完整性分析 事后 分析

入侵检测的步骤 模式匹配 统计分析 完整性分析 数据分析 模式匹配 统计分析 完整性分析 模式匹配就是将收集到的信息与已知的网络入侵，和系统误用模式数据库进行比较，从而发现违背安全策略的行为

入侵检测的步骤 模式匹配 统计分析 完整性分析 优点：只收集相关数据集合，减少系统负担，技术成熟，检测准确率和效率高 数据分析 模式匹配 统计分析 完整性分析 优点：只收集相关数据集合，减少系统负担，技术成熟，检测准确率和效率高 弱点：无法检测到从未出现过的攻击手段，需要不断升级

入侵检测的步骤 模式匹配 统计分析 完整性分析 数据分析 首先为系统对象创建一个统计描述，统计正常使用时的一些测量属性,测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，则认为有入侵发生

入侵检测的步骤 模式匹配 统计分析 完整性分析 优点: 可检测到未知的入侵和更为复杂的入侵 数据分析 模式匹配 统计分析 完整性分析 优点: 可检测到未知的入侵和更为复杂的入侵 缺点: 误报、漏报率高，且不适应用户正常行为的突然改变

入侵检测的步骤 模式匹配 统计分析 完整性分析 数据分析 关注某个文件或对象是否被更改，包括文件和目录的内容及属性 优点: 能够发现攻击导致文件或其它对象的任何改变 缺点:不实时响应，一般以批处理方式实现

入侵检测的步骤 将分析结果记录在日志文件中，并产生相应的报告 响应 将分析结果记录在日志文件中，并产生相应的报告 触发警报，如在系统管理员的桌面上产生一个告警标志位，向系统管理员发送传呼或电子邮件等等 修改入侵检测系统或目标系统，如终止进程、切断攻击者的网络连接, 或更改防火墙配置等

入侵检测系统简介 入侵检测系统的基本结构 响应单元 事件数据库 事件分析器 事件产生器 原始数据

入侵检测系统简介 入侵检测系统的基本结构 数据收集器 数据分析器 控制台 响应单元 事件数据库 事件分析器 事件产生器 原始数据

入侵检测系统简介 响应单元 事件数据库 事件分析器 事件产生器 原始数据 入侵检测系统的基本结构 位于IDS的最低层，功能是从整个网络环境中获取事件,并向其部分提供事件 响应单元 事件数据库 事件分析器 事件产生器 原始数据

入侵检测系统简介 入侵检测系统的基本结构 响应单元 事件数据库 事件分析器 分析得到的数据,并产生结果 事件产生器 原始数据

入侵检测系统简介 响应单元 事件数据库 事件分析器 事件产生器 原始数据 入侵检测系统的基本结构 存放各种中间和最终数据可以是复杂的数据库,也可以是简单的文本文件 响应单元 事件数据库 事件分析器 事件产生器 原始数据

入侵检测系统简介 响应单元 事件数据库 事件分析器 事件产生器 原始数据 入侵检测系统的基本结构 对分析结果作出反应。如：切换连接、改变文件属性等。也可给出简单的报警 响应单元 事件数据库 事件分析器 事件产生器 原始数据

入侵检测系统简介 完整的控制台应包括： 响应单元 警报信息查询 探测器管理 规则库管理 事件数据库 事件分析器 用户管理 事件产生器 入侵检测系统的基本结构 完整的控制台应包括： 警报信息查询 探测器管理 规则库管理 用户管理 响应单元 事件数据库 事件分析器 事件产生器 原始数据

入侵检测系统简介 探测器：监视、发现攻击，报告控制器 控制器：接受报警信息，控制探测器 分布式结构，控制台管理多个探测器 入侵检测系统的基本结构 控制台 探测器：监视、发现攻击，报告控制器 控制器：接受报警信息，控制探测器 分布式结构，控制台管理多个探测器 探测器 探测器

入侵检测系统简介 入侵检测系统的类型 基于主机的入侵检测系统（HIDS） 基于网络的入侵检测系统（NIDS）

入侵检测系统的类型 HIDS是在系统一级进行的入侵检测 检测目标是主机系统和系统本地用户 安装在被检测的主机上 对被检测主机的网络实时连接以及对系统审计日志进行智能分析和判断，发现不寻常的改动后采取相应的措施

入侵检测系统的类型 基于主机的入侵检测系统的原理 基于主机的入侵检测系统（HIDS） 审计记录 配置系统库 报警 应急措施 入侵检测系统 误用模式库 配置系统库 审计记录 报警 应急措施 入侵检测系统 系统操作 主机系统

入侵检测系统的类型 优势：监视特定的系统活动；接近实时的检测和响应；不需要额外的硬件设 基于主机的入侵检测系统（HIDS） 优势：监视特定的系统活动；接近实时的检测和响应；不需要额外的硬件设 不足：会降低应用系统的效率；全面布署 HIDS 代价大；依赖于服务器固有的日志和监视能力；无法进行网络上的入侵检测

入侵检测系统的类型 基于网络的入侵检测系统（HIDS） 通过硬件或软件对网络上的数据包进行实时检查，并与系统的网络安全数据库的入侵特征进行比较、分析，一旦发现有被攻击的迹象，立刻根据用户所定义的动作做出反应，如切断网络连接，或通知防火墙系统对访问控制策略进行调整，将入侵的数据包过滤掉

入侵检测系统的类型 基于网络的入侵检测系统的原理 基于网络的入侵检测系统（HIDS） 响应单元 应急措施 事件 数据库 配置新 的规则 过滤器、网络接口引擎器及过滤规则决策器 响应单元 应急措施 事件 数据库 配置新 的规则 事件分析器 事件产生器 网络接口

入侵检测系统的类型 优势：能够检测基于主机的入侵检测漏掉的攻击；攻击者不易转移证据；实时检测和响应；与操作系统无关 基于网络的入侵检测系统（HIDS） 优势：能够检测基于主机的入侵检测漏掉的攻击；攻击者不易转移证据；实时检测和响应；与操作系统无关 弱点：不能检测到所有的数据包；不容易实现一些复杂的需要大量计算与分析时间的攻击检测

入侵检测系统的类型 NIDS使用监听的方式，在网络通信中寻找符合网络入侵模板的数据包；HIDS在宿主系统审计日志文件或其他操作中寻找攻击特征 两种系统的比较 NIDS使用监听的方式，在网络通信中寻找符合网络入侵模板的数据包；HIDS在宿主系统审计日志文件或其他操作中寻找攻击特征 NIDS独立于被保护的机器之外；HIDS安装在被保护的机器之上

入侵检测系统简介 入侵检测系统的主要方法 误用检测方法 异常检测方法

入侵检测系统的主要方法 是对不正常的行为进行建模，这些行为是以前确认了的误用或攻击 误用检测方法 是对不正常的行为进行建模，这些行为是以前确认了的误用或攻击 误用检测器分析系统的活动，发现那些与预先定义好了的攻击特征相匹配的事件或事件集 误用检测往往也被叫做基于特征的检测

入侵检测系统的主要方法 采用的常用方法是模式匹配 误用检测方法 采用的常用方法是模式匹配 模式匹配建立一个攻击特征库，检查发过来的数据是否包含这些攻击特征(如特定的命令等)，然后判断它是不是攻击

入侵检测系统的主要方法 优点：只收集相关的数据集合，显著减少系统负担，且技术已相当成熟，检测准确率和效率都相当高 误用检测方法 优点：只收集相关的数据集合，显著减少系统负担，且技术已相当成熟，检测准确率和效率都相当高 弱点：需要不断的升级以对付不断出现的攻击手法,不能检测到从未出现过的攻击手段

入侵检测系统的主要方法 比如，下面的语句： Port 25:{“WIZ”|“DEBUG”} 误用检测方法 比如，下面的语句： Port 25:{“WIZ”|“DEBUG”} 表示：检查25号端口传送的数据中是否有“WIZ”或“DEBUG”关键字

入侵检测系统的主要方法 异常检测方法 是一种在不需要操作系统及其安全性缺陷的专门知识的情况下，就可以检测入侵者的方法，同时也是检测冒充合法用户的入侵者的有效方法 是对正常行为建模，所有不符合这个模型的事件就被怀疑为攻击

入侵检测系统的主要方法 异常检测方法 异常检测首先收集一段时期正常操作活动的历史数据，再建立代表用户、主机或网络连接的正常行为轮廓，然后收集事件数据并使用各种方法来决定所检测到的事件活动是否偏离了正常行为模式

入侵检测系统的主要方法 异常检测采用的方法主要有统计分析方法等 异常检测方法 异常检测采用的方法主要有统计分析方法等 对于网络流量，可以使用统计分析的方法进行监控，这样可以防止拒绝服务攻击(DDos)等攻击的发生

入侵检测系统的主要方法 假定某端口处每秒允许的最大尝试连接次数是1000次，则检测某个时间段内连接次数是否异常的描述如下： 异常检测方法 假定某端口处每秒允许的最大尝试连接次数是1000次，则检测某个时间段内连接次数是否异常的描述如下： set max-connect-number = 1000/s; set state =normal; connect-number = count(connect); if(connect-number> max-connect-number) { set state= abnormal; /*进行异常处理；*/ }

基本原则: 探测器的位置必须看到所有的数据包 入侵检测系统解决方案 IDS部署思想 理解网络拓扑 理解需求（哪些信息流需要检测） 得出可行的接入点和接入方式 能否优化 基本原则: 探测器的位置必须看到所有的数据包

入侵检测系统解决方案 IDS典型应用环境 共享局域网：由共享的HUB连接各个主机 探测器

简单交换网：指交换机能够监听所有端口的网络 入侵检测系统解决方案 IDS典型应用环境 简单交换网：指交换机能够监听所有端口的网络 1 2 探测器

入侵检测系统解决方案 IDS典型应用环境 复杂交换网络：由于可能存在多个不同的交换机，因此要想让一个探测器监听所有的交换机上的内容是不太可能实现的，因此必须有多个探测器进行监听。从某种程度上来说，一个复杂的网络可以由多个简单的交换式网络或者共享式网络组成。只要保证所有子网的流量能被探测器捕获就可以实现对整个网络安全的控制

入侵检测系统解决方案 IDS典型应用环境 复杂交换网络

入侵检测系统解决方案 IDS部署实例 IDS部署实例一：小型简单网络环境

入侵检测系统解决方案 IDS部署实例 IDS部署实例一：小型简单网络环境

入侵检测系统解决方案 IDS部署实例 网络结构相对复杂，内部网各机构间使用交换式HUB或从交换机连接到主交换机上，通过主交换机连接路由器接入Internet，此时, 在主交换机的监听口上无法监听到从交换机上的机器间的通信。为全面监控网络，捕捉来源于外部或内部网间的攻击行为，使用多台探测器分别连接到各交换机上，通过控制台进行统一管理

入侵检测系统解决方案

入侵检测系统相关产品 IDS相关产品（NIDS） 安氏、启明星辰、金诺网安、联想、东软、绿盟科技、中科网威、思科、CA ……

IDS相关产品（NIDS） 产品名称：领信IDS 安氏 产品名称：领信IDS 主要产品：2600型Professional系列、 1600型Professional系列、 200型Professional系列、100型Professional系列 公司网址：bj.is-one.net

IDS相关产品（NIDS） 优点：基于状态保持的应用协议分析技术；支持取证和分析功能 安氏 优点：基于状态保持的应用协议分析技术；支持取证和分析功能 缺点：支持的攻击特征数少（1200）；病毒蠕虫检测能力弱；升级更新周期长（平均每两周更新一次）

IDS相关产品（NIDS） 产品名称：天阗 启明星辰 产品名称：天阗 主要产品：天阗S1100、天阗S500、天阗S120、天阗S220、天阗S320、天阗S420、天阗S520、天阗NS500、天阗 NS 2800 公司网址：www.venustech.com.cn

IDS相关产品（NIDS） 优点：误报率低；攻击特征数有2600多种；运行和天镜扫描器联动 启明星辰 优点：误报率低；攻击特征数有2600多种；运行和天镜扫描器联动 缺点：管理和控制端口采用私有协议，存在安全隐患；实时监控能力弱，不能监视网络流量，实时会话；对系统资源监控能力弱，仅支持有限层的级联部署；对病毒蠕虫检测能力弱

IDS相关产品（NIDS） 产品名称：金诺网安 主要产品：KIDS 1250-1700-TX、 KIDS-SW100-L1、金诺网安V8.2B 公司网址：www.kingnet.biz

IDS相关产品（NIDS） 优点：系统存储于光盘，稳定性好；支持和榕基扫描器联动 金诺网安 优点：系统存储于光盘，稳定性好；支持和榕基扫描器联动 缺点：不提供报文回放，误报率高；无病毒蠕虫检测能力，不支持智能协议分析；异常检测能力差；不提供基于状态的检测

IDS相关产品（NIDS） 产品名称：联想网御IDS 主要产品：网御IDS N800、网御IDS N2000、网御IDS N5000、网御IDS N200 公司网址：www.infosec.com.cn

IDS相关产品（NIDS） 优点：基于硬件的管理员身份认证；支持IDS和IPS双模式检测 联想 优点：基于硬件的管理员身份认证；支持IDS和IPS双模式检测 缺点：支持的攻击特数少（1500）；N200和N2000管理方法和特征库不兼容；支持定制报表数量少

IDS相关产品（NIDS） 优点：系统集成扫描器；监控的TCP连接数多 东软 优点：系统集成扫描器；监控的TCP连接数多 缺点：阻断连接方面功能欠缺；攻击特征数少（1500）；不支持千兆高端，不支持病毒蠕虫检测

IDS相关产品（NIDS） 产品名称：冰之眼 主要产品：200系列、600系列、1200系列等 公司网址：www.nsfocus.com 绿盟科技 产品名称：冰之眼 主要产品：200系列、600系列、1200系列等 公司网址：www.nsfocus.com

IDS相关产品（NIDS） 优点：支持较多的应用层协议；升级更新速度快（重大安全问题3日内）；多点备份，多监听接口 绿盟科技 优点：支持较多的应用层协议；升级更新速度快（重大安全问题3日内）；多点备份，多监听接口 缺点：产品功能简单；不支持病毒蠕虫检测

IDS相关产品（NIDS） 产品名称：天眼IDS 主要产品：NPIDS-N-HP-SB、 NPIDS-N-HP-GB 中科网威 产品名称：天眼IDS 主要产品：NPIDS-N-HP-SB、 NPIDS-N-HP-GB 公司网址：www.netpower.com.cn

IDS相关产品（NIDS） 优点：使用浏览器就可以访问控制台 缺点：攻击特征数少；升级支持不到位；IP碎片生组能力差；不支持病毒蠕虫检测 中科网威 优点：使用浏览器就可以访问控制台 缺点：攻击特征数少；升级支持不到位；IP碎片生组能力差；不支持病毒蠕虫检测

IDS相关产品（NIDS） 产品名称：Cisco IDS 思科 产品名称：Cisco IDS 主要产品：4200系列设备检测器：4210、4235、4250；Cisco Catalyst 6500系列（IDSM-2）服务模块 公司网址：www. cisco.com

IDS相关产品（NIDS） 优点：针对6500服务器的专用模块；具有启发式检测功能 思科 优点：针对6500服务器的专用模块；具有启发式检测功能 缺点：攻击特征数少（1000）；升级周期（每月更新）；管理界面差，不符合国人使用习惯；各方面功能少，不具备实时监控能力

IDS相关产品（NIDS） CA 产品名称：eTrust IDS 主要产品：eTrust IDS 公司网址：www. ca-jc.com

IDS相关产品（NIDS） CA 优点：可以检测/阻止包含病毒的网络数据流；支持URL/关键字过滤 缺点：攻击特征数少；性能较差

入侵检测系统相关产品 误报是指被入侵检测系统报警的是正常及合法使用受保护网络和计算机的访问 IDS面临的挑战 误报是指被入侵检测系统报警的是正常及合法使用受保护网络和计算机的访问 一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击

入侵检测系统相关产品 IDS面临的挑战 误报是入侵检测系统最头疼的问题，攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报，而诱导没有警觉性的管理员人把入侵检测系统关掉

入侵检测系统相关产品 误报的原因是：缺乏共享数据的机制；缺乏集中协调的机制；缺乏揣摩数据在一段时间内变化的能力；缺乏有效的跟踪分析 IDS面临的挑战 误报的原因是：缺乏共享数据的机制；缺乏集中协调的机制；缺乏揣摩数据在一段时间内变化的能力；缺乏有效的跟踪分析

入侵检测技术章作业 什么是入侵检测系统?简述入侵检测系统面临的挑战。 简述入侵检测常用的方法。 简述入侵检测的步骤及每一步工作要点?

入侵检测技术章实验 实验要求 内容及要求参见附件 报告截止时间： 报告文件名：R学号-4