【文章內容簡介】 入侵檢測系統是一個典型的“窺探設備”。 入侵監(jiān)測系統處于防火墻之后對網絡活動進行實時檢測。許多情況下，可以與防火墻聯動，可以記錄和禁止網絡活動，所以入侵監(jiān)測系統是防火墻的延續(xù)。它們可以和防火墻和路由器配合工作。 39 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 入侵檢測技術通過對入侵行為的過程與特征的研究，使安全系統對入侵事件和入侵過程能做出實時響應。 入侵檢測系統從分析方式上主要可分為兩種： （ 1）模式發(fā)現技術（模式匹配） （ 2）異常發(fā)現技術（異常檢測） 40 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 模式發(fā)現技術 的核心是維護一個知識庫。對于已知的攻擊，它可以詳細、準確的報告出攻擊類型，而且知識庫必須不斷更新。對所有已知入侵行為和手段（及其變種）都能夠表達為一種模式或特征，所有已知的入侵方法都可以用匹配的方法發(fā)現，把真正的入侵與正常行為區(qū)分開來。模式發(fā)現的優(yōu)點是誤報少， 局限 是它只能發(fā)現已知的攻擊，對未知的攻擊無能為力。 異常發(fā)現技術 先定義一組系統“正?！鼻闆r的數值，如 CPU利用率、內存利用率、文件校驗和等（這類數據可以人為定義，也可以通過觀察系統、并用統計的辦法得出），然后將系統運行時的數值與所定義的“正常”情況比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正?！鼻闆r。 異常發(fā)現技術的 局限 是并非所有的入侵都表現為異常，而且系統的“正常”標準難于計算和更新，并無法準確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發(fā)覺的攻擊。 41 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 目前，國際頂尖的入侵檢測系統 IDS主要以模式發(fā)現技術為主，并結合異常發(fā)現技術。 IDS一般從實現方式上分為兩種： （ 1）基于主機的 IDS （ 2）基于網絡的 IDS 42 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 基于網絡的 IDS使用原始的網絡分組數據包作為進行攻擊分析的數據源，一般利用網絡適配器（探測器）來實時監(jiān)視和分析所有通過網絡進行傳輸的通信。一旦檢測到攻擊， IDS應答模塊通過 通知、報警 以及中斷連接 等方式來對攻擊做出反應。 43 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 基于網絡的入侵檢測系統的主要優(yōu)點有： （ 1）成本低。 （ 2）攻擊者消除證據很困難。 （ 3）實時檢測和應答一旦發(fā)生惡意訪問或攻擊，基于網絡的 IDS檢測可以隨時發(fā)現它們，因此能夠更快地做出反應。從而將入侵活動對系統的破壞減到最低。 （ 4）能夠檢測未成功的攻擊企圖。 （ 5）操作系統獨立?；诰W絡的 IDS并不依賴主機的操作系統作為檢測資源，而基于主機的系統需要特定的操作系統才能發(fā)揮作用。 44 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 基于主機的 IDS一般監(jiān)視 Windows NT上的系統、事件、安全日志以及 UNIX環(huán)境中的 syslog文件。一旦發(fā)現這些文件發(fā)生任何變化， IDS將比較新的日志記錄與攻擊簽名以發(fā)現它們是否匹配。如果匹配的話，檢測系統就向管理員發(fā)出入侵報警并且發(fā)出采取相應的行動。 45 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 基于主機的 IDS的主要優(yōu)勢有： （ 1）非常適用于加密和交換環(huán)境。 （ 2）近實時的檢測和應答。 （ 3）不需要額外的硬件。 （ 4）確定攻擊是否成功。 （ 5）監(jiān)測特定主機系統活動。 46 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 以上兩種實現方式的集成化是 IDS的發(fā)展趨勢?；诰W絡和基于主機的IDS都有各自的優(yōu)勢，兩者可以相互補充。這兩種方式都能發(fā)現對方無法檢測到的一些入侵行為。 基于網絡的 IDS可以研究負載的內容，查找特定攻擊中使用的命令或語法，這類攻擊可以被實時檢查包序列的 IDS迅速識別。 而 基于主機的 IDS無法看到負載，因此也無法識別嵌入式的負載攻擊。聯合使用基于主機和基于網絡這兩種方式能夠達到更好的檢測效果。 47 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 1．信息收集 2．信號分析 3．實時記錄、報警或有限度反擊 48 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 防火墻 入侵檢測系統 設備類型 多端口主機，數據轉發(fā)設備，完成類似于交互機或路由器的功能。 一般單接口，數據采集、分析設備。 流量處理機制 過濾。 無處理。 對受檢報文的操作 大量的讀寫操作。需要修改各層報文的頭或內容。 只作簡單的拷貝，不修改原來的報文。 對鏈路速度的影響 取決于防火墻的轉發(fā)延遲。 IDS是旁路設備，不影響原有鏈中的速度。 可附加模塊 可實現網絡層以上加密、應用層病毒檢測、殺毒功能。 不能實現加密、殺毒功能，但可實現病毒檢測功能。 對入侵行為的處理 拒絕、報警、日志記錄。 報警、日志記錄和有限度反擊。 49 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 入侵檢測的準確性 迫于流量轉發(fā)負載的壓力，只對流量作普遍檢查，有可能發(fā)生漏報、誤報現象。 出了檢測以外，沒有任何業(yè)務負擔，而且龐大、詳盡的入侵知識庫可以提供非常準確的判斷識別，漏報誤報率大大低于防火墻。 對訪問日志的記錄 只作條目式記錄，框架較粗。 非常詳細，包括訪問的資源、報文內容。 設備穩(wěn)定性對網絡的影響 要求非常高，否則可能造成網絡鏈路的阻斷。 無論 IDS工作與否，都不會影響網絡的連通性和穩(wěn)定性。 應用層內容恢復 一般不提供應用層的內容恢復，但可以據此進行過濾和替換功能。 能夠完全恢復出應用層的信息，能夠對網絡特定的流量進行全程監(jiān)視、記錄，為管理員判斷進攻者、收集證據提供了強有力的手段。 對網絡層以下各協議的支持 由于防火墻對物理鏈路的隔斷，因此必須支持所有網絡層以下的協議方能維持原有網絡的正常動作， 沒有跨接任何物理鏈路，因此無此要求的。 50 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 安全漏洞掃描與網絡監(jiān)聽 51 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 安全漏洞掃描是網絡管理系統的重要組成部分，是對計算機系統或其它網絡設備進行相關安全檢測，以便發(fā)現安全隱患和可被黑客利用的漏洞。漏洞掃描的主要功能是仿真黑客入侵的手法去測試系統上有沒有安全上的漏洞，進而從掃描出的安全漏洞報告里告訴使用者系統上的安全漏洞有多少，如何去修補，到哪里下載補丁程序。 52 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 根據工作模式的不同，漏洞掃描一般可分為網絡型安全漏洞掃描器和主機型安全漏洞掃描器兩大類。其中前者基于網絡，通過請求／應答方式遠程檢測目標網絡和主機系統的安全漏洞。例如，用于審計的網絡安全分析工具和網絡安全掃描器等，后者基于主機，通過在主機系統本地運行代理程序來檢測系統漏洞，例如，操作系統漏洞掃描器和數據庫系統漏洞掃描器。 53 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 （ 1）網絡遠程掃描技術 （ 2） Web網站掃描技術 （ 3）系統安全掃描技術 （ 4）防火墻系統掃描技術 54 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 （ 1） TCP SYN掃描 （ 2） TCP FIN掃描 （ 3） TCP connect()掃描 （ 4） NULL掃描 （ 5） UDP ICMP端口不能到達掃描 55 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 網絡監(jiān)聽是管理員為了進行網絡安全管理，利用相應的工具軟件監(jiān)聽網絡的狀態(tài)和數據流動情況，以便及時發(fā)現網絡中的異常情況和不安全因素。 56 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 Ether協議的工作方式是：將要發(fā)送的數據包發(fā)到以太網的所有主機上，在包頭中包括有應該接收數據包的主機的正確地址，因為只有與數據包中目標物理地址一致的那臺主機才能接收到信息包。但是，當主機工作在監(jiān)聽模式下，無論數據包中的目標物理地址是什么，主機都將可以接收到。 57 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 （ 1）對于懷疑運行監(jiān)聽程序的機器，用正確的 IP地址和錯誤的物理地址 ping，運行監(jiān)聽程序的機器會有響應。這是因為正常的機器不接收錯誤的物理地址，處理監(jiān)聽狀態(tài)的機器能接收，但如果他的 IP stack不再次反向檢查的話，就會響應。 （ 2）向網上發(fā)大量不存在的物理地址的包，由于監(jiān)聽程序要分析和處理大量的數據包會占用很多的 CPU資源，這將導致性能下降。通過比較前后該機器性能加以判斷。這種方法難度比較大。 （ 3）使用反監(jiān)聽工具如 antisniffer等進行檢測。 58 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 （ 1）從邏輯或物理上對網絡分段 （ 2）以交換式集線器代替共享式集線器 （ 3）使用加密技術 （ 4）劃分 VLAN 59 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 病毒防范技術 為了減少病毒在企業(yè)網絡內部的傳播，必須采取有效的措施防范病毒的入侵。一般病毒的防范主要采取病毒的預防、病毒的檢測、以及殺毒技術，它們提供了完整的多級病毒保護系統，可以有效的保護網絡不受病毒的侵害。 60 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 （ 1）什么是網絡病毒 網絡病毒是一個新興的概念，在傳統的病毒分類里基本上沒有網絡病毒這個概念的，隨著網絡的廣泛應用，計算機病毒種類越來越多、傳染速度也越來越快、危害更是越來越大。病毒也有了一些網絡的特性。如今網絡病毒是一個廣義的概念，一般只要是利用網絡來進行傳染、破壞的都可以被稱為網絡病毒。 61 第 11章 網絡安全技術 達州職業(yè)技術學院 信息工程系 （ 2）網絡病毒具有以