网络安全与IDS总结课件

网络安全与IDS组员：程芸芸谢瑶瑶王小雪主讲：谢瑶瑶学习导航网络安全什么是网络安全影响网络安全的因素入侵基本流程IDS（入侵检测系统）什么是IDSIDS的分类及其布曙IDS系统组成IDS工作流程IDS的未来IDS存在的不足IPS（入侵防御系统）CompanyLogo网络安全与IDSIDS的未来

入侵检测系统IDS

网络安全概述

CompanyLogo网络安全网络安全二.影响网络安全的因素一.什么是网络安全三.常见的入侵方法

CompanyLogo一.什么是网络安全网络安全：是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统能连续可靠正常地运行，网络服务不中断。网络安全应具有以下五个方面的特征：保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击；可控性：对信息的传播及内容具有控制能力。可审查性：出现安全问题时提供依据与手段构建网络安全系统，一方面由于要进行认证、加密、监听，分析、记录等工作，由此影响网络效率，并且降低客户应用的灵活性；另一方面也增加了管理费用。CompanyLogo二.影响网络安全的因素网络结构因素网络基本拓扑结构有3种：星型、总线型和环型。一个单位在建立自己的内部网之前，各部门可能已建造了自己的局域网，所采用的拓扑结构也可能完全不同。在建造内部网时，为了实现异构网络间信息的通信，往往要牺牲一些安全机制的设置和实现，从而提出更高的网络开放性要求。

网络协议因素在建造内部网时，用户为了节省开支，必然会保护原有的网络基础设施。另外，网络公司为生存的需要，对网络协议的兼容性要求越来越高，使众多厂商的协议能互联、兼容和相互通信。这在给用户和厂商带来利益的同时，也带来了安全隐患。如在一种协议下传送的有害程序能很快传遍整个网络。地域因素由于内部网Intranet既可以是LAN也可能是WAN(内部网指的是它不是一个公用网络，而是一个专用网络)，网络往往跨越城际，甚至国际。地理位置复杂，通信线路质量难以保证，这会造成信息在传输过程中的损坏和丢失，也给一些”黑客”造成可乘之机。用户因素企业建造自己的内部网是为了加快信息交流，更好地适应市场需求。建立之后，用户的范围必将从企业员工扩大到客户和想了解企业情况的人。用户的增加，也给网络的安全性带来了威胁，因为这里可能就有商业间谍或“黑客”主机因素建立内部网时，使原来的各局域网、单机互联，增加了主机的种类，如工作站、服务器，甚至小型机、大中型机。由于它们所使用的操作系统和网络操作系统不尽相同，某个操作系统出现漏洞(如某些系统有一个或几个没有口令的账户)，就可能造成整个网络的大隐患。CompanyLogo如何保证网络信息安全加密技术对称加密非对称加密认证技术数字签名数字证书使用网络安全设备防火墙IDSIPSCompanyLogo常见入侵主要有四种攻击方式中断、截获、修改和伪造。中断是以可用性作为攻击目标，它毁坏系统资源，使网络不可用。如Dos拒绝服务，synflood、arp欺骗、landattack、死亡之PING、

截获是以保密性作为攻击目标，非授权用户通过某种手段获得对系统资源的访问。如sniffer，IDS本身就是一个Sniffer修改是以完整性作为攻击目标，非授权用户不仅获得访问而且对数据进行修改。如Tcp会话劫持伪造是以完整性作为攻击目标，非授权用户将伪造的数据插入到正常传输的数据中。CompanyLogo基本入侵流程发现漏洞实施攻击收集目标机信息清理痕迹留下后门社会工程学主机扫描缓冲区溢出DoS存在什么漏洞替换系统文件安装木马或远程控制软件更改防火墙设置清理系统日志CompanyLogo缓冲区溢出CompanyLogo缓冲区溢出CompanyLogo网络安全与IDSIDS的未来

入侵检测系统IDS

网络安全概述

CompanyLogo网络安全IDS（入侵检测系统）二.IDS的分类及布曙一.

IDS简介三.IDS系统组成四.IDS工作流程CompanyLogo一、什么是IDS入侵检测：（IntrusionDetection）通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。入侵检测系统的发展概况1980年，JamesP.Anderson的《计算机安全威胁监控与监视》第一次详细阐述了入侵检测的概念1990年，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM，入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基主机的IDS从20世纪90年代到21世纪初，入侵监测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。CompanyLogoInternetIDS1IDS2IDS3IDS4子网A子网B交换机带主机IDS感应器的服务器服务器CompanyLogo二.IDS的分类及布曙根据检测对象的不同：基于主机的入侵检测系统基于网络入侵检测分布式的入侵检测系统按照其采用的方法：基于行为的入侵检测系统基于模型推理的入侵检测系统按照检测时间分为：实时入侵检测系统事后入侵检测系统CompanyLogo基于主机的入侵检测系统以系统日志、应用程序日志等作为数据源

主机型入侵检测系统保护的一般是所在的系统

CompanyLogo基于主机的入侵检测系统网络监测：即在数据包真正抵达主机之前对试图进入主机的数据包进行监测，以避免其进入系统后可能造成的损害。这点与基于网络的ID不同，因为它仅仅对已经抵达主机的数据进行监测，而后者则是对网络上的流量进行监控。如次一来就不需要把网卡设置成混杂模式了。主机监测：任何入侵企图都会在监测文件、文件系统、登录记录或其他主机上的文件中留下痕迹，系统管理员们可以从这些文件中找到相关痕迹。因此可以通过监测文件系统的变化来发现入侵。一旦系统被攻陷，入侵者就会立即开始更改系统的文件，或者更改一些设置以废掉IDS的功能。CompanyLogo一个基于主机的入侵检测系统LIDS文件保护：保护硬盘上任何类型的重要文件和目录，如/bin、/sbin、/usr/bin、/usr/sbin、/etc/rc.d等目录和其下的文件，以及系统中的敏感文件，如passwd和shadow文件，检测：

LIDS能检测到扫描并报告系统管理员。LIDS还可以检测到系统上任何违反规则的进程。响应：来自内核的安全警告，当有人违反规则时，LIDS会在控制台显示警告信息，将非法的活动细节记录到受LIDS保护的系统log文件中。LIDS还可以将log信息发到你的信箱中。LIDS还可以马上关闭与用户的会话。CompanyLogo基于网络的入侵检测系统数据源是网络上的数据包根据网络的拓扑结构的不同，入侵检测系统的监听端口可以接在共享媒质的集线器或交换机的镜像端口（SpanPort）上、或专为监听所增设的分接器（Tap）上。是一个典型的sniffer

设备内置的入侵知识库服务器核心交换机IDSCompanyLogo典型的基于网络的入侵检测系统SnortSnort:是一个用C语言开发的开源网络入侵检测系统，目前，Snort已发展成为一个集多平台,实时流量分析,网络IP数据包记录等特性的强大的网络入侵检测/防御系统。Snort可以三个模式运行：侦测模式（SnifferMode）：此模式下，Snort将在捕获网段内的所有数据包，并显示在屏幕上。封包纪录模式：此模式下，Snort将已捕获的数据包存入储存硬盘中。上线模式（inlinemode）：此模式下，Snort可对捕获到的数据包做分析的动作，并根据一定的规则来判断是否有网络攻击行为的出现。基本指令：若你想要在屏幕上显示网络数据包的报头（header）内容，使用./snort-v如果想要在屏幕上显示正在传输的数据包的报头内容，使用./snort-vd

如果除了以上显示的内容之外，欲另外显示数据链路层信息，使用./snort-vdeCompanyLogo三、入侵检测系统的组成响应单元事件分析器事件产生器事件数据库CompanyLogo模式匹配（特征库匹配举例）1．来自保留IP地址的连接企图2．带有非法TCP标志联合物的数据包可通过对比TCP报头中的标志集与已知正确和错误标记联合物的不同点来识别。3．含有特殊病毒信息的Email可通过对比每封Email的主题信息和病态Email的主题信息来识别，或者，通过搜索特定名字的附近来识别。4．查询负载中的DNS缓冲区溢出企图可通过解析DNS域及检查每个域的长度来识别利用DNS域的缓冲区溢出企图。还有另外一个识别方法是：在负载中搜索“壳代码利用”（exploitshellcode）的序列代码组合。5．通过对POP3服务器发出上千次同一命令而导致的DoS攻击通过跟踪记录某个命令连续发出的次数，看看是否超过了预设上限，而发出报警信息。6．未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击CompanyLogo统计分析1.统计分析方法首先给系统对象创建一个统计描述2.统计模型常用异常检测:在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。3.比较测量属性的平均值与网络、系统的行为例如，统计分析可能标识一个不正常行为，因为它发现一个在晚八点至早六点不登录的账户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的人侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。CompanyLogo常用的入侵检测5种统计模型为：操作模型:该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击。

方差:计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常。多元模型:操作模型的扩展，通过同时分析多个参数实现检测。马尔柯夫过程模型:将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件。时间序列分析:将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵，cpu使用。CompanyLogo完整性分析完整性分析主要关注某个文件或对象是否被更改如：文件和目录的内容及属性，它在发现被更改的、被特洛伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数(例如MDS)，它能识别哪怕是微小的变化。只要是成功的攻击导致了文件或其他对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。尽管如此，完整性检测方法还应该是网络安全产品的必要手段之一。例如，可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查。

CompanyLogo四、入侵检测系统工作流程步骤一：信息收集步骤三：结果处理详细日志记录、实时报警有限度的反击攻击源

步骤二：信号分析系统、网络、数据及用户活动的状态和行为

统计分析模式匹配完整性分析CompanyLogo其它常用入侵检测方法专家系统专家系统使用基于规则的语言为已知攻击建模，它把审计事件表述成语义的事实，推理引擎根据这些规则和事实进行判定。专家系统的建立依赖于知识库的完备性，知识库的完备性取决于审计记录的完备性和实时性。统计分析统计分析是通过设置极限闹值等方法，将检测数据与已有的正常行为加以比较，如果超出极限值，则认为是入侵行为。数据挖掘通过数据挖掘程序处理收集到的审计数据，为各种入侵行为和正常操作建立精确的行为模式，这是一个自动的过程。数据挖掘的关键点在于算法的选取和一个正确的体系结构的建立。神经网络神经网络具有自适应、自组织和自学习的能力，可以处理一些环境信息复杂、背景知识不清楚的问题。将神经网络技术应用于入侵检测系统，以检测未知攻击。来自审计日志或正常网络访问行为的信息，经数据信息预处理模块的处理后即产生输入向量。模糊理论人类思维、语言具有模糊性，模糊思维形式和语言表达具有广泛性、完美和高效的特征。人们的许多知识是模糊的，模糊知识在控制和决策中具有巨大的作用。由于计算机网络中的正常行为和异常行为难以很好地界定，使用模糊逻辑推理方法，入侵检测系统的误报率则会降低。免疫系统遗传算法遗传算法是基于自然选择，在计算机上模拟生物进化机制的寻优搜索法。CompanyLogo网络安全与IDSIDS的未来

入侵检测系统IDS

网络安全概述

CompanyLogoIDS的未来一、IDS的自身存在的不足尤其是IDS的误报和漏报现象很严重，常常出现许多虚假的信息，就像狼来了的故事一样，虚假警报过多，人们就会慢慢失去对他的信任以至于完全忽略。CompanyLogo一、IDS的软肋检测范围不够广：很少有哪家厂商能将特征检测、异常检测、拒绝服务攻击检测无缝地集成到一起，实现对已知攻击、新攻击和DoS攻击的检测。

检测效果不理想：主要指检测的准确度，IDS检测引擎最大的问题莫过于漏报和误报，很多IDS一天就能发出上千条虚假报警信息，让人目不暇接，而漏报的后果就更严重了。只能检测，不能防御：检测是一种被动的行为，当IDS发现入侵时往往已经为时太晚，根本来不及阻止。一个理想的安全防护产品必须引入主动的入侵防御能力，这也反映了当前和未来的市场需求。难以突破百兆瓶颈:被动侦听的架构和深层数据包分析决定了现在的IDS无法适用于高速或交换的网络环境，PC架构的处理器结构决定了其监控能力无法取得实质性的突破。性能有待提高：很多IDS都是PC/服务器硬件平台上运行的软件程序，而数据包的捕获、处理、分析都需要大量的计算，即使在窄带网络上，也会出现丢包、延时太长而导致检测不准确等问题。CompanyLogoIPS在网络中的位置服务器核心交换机IPSCompanyLogoIPS的组成CompanyLogo二、IPS的产生IPS，入侵防御系统：（IntrusionPreventionSystem）它的设计基于一种全