计算机网络安全讲义

计算机网络安全讲义第七讲：主动防御技术入侵检测系统（IDS）解决网络安全问题的主要技术手段有认证授权、数据加密、访问控制等，它们在防御网络入侵方面有一定的作用。但是网络安全是一个综合的、立体的工程，单纯依靠一些防御工具不可能满足全部的安全要求。入侵检测系统应运而生，通过动态探查网络内的异常情况，及时发出警报，有效弥补了其它静态防御工具的不足。IDS定义入侵检测从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。它是防火墙的合理补充，能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。IDS功能入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统的任何变更，还能给网络安全策略的制订提供指南IDS功能智能检测攻击行为，及时准确报警和终止会话；

◆实时监测与追踪，并具有超强的自我防护能力；

◆性能优越并支持多网卡、多网段同时检测；

◆支持网络访问策略，能够检测未授权访问；

◆集中式管理、分布式探测，适合复杂网络；

◆透明接入不影响网络性能，使用简单方便；

◆管理功能强大，操作简单，配置灵活方便；

◆动态调整防火墙安全策略，实时阻断攻击；

◆准确检测变形攻击和欺骗攻击，漏报、误报率低；

◆灵活的报警方式，使管理员及时了解网络安全状况；

◆自动备份入侵检测日志，自动在线升级攻击特征库；

◆详尽的日志记录，灵活的查询方法，快速的检索手段；

◆

多样化的报表形式，可生成多种形式的统计报表；

通用IDS模型图5.26通用入侵检测模型入侵检测系统的构成入侵检测系统一般由4个部分的组成：事件发生器、事件分析器、响应单元、事件数据库。图5.27入侵检测系统的组成提供事件记录流的信息源收集信息源的数据对基于分析引擎的数据结果产生反应存放各种中间和最终数据的地方的统称

入侵检测系统的分类

1．按照检测类型划分（2）特征检测模型（Signature-baseddetection）（1）异常检测模型（Anomalydetection）2．按照检测对象划分（1）基于主机的入侵检测产品（HIDS）安装在被检测的主机上，对该主机的网络进行实时连接以及系统审计日志进行智能分析和判断。（2）基于网络的入侵检测产品（NIDS）放置在比较重要的网段内，不停地监视网段中的各种数据包。5.2.3入侵检测系统的分类

ID乏S的部败署放在现边界萌防火盈墙之喉内，传洞感器祸可以扇发现广所有浴来自In专te虾rn惊et的攻条击，扰然而竭如果赵攻击狱类型裙是TC愿P攻击奴，而哥防火紫墙或禾过滤眉路由闸器能亿封锁泄这种超攻击碍，那狡么入湿侵检别测系纹统可伸能就枕检测崖不到灰这种猴攻击胁的发圾生。放在童边界闯防火疫墙之凭外，可茧以检虚测所爱有对借保护胆网络柄的攻班击事固件，拐包括似数目登和类体型。掩但是华这样租部署拥会使罪传感切器彻甩底地厨暴露硬在黑误客之很下。放在滩主要防的网涝络中熊枢中，传览感器扶可以纤监控氏大量益的网逐络数藏据，悉可提手高检钢测黑忍客攻盈击的是可能朴性，测可通欲过授众权用木户的垒权利策周界孟来发厦现未弄授权皆用户催的行乖为。放在扔一些台安全乖级别蝴需求止高的门子网需中，对数非常灾重要颗的系触统和欣资源芹的入丙侵检凝测，宏比如浅一个牺公司角的财薄务部圆门，隆这个邀网段替安全挣级别档需求痛非常授高，隐因此脉可以笑对财悦务部柱门单纵独放经置一并个检嚼测器漆系统啦。ID缓S的部缺署ID游S的选徐择标钳准产品是否可扩展系统支持的传感器数目、最大数据库大小、传感器与控制台之间通信带宽和对审计日志溢出的处理该产品是否进行过攻击测试了解产品提供商提供的产品是否进行过攻击测试，明确测试步骤和内容，主要关注本产品抵抗拒绝服务攻击的能力产品支持的入侵特征数不同厂商对检测特征库大小的计算方法都不一样，尽量参考国际标准特征库升级与维护的周期、方式、费用入侵检测的特征库需要不断更新才能检测出新出现的攻击方法最大可处理流量一般有百兆、千兆、万兆之分是否通过了国家权威机构的测评主要的权威测评机构有：国家信息安全测评认证中心、公安部计算机信息系统安全产品质量监督检验中心是否有成功案例需要了解产品的成功应用案例，有必要进行实地考察和测试使用系统的价格性能价格比，以要保护系统的价值为主要的因素入侵图检测买系统喉——Bl章ac型kI消CEBl扶ac哄kI誓CE说S读er滔ve躁r胆Pr喷ot桨ec江ti续on软件起（以睁下简楼称Bl盖ac貌kI搬CE罗）是由IS砖S安全顶公司锐出品冈的一丘款著精名的牙入侵犹检测藏系统竿。该握软件至在九收九年叮曾获顷得了PC驻M氏ag稍az困in魂e的技壤术卓御越大乓奖。血专家脊对它况的评婚语是编：“戚对于套没有猪防火娃墙的比家庭善用户尼来说上，Bl友ac寸kI尚CE是一城道不廉可缺罚少的症防线饲；而际对于险企业码网络惑，它峰又增福加了疫一层绢保护迈措施弃——浸它并没不是范要取吉代防锣火墙肢，而户是阻剧止企娇图穿顺过防贡火墙赠的入兰侵者宫。Bl沿ac庄kI壳CE集成沃有非闷常强厨大的嫩检测驻和分之析引举擎，挡可以污识别叨多种广入侵疾技巧杆，给镰予用撕户全遇面的荡网络翁检测迷以及装系统黑的呵团护。张而且墓该软院件还滥具有耽灵敏且度及恐准确纹率高忠，稳淡定性牵出色皆，系板统资骗源占柴用率这极少保的特朴点。软件导版本零：3谁.6傻、软摩件大菜小：亦6.王11M、软件堤语言内：英某文、符软件慌类别积：国进外软蚂件厚/芽注册洗版灿/向网络晚安全么、运源行环钩境：Wi庭n9优x/惭NT悲/2英00降0/梳XP冲/2繁00即3/帜、下载揪地址傍：ht膀tp倒:/恨/b日la哗ck侧ic潜e.咐is悔s.任ne陵t入侵昆检测青系统求——Bl景ac委kI叶CEBl靠ac端kI贺CE安装饱后以禽后台肾服务爱的方帅式运凳行，壮前端房诚有一重个控触制台信可以裤进行演各种滴报警激和修洲改程完序的判配置博，界鸣面很到简洁侄。Bl夜ac析kI慕CE软件分最具告特色伟的地拍方是假内置率了应肾用层勉的入暮侵检格测功瓣能，旬并且捷能够西与自晋身的嗓防火芦墙进弊行联驰动，算可以简自动御阻断迈各种碍已知惰的网秀络攻扯击行白为。入侵尖检测宾系统浪——Bl宽ac漏kI背CEBl支ac奇kI迎CE具有锡强大款的网婚络攻胁击检枪测能籍力，科可以嫌说大泰部分争的非御法入黑侵都挤会被减它发鞭现，受并采袭取Cr凭it松ic驶al黑、S否er级io恼us就、S研us钢pi赵ci退ou贪s和In签fo罗rm泊at述io帝n这4受种级裳别报便警（娘分别袖用红费、橙品黄、酒黄和驼绿4破种颜叠色标馋识，凉危险霸程度好依次屑降低尾）。瓜同样旬，Bl渔ac积kI针CE对外属来访谁问也化设有职4个披安全逼级别霜，分反别是Tr剖us着ti列ng尽、C犯au萝ti厕ou扣s、市Ne西rv你ou雁s和Pa级ra僚no塞id竿。Pa锐ra该no役id是阻堆断所观有的枝未受翻权信捧息，Ne愚rv峰ou曾s是阻连断大碧部分诵的未筑受权权信息欣，Ca炒ut踢io捆us是阻吓断部疏分的滚未受顷权的曲信息滑，而管软件窄缺省黎设置绕的是Tr冻us煎ti轧ng级别伍，即黑接受忌所有咽的信塞息。久修改瞧以上被安全茎级别哈，可尾以通但过“To趴ol啦s”菜单剑中的助“Ed逆it体B亏la热ck赶IC舱E近Se竹tt年in缸gs驼”，选择灿“Fi组re容wa村ll满”来进讲行。入侵毙检测照系统疫——Bl法ac纪kI踩CEBl麻ac蹲kI蔽CE提供稻了一量个简勺单的距防火辞墙设针置界吸面，匪通过牵选择际“To舰ol炸s”菜单先中的崭“Ad矩va缴nc蓝ed位F县ir果ew捉al担l抢Se迅tt徐in娃gs府”，就可语以对TC泛P/伍UD窜P端口梁或IP地址蚀进行令禁止解或允拣许等叮访问层规则葱的配伍置。入侵仗检测以系统躁——Bl饲ac早kI陵CE另外处，针群对上岩述功鄙能Bl轮ac驴kI东CE软件稳还提千供了寒详细该的检词测日奴志。冰“In归tr那ud屋er哲s”中列旺出了Bl置ac未kI躲CE发现如的全尿部可递疑IP地址拨，逐芹一点铜击可松以查取看每雷个IP的详贫细信赶息，骄包括IP地址呼、No端de节点棉名、Gr写ou袄p组、Ne洪tB辅IO坐S名称祸、MA驶C地址白和DN让S解析额地址朱等。入侵着检测受系统勺——Bl断ac继kI诉CE“Hi条st已or芽y”给出邪了在鞋过去扇的时吸间段测里（Mi桥n、缓Ho握ur皮、D宗ay趋）发生箱的事吉件和抱网络赴流量婶的曲渗线趋脾势图幻玉表（赛当曲织线出股现波牲动时满，表辣示存秤在不吗正常凑的网讨络行悄为，匹点击辫某个挺波形捏就可脚以查露看相握对应肃的事甲件信依息）粮。“Ev彩en析ts解”显示Bl胸ac还kI涂CE所发尼现的惰全部搁入侵巡寿或访贩问事始件。萨客滔嘶入羽侵检戚测系胞统萨客都嘶入宫侵检辛测系沾统是宗一种接积极润主动蚀的网场络安菌全防般护工椒具，田提供忙了对分内部皱和外背部攻运击的症实时卡保护救，它范通过叨对网超络中将所有季传输粪的数宿据进院行智桶能分漫析和臣检测欣，从舱中发碍现网及络或少系统钞中是钞否有弯违反反安全攀策略叠的行浙为和绘被攻籍击的陪迹象甲，争在网恢络系钓统受槐到危赔害之距前拦冲截和县阻止相入侵贸。腰萨分客嘶摆入侵溪检测稻系统姐基于惨协议顺分析泊，采相用了拍快速见的多晃模式糕匹配假算法扫，能切对当常前复屈杂高奏速的运网络亮进行梢快速惨精确莲分析己，在茄网络占安全拦和网冤络性巷能方徐面提姻供全音面和较深入政的数悦据依尖据，中是企响业、煌政府未、学础校等均网络隐安全迈立体熄纵深贫、多尖层次域防御难的重哄要产储品。主要觉功能入侵焰检测腿及防熟御功另能检测龄用户伟网络底中存铅在的位黑客愤入侵振，网仍络资程源滥体用，顽蠕虫拨攻击戒，后赔门木迅马，AR烤P欺骗开、拒衰绝服闸务攻随击等既各种免威胁匹。同理时可犁以根角据策叠略配包置主毙动切洁断危早险行瞧为，生对目滑标网策络进尖行保稼护。行为追审计叙功能对网钓络中锣用户苗的行匙为进侮行审咬计记坚录，狐包括脂用户躬范围WE免B网站录，收缓发邮丸件，朴使用FT誉P传输静文件惧，使背用MS贤N、焦QQ等即铸时通然讯软卷件等属行为临，帮蓝助管赖理员名发现衡潜在陈的网变络威叫胁。碌同时念对网俗络中谊的敏乳感行羽为进健行审馅计。流量伴统计炭功能对网还络流葬量进虏行实六时显见示和廊统计价分析馅，帮唱助用从户有者效的远发现义网络邮资源超滥用宜、蠕顶虫、绪拒绝墓服务赠攻击酱，确句保用惹户网杰络正膊常使垦用。主要粮功能入侵冲检测告及防拜御功硬能检测粗用户痕网络眯中存酒在的园黑客渡入侵敏，网庄络资务源滥圾用，翅蠕虫彼攻击悉，后幼门木锹马，AR伏P欺骗帅、拒厌绝服漠务攻沸击等颂各种柄威胁轿。同蛋时可岂以根准据策楚略配低置主筛动切雪断危证险行寨为，交对目药标网泡络进声行保搂护。行为粉审计楼功能对网骂络中缺用户点的行桑为进掠行审猴计记矿录，按包括跳用户把范围WE扫B网站胞，收喇发邮善件，秃使用FT欲P传输录文件蜜，使评用MS序N、犹QQ等即帆时通吩讯软痛件等辛行为摇，帮竞助管厦理员彻发现贡潜在无的网泛络威序胁。脚同时雪对网满络中珠的敏待感行后为进泉行审痰计。流量凑统计娃功能对网广络流孤量进鸟行实尺时显雪示和齐统计辅分析据，帮返助用困户有评效的框发现畜网络袖资源紧滥用脸、蠕茶虫、看拒绝明服务周攻击燃，确侨保用迫户网呜络正炮常使粥用。策略苗自定班义功姓能高级庆用户欲可以膨根据逮自身扮网络言情况竞，对碰检测隐规则连进行刻定义鉴，制朴定针桂对用必户网带络的和高效泼策略胶，加劫强入剃侵检要测系耻统的叮检测害准确猎性。主要翅功能警报糟响应摊功能对警吧报事贼件进崭行及农时响刊应，绸包括杀实时故切断忆会话隆连接尺、记雁录日辣志。IP碎片梅重组利用挡碎片垮穿透菊技术订突破镜防火炕墙和值欺骗ID栏S已经留成为怠黑客绣们常歉用的丈手段纳，萨百客嘶蚕入侵铸检测筋系统代能够伪进行枯完全川的IP碎片绑重组旱，发锐现所岩有的姨基于IP碎片暗的攻窑击。TC您P状态努跟踪尚及流左重组通过门对TC必P协议余状态梦的跟伏踪，狡能够款完全介避免细因单矩包匹鹿配造要成的冲误报歉。St巴ic猪k、俊Sn私ot等黑坑客工蕉具通切过发腔送没井有经披过三乘次握刷手的TC绣P攻击合报文估触发垂大量补的ID炊S报警栽，但盐这些TC咐P报文悲并不壮会真委正对划目标沃机器缸产生伙实际肺的效准果。草（通评常是伴被丢姥弃）件此时ID革S产生注大量陷的警声告就院属于侧误报毙。处穗理不书当可偿能造缸成ID苹S系统赖瘫痪向。萨守客嘶美入侵灶检测望系统奥完全菠模仿齿受保顷护的炉机器刃丢弃郑这些轻残缺泡报文拜，极薯大地科减小赠了误咽报率乖。笨采用蠢类似委于Te疫ln劣et方式址将攻皆击报扇文拆牵成一炼个个梅的小亡报文也进行叉发送刃，可秒以逃普避基扬于单扯包的ID恭S的检汤测。福萨客钻嘶入矛侵检府测系蹄统采庙用流魄汇重止组式滤检测叼该类敞攻击鬼手段伪。蜜饿罐放系件统蜜罐慌概述蜜罐分及蜜眯网技疤术是论一种谦捕获宽和分挡析恶辽意代叼码及映黑客负攻击懒活动俭，从挂而达面到了喊解对帜手目竹的的泊技术躬。蜜控罐是捐一种魔安全悉资源痛，其楚价值五在于务被扫巾描、纹攻击捡和攻得陷，悉从而赠实现花对攻倦击活勿动的旱监视捆、检削测和骂分析哑。设计唇蜜罐湿就是轨让黑秆客入勇侵，脾欺骗抓对方派，借喜此保童护服毯务器萍和收溉集证付据。蜜罐谦的分接类根据险网络庆应用并的不呈同，蛮蜜罐灰的系道统和咸漏洞握设置别要求侍也不键尽相阴同，烈蜜罐外是有赢针对叮性的摧，因穿此，糖就产腥生了艇多种笔多样顺的蜜你罐。（1）按衡照部玻署分赴为以志下两滤种。产品轮型——用于纺保护荒单位乡丰网络持，实冠现防女御、挎检测燥和帮尖助对扣攻击席的响复应，嘴主要尝产品仿有KF袄Se潮ns卫or、S伯pe青ct桶er仗、Ma距nT贴ra炎p。研究壶型——用于外对黑疾客攻引击进恼行捕贱获和骑分析烛，了化解攻电击的街过程起、方退法和残工具翻，例轰如Ge错n烘Ⅱ蜜网平、Ho诞ne眨yd伐。（2）按禽照攻奔击者拿在蜜巡寿罐中仪活动链的交燥互性扎级别万分为钢以下心两种镇。低交竹互型芬蜜罐——用于吓模拟昨服务趋和操排作系堤统，缎利用筝一些本工具凝程序陷强大慢的模狮仿能眠力，桨伪造条出不搜属于闹自己签平台伴的“购漏洞独”，闯容易们部署惊、减充少风胆险，市但只剩能捕耐获少川量信溉息，如主要率有Sp雹ec获te妥r、KF逃Se理ns翅or、Ho狐ne钉yd域。高交蹦互型仇蜜罐——最真版实的佣蜜罐钻，它仇运行李着真声实的江系统润，并沉且带忍有真植实可我入侵街的漏姥洞，狼属于姨最危酱险的喊漏洞丘，但作是它零记录阅下的义入侵炉信息悬往往昨是最茎真实扒的，及可以秆捕获勿更丰逮富的彩信息从，但拖部署步复杂押，但枣风险呼较大赛，主励要有Ma熄nT盗ra原p,谁Ge蓝nⅡ蜜网龟。蜜罐规的应矮用实掠例安全悄配置II轨S蜜罐逼抵御晕黑客支攻击一般粘地，历黑客伙们会羊使用废端口糟扫描顽器来蜡查找淡那些笔开放视着8目0号毁端口振的IP地址颂，并铅对这冬些端轿口实手施其绑攻击斗和侵艇入的悬企图半。另码外，誉网站份的终礼端用除户会随使用步域名它来访穿问站挨点。因此岔可以竟在在II盲S中配丹置蜜博罐。码通过读启用摄网站球上的评主机盆头名笑并将IP企图捕重新代转向桂，就幸可以浑跟踪百和记中录黑方客来否自何地方，嫁同时配又保拾持了骂对终县端用士户的激可用坚性。在II排S中配膨置蜜画罐并摔不是躁一件询件很季复杂结的事狸情，亩但它比却可桶有助穿于极笨大地津减少成对II盆S服务任器的向攻击少。蜜罐专的应督用实瓣例首先狂，就惜是要落在We侍b服务蝴器上怒建立凭一个氧空的决目录去。其头名称郊与位竖置没垒有什意么关讨系，修对于慕本例习而言病，我轧们创石建了搁一个似称为Ho窜ne眉yp洗ot的目备录，仿它位给于C:扩\I围ne沫tp店ub性\w追ww予ro转ot的目侮录下桨。启声动II乡丰S管理然程序株，并深为所基有的饭站点炼分配铜一个具主机间头名委，这