信息安全概论 第3版 课件 第9、10章 入侵检测技术、虚拟专用网技术

第9章入侵检测技术概述本章主要介绍入侵检测系统基本知识、入侵检测系统的分类、入侵检测系统的工作流程、入侵检测系统面临的问题及发展趋势。9.1入侵检测系统基本知识入侵检测，顾名思义，就是对入侵行为的发现。入侵检测系统(IDS:IntrusionDetectionSystem)就是能够完成入侵检测功能的计算机软硬件系统。它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测技术就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术9.1入侵检测系统基本知识入侵检测，9.1入侵检测系统基本知识入侵检测系统是一个相对主动的安全部件，可以把入侵检测看成网络防火墙的有效补充。图9.2是一个入侵检测系统的基本部署图。9.1入侵检测系统基本知识入侵检测技术的主要作用体现以下这些方面： 监控、分析用户和系统的活动； 评估关键系统和数据文件的完整性； 识别攻击的活动模式； 对异常活动进行统计分析 对操作系统进行审计跟踪管理，识别违反政策的用户动9.1入侵检测系统基本知识入侵检测作为安全技术其主要目的有：（1）识别入侵者；（2）识别入侵行为：（3）检测和监视已成功的安全突破；（4）为对抗入侵及时提供重要信息，阻止事件的发生和事态的扩大。从这个角度看待安全问题，入侵检测非常必要，它可以有效弥补传銃安全保护措施的不足。9.2入侵检测系统模型在入侵检测技术模型的发展变化大概可以分成三个阶段，分别是集中式、层次式和集成阶段。在每个阶段，研究人员都出研究出对应的入侵检测模型。其中研究者在集中式阶段研究出了通用入侵检测模型，在层次式阶段研究出了层次入侵检测模型，在集成式阶段研究出了管理式入侵检测模型。9.2入侵检测系统模型1.Denning入侵检测模型Denning入侵检测模型是一个基于规则的式匹配系统。该模型没有包含攻击方法和系统漏洞。它主要由主体、对象、审计记录、活动剖面、异常记录和规则集处理引擎六个部分组成，如图9.3所示。9.2入侵检测系统模型2.层次式入侵检测模型层次化入侵模型对收集到的数据进行加工抽象和关联操作，简了对跨域单机的入侵行为识别。层次化模型将IDS分为六个层次，由低到高分别是数据层、事件层、主体层、上下文层、威胁层、安全状态层。9.2入侵检测系统模型3.管理式入侵检测模型管理式入侵检测模型英文名称叫做SNMP-IDSM(SimpleNetworkManagementProtocol-IntrusionDetectionSystemsManagement),它从网络管理的角度出发解决多个IDS协同工作的问题。SNMP-IDSM以SNMP协议为公共语言来实现IDS之间的消息交换和协同检测。图9.4展示了SNMP-IDSM的工作原理。9.2入侵检测系统模型3.管理式入侵检测模型9.3入侵检测技术分类9.3.1根据各个模块运行分布方式的分类根据系统各个模块运行的分布不同，可以将入侵检测系统分为如下两类：1.集中式入侵检测系统。集中式入侵检测系统的各个模块包括信息的收集和数据的分析以及响应单元都在一台主机上运行，这种方式适用于网络环境比较简单的情况。2.分布式入侵检测系统。分布式入侵检测系统是指系统的各个模块分布在网络中不同的计算机和设备上，分布性主要体现在数据收集模块上，如果网络环境比较复杂或数据流量较大，那么数据分析模块也会分布，按照层次性的原则进行组织。9.3入侵检测技术分类9.3.2根据检测对象来分类1.基于主机的IDS，英文为Host-besedIDS9.3入侵检测技术分类9.3.2根据检测对象来分类2.基于网络的IDS，Network-basedIDS，行业上称之为NID9.3入侵检测技术分类9.3.3按照所采用的技术进行分类1.异常入侵检测系统。异常入侵检测系统是将系统正常行为的信息作为标准，将监控中的活动与正常行为相比较。在异常入侵检测系统中，假设所有与正常行为不同的行为都视为异常，而一次异常视为一次入侵。可以人为的建立系统正常所有行为事件，那么理论上可以把与正常事件不同的所有行为视为可疑事件。9.3入侵检测技术分类9.3.3按照所采用的技术进行分类1.异常入侵检测系统。9.3入侵检测技术分类9.3.3按照所采用的技术进行分类2.误用入侵检测系统。误用入侵检测系统是收集非正常操作的行为，建立相关的攻击特征库，依据所有入侵行为都能够用一种特征来表示，那么所有已知的入侵方法都可以用模式匹配的方法发现。9.3入侵检测技术分类9.3.3按照所采用的技术进行分类2.误用入侵检测系统。9.4入侵检测系统工作流程9.3.3按照所采用的技术进行分类通用的入侵检的工作流程主要分为以下四步:第一步：信息收集。信息收集的内容包括系统、网络、数据及用户活动的状态和行为这一步非常重要，因为入侵检测系统很大程度上依赖于收集信息的可靠性和正确性。第二步：信息分析。是指对收集到的数据信息，进行处理分析。一般通过协议规则分析模式匹配、通缉分析和完整性分析几种手段和方法来分析。9.4入侵检测系统工作流程9.3.3按照所采用的技术进行分类第三步：信息存储。当入侵检测系统捕获到有攻击发生时，为了便于系统管理人员对攻击信息进行査看和对攻击行为进行分析，还需要将入侵检测系统收集到的信息进行保存，这些数据通常存储到用户指定的日志文件或特定的数据库中。第四步：攻击响应。对攻击信息进行了分析并确定攻击类型后，入侵检测系统会根据用户的设置，对攻击行为进行相应的处理，如发出警报、给系统管理员发邮件等方式提醒用户。9.5典型的入侵检测系统Snort介绍1998年，MartyRoesch先生用C语言开发了开放源代码的入侵检测系统Snort。直至今天，Snort已发展成为一个多平台,实时流量分析，网络IP数据包记录等特性的强大的网络入侵检测系统。在网上可以通过免费下载获得Snort,并且只需要几分钟就可以安装并开始使用它。如图9.9为Snort的结构。9.5典型的入侵检测系统Snort介绍如图9.9为Snort的结构。9.5典型的入侵检测系统Snort介绍Snort的结构由4大软件模块组成，它们分别是：（1）数据包捕获模块——负责监听网络数据包，对网络进行分。（2）预处理模块——该模块用相应的插件来检查原始数据包，从中发现原始数据的“行为”，如端口扫描，IP碎片等，数据包经过预处理后才传到检测引擎。（3）检测模块——该模块是Snort的核心模块。当数据包从预处理器送过来后，检测引擎依据预先设置的规则检查数据包，一旦发现数据包中的内容和某条规则相匹配，就通知报警模块。（4）报警/日志模块——经检测引擎检查后的Snort数据需要以某种方式输出。9.6入侵检测技术存在的问题及发展趋势1.入侵检测技术存在的问题。入侵检测技术存在的问题主要为：IDS对攻击的检测效率和其对自身攻击的防护。2.入侵检测技术的发展趋势入侵检测技术的主要发展方向可以概括为：(1)分布式入侵检测（2）应用层入侵检测（3）智能入侵检测（4）与网络安全技术相结合(5)其它相关技术思考题1.入侵检测系统的作用是什么？2.什么是入侵检测技术?3.什么是异常入侵检测系统？4.什么是误用入侵检测系统？5.入侵检测系统的工作流程是什么？6.简述入侵检测系统的未来发展趋势。返回ThanksForAttendance!致谢第10章虚拟专用网技术概述本章简要介绍了为了信息系统什么要引入虚拟专用网、虚拟专用网优点和分类、虚拟专用网的工作原理、虚拟专用网技术原理、虚拟专用网使用举例等。10.1虚拟专用网概述虚拟专用网VPN(VirtualPrivateNetwork)通常是通过一个公用的网络（如Internet）建立一个临时的、安全的、模拟的点对点连接。这是一条穿越公用网络的安全信息隧道，信息可以通过这条隧道在公用网络中安全地传输。 虚拟专用网依靠Internet服务提供商ISP(InternetServiceProvider)和其它网络服务提供商NSP(NetServiceProvider)，在公用网络中建立专用的数据通信网络的技术。10.1虚拟专用网概述10.1.1VPN的需求经常很多时候需要在异地连接网络。例如企业员工在外出差或在家里需要连接公司服务器；或者有第三方需要接入公司服务器(如电子商务)；或者企业数据需要进行异地灾备；还有的企业分支机构需要连接总公司等，这时候最便宜最便捷的方式就是使用VPN技术。如图10.1所示很多地方需要接入VPN。10.1虚拟专用网概述10.1.1VPN的需求

10.1虚拟专用网概述10.1.1VPN的需求虚拟专用网VPN是在公用络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络如Internet、ATM（异步传输模式）、FrameRelay（帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。

10.1虚拟专用网概述10.1.2VPN的优点企业使用VPN有许多优点。具体来说虚拟专用网的提出就是来解决如下这些问题：(1)使用VPN可降低成本——通过公用网来建立VPN，就可以节省大量的通信费用，而不必投入大量的人力和物力去安装和维护WAN(广域网)设备和远程访问设备。通常租用电信的专用网络是很贵的。使用VPN可以降低企业使用网络的成本，这是VPN最大的优点。(2)传输数据安全可靠——虚拟专用网产品都是采用加密及身份验证等安全技术，保证连接用户的可靠性及传输数据的安全和保密性。

10.1虚拟专用网概述10.1.2VPN的优点(3)连接方便灵活——用户如果想与合作伙伴联网，如果没有虚拟专用网，双方的信息技术部门就必须协商如何在双方之间建立租用线路或帧中继线路，有了虚拟专用网之后，只需双方配置安全连接信息即可。(4)完全控制——虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源，对于其它的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立虚拟专用网。

10.1虚拟专用网概述10.1.3VPN的分类(1)Client－LAN类型的VPN也称为AccessVPN（远程接入VPN），即远程访问方式的VPN。10.1虚拟专用网概述(2)LAN－LAN类型的VPN，也称为IntranetVPN（内联网VPN），网关到网关，通过公司的网络架构连接来自同公司的资源。10.2VPN的工作原理VPN的工作流程如图10.4所示。通常情况下，VPN网关采取双网卡结构，外网卡使用公网IP接入Internet。10.2VPN的工作原理1.网络1(假定为公网internet)的终端A访问网络2(假定为公司内网)的终端B，其发出的访问数据包的目标地址为终端B的内部IP地址。2.网络1的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查，如果目标地址属于网络2的地址，则将该数据包进行封装，封装的方式根据所采用的VPN技术不同而不同，同时VPN网关会构造一个新VPN数据包，并将封装后的原数据包作为VPN数据包的负载，VPN数据包的目标地址为网络2的VPN网关的外部地址。10.2VPN的工作原理3.网络1的VPN网关将VPN数据包发送到Internet，由于VPN数据包的目标地址是网络2的VPN网关的外部地址，所以该数据包将被Internet中的路由正确地发送到网络2的VPN网关。4.网络2的VPN网关对接收到的数据包进行检查，如果发现该数据包是从网络1的VPN网关发出的，即可判定该数据包为VPN数据包，并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离，再将数据包反向处理还原成原始的数据包。10.2VPN的工作原理5.网络2的VPN网关将还原后的原始数据包发送至目标终端B，由于原始数据包的目标地址是终端B的IP，所以该数据包能够被正确地发送到终端B。在终端B看来，它收到的数据包就和从终端A直接发过来的一样。6.从终端B返回终端A的数据包处理过程和上述过程一样，这样两个网络内的终端就可以相互通讯了。10.3VPN的技术原理10.3.1VPN使用的安全协议1.PPTP－PointtoPointTunnelProtocol(点对点隧道协议)

通过Internet的数据通信，需要对数据流进行封装和加密，PPTP就可以实现这两个功能，从而可以通过Internet实现多功能通信。2.L2TP－Layer2TunnelingProtocol(第二层隧道协议)

PPTP和L2TP十分相似，因为L2TP有一部分就是采用PPTP协议，两个协议都允许客户通过其间的网络建立隧道，L2TP还支持信道认证。10.3VPN的技术原理3.IPSEC—InternetProtocolSecurity(因特网协议安全)

它用于确保网络层之间的安全通信。4.SSL—SecureSocketLayer它是Netscape公司所研发，用以保障在Internet上数据传输之安全，利用数据加密技术，可确保数据在网络上之传输过程中不会被截取及窃听。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。10.3VPN的技术原理10.3.2VPN的实现由于传输的是私有信息，VPN用户对数据的安全性要求比较高。目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）、加解密技术（Encryption&Decryption)秘钥管理技术(KeyManagement)用户与设备身份认证技术（Authentication）。10.3VPN的技术原理10.3.2VPN的实现

1.隧道技术 隧道技术是VPN的基本技术。类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。10.3VPN的技术原理10.3.2VPN的实现第二层隧道协议是先把各种网络议装到PPP中，再把整个数据包装入隧道协议中。第二层隧道协议有L2F、PPTPL2T等。第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec（IPSecurity）是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使等服务，从而在IP层提供安全保障。10.3VPN的技术原理10.3.2VPN的实现2.加解密技术加解密技术(对称加密、公钥加密等)是数据通信中一项较成熟的技术，VPN可直接利用现有技术。10.3VPN的技术原理10.3.2VPN的实现3.密钥管理技术密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被偷听、窃取。4.用户与设备身份认证技术用户与设备身份认证技术最常用的是用户名与密码或卡片式认证等方式。10.3VPN的技术原理10.3.2VPN的实现除了以上几种技术实现VPN以后，还有一种比较常用的VPN方式：SSLVPN，即SSL协议被使用于VPN中。这种方式经常用于访问银行、金融、及机密系统。通过电脑使用银行的网银系统时使用的就是SSLVPN。它是将HTTP协议