入侵检测概念和作用课件.pptx

1、信息安全产品配置与应用Configuration and Application of Information Security Products重庆电子工程职业学院|路亚信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇模块三、IDS产品配置与应用信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇 互联网技术的发展，给信息产业结构带来巨大的变革，网络技术的应互联网技术的发展，给信息产业结构带来巨大的变革，网络技术的应用，从根本上改变了政府、企业、个人的生产、经营、生活等各个层面。用，从根本上改变了政府、企业、个人的生产、经营、生活等各个层面

2、。截止截止2006年，全国上网用户达年，全国上网用户达11000万人，上网计算机台数达万人，上网计算机台数达4950万万台，在台，在CNNIC注册域名总数达注册域名总数达2，592，410个，其中个，其中CN域名为域名为1，096，924个，网站总数达个，网站总数达694，200个，我国国际出口总带宽达个，我国国际出口总带宽达136，106M，互，互联网已经成为日常经营活动中的重要组成部分。联网已经成为日常经营活动中的重要组成部分。安全形势-当前的安全问题信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇总体安全形势信息安全产品配置与应用信息安全产品配置与应用课程之入

3、侵检测篇课程之入侵检测篇入侵来源分析内外勾结内外勾结特殊身份人员特殊身份人员外部个人和小组外部个人和小组（所谓黑客）（所谓黑客）竞争对手和恐怖组织竞争对手和恐怖组织敌对国家和军事组织敌对国家和军事组织内部人员内部人员80%15%信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇招致入侵的主要原因越来越多的安全漏洞越来越多的安全漏洞为入侵提供了机会！为入侵提供了机会！信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇网络入侵技术发展趋势信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇本讲主要内容信息安全产品配置与应用

4、信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇什么是入侵检测系统？什么是入侵检测系统？对指向计算机网络资源的各种攻击企图、攻击行对指向计算机网络资源的各种攻击企图、攻击行为或者攻击结果进行监视和识别的过程。为或者攻击结果进行监视和识别的过程。什么是入侵检测系统？什么是入侵检测系统？IDS（Intrusion Detection System），是通过），是通过从计算机网络或计算机系统中的若干关键点收集信息从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。

5、安全策略的行为和遭到袭击的迹象的一种安全技术。（ICSA入侵检测系统论坛）入侵检测系统论坛）信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇 已经安装了防火墙，为什已经安装了防火墙，为什么还需要么还需要IDS？信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇两个安全域之间通信流的唯一通道安全域1Host A Host B 安全域2Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为信息安全产

6、品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇 来自内部用户的攻击来自内部用户的攻击攻击包没有经过防攻击包没有经过防火墙，防火墙无能火墙，防火墙无能为力为力Attack codeAttack code信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇InternetRouterFirewallInternetModem防火墙路由器内部网络ISPModemComputerComputerComputerMinicomputer绕过防火墙的攻击绕过防火墙的攻击Attack code攻击包没有经过防攻击包没有经过防火墙，防火墙无能火墙，防火墙无能为力为力

7、信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇%c1%1c防火墙根据访问控制防火墙根据访问控制规则，判断为合法访规则，判断为合法访问而将数据包放行问而将数据包放行低版本的低版本的IIS 将将%c1%1c解析为解析为dir c:并执行该命令并执行该命令unicode attack数据驱动型攻击数据驱动型攻击信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇要确保网络的安全，就要对网络访问行为进要确保网络的安全，就要对网络访问行为进行实时监控，这就需要行实时监控，这就需要IDSIDS无时不在的保护！无时不在的保护！防火墙不能防止通向站点的后门

8、。防火墙不能防止通向站点的后门。防火墙不能防范利用服务器漏洞或通信协议的缺陷进防火墙不能防范利用服务器漏洞或通信协议的缺陷进行的攻击。行的攻击。防火墙一般不提供对网络滥用的防范。防火墙一般不提供对网络滥用的防范。防火墙不能防范内部用户主动泄密的行为。防火墙不能防范内部用户主动泄密的行为。防火墙策略配置不当或自身漏洞会导致安全隐患。防火墙策略配置不当或自身漏洞会导致安全隐患。信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇防火墙就象一道门，它可以阻止一类人群的进入，但无法阻止防火墙就象一道门，它可以阻止一类人群的进入，但无法阻止混在同一类人群中的破坏分子，也不能阻止内

9、部的破坏分子；混在同一类人群中的破坏分子，也不能阻止内部的破坏分子；访问控制系统可以不让低级权限的人做越权工作，但无法保证访问控制系统可以不让低级权限的人做越权工作，但无法保证高级权限的做破坏工作，也无法保证低级权限的人通过非法行高级权限的做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限；为获得高级权限；在安全体系中，在安全体系中，IDSIDS是唯一一个通过数据和行为模式判断其是否是唯一一个通过数据和行为模式判断其是否有效的系统，它是防火墙和访问控制机制的合理补充，可看作有效的系统，它是防火墙和访问控制机制的合理补充，可看作是防火墙之后的第二道安全闸门，实时收集和分析计算机系统是防火

10、墙之后的第二道安全闸门，实时收集和分析计算机系统和网络中的信息，帮助系统对付网络攻击，扩展了系统管理员和网络中的信息，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括监视、进攻识别、响应和安全审计），的安全管理能力（包括监视、进攻识别、响应和安全审计），提高了信息安全基础结构的完整性。提高了信息安全基础结构的完整性。信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇监控室监控室=控制中心控制中心后门后门保安保安=防火墙防火墙摄像机摄像机=IDS探测引擎探测引擎 形象地说，IDS就是一台智能的X光摄像机，它能够捕获并记录网络上的所有数据，分析并提炼出可疑的、异常的内容，尤其是它能够洞察一些巧妙的伪装，抓住内容的实质，此外，它还能够对入侵行为自动地进行响应：报警、阻断连接、关闭道路（与防火墙联动）。信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇