windows系统安全14(防火墙与入侵检测系统)2课件.ppt

1、1防火墙与入侵检测n本章介绍两部分的内容：本章介绍两部分的内容：n防火墙和入侵检测技术。防火墙和入侵检测技术。n介绍防火墙的基本概念，常见防火墙类介绍防火墙的基本概念，常见防火墙类型以及如何使用规则集实现防火墙。型以及如何使用规则集实现防火墙。n介绍入侵检测系统的基本概念以及入侵介绍入侵检测系统的基本概念以及入侵检测的常用方法检测的常用方法2防火墙技术防火墙技术 1.1.防火墙基本概念防火墙基本概念2.2.防火墙的分类防火墙的分类3.3.防火墙的体系结构防火墙的体系结构 4.4.防火墙的实施防火墙的实施3防火墙防火墙n防火墙是位于可信网络与不可信网络之防火墙是位于可信网络与不可信网络之间，并对

2、二者之间流动的数据包进行检间，并对二者之间流动的数据包进行检查的一台、多台计算机或路由器。查的一台、多台计算机或路由器。4防火墙是在两个网络之间执行访问控制策略的防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。网络不被他人侵扰。防火墙服务器工作站台式PC打印机服务器安全区域服务器工作站台式PC打印机服务器安全区域Internet网络5防火墙实现的层次防火墙实现的层次6防火墙的安全规则防火墙的安全规则n由匹配条件和处理方式两部分组成。匹配条件是指由匹配条件和处理方式两部分组成。匹配条件是指用于对通信流量

3、是否合法作出判断的一些逻辑表达用于对通信流量是否合法作出判断的一些逻辑表达式。若信息是匹配条件值为真，那么就进行处理。式。若信息是匹配条件值为真，那么就进行处理。处理方式有以下几种。处理方式有以下几种。n 接受：允许信息通过接受：允许信息通过n 拒绝：拒绝信息通过，通知发送信息的信息源拒绝：拒绝信息通过，通知发送信息的信息源n 丢弃：直接丢弃信息，不通知信息源。丢弃：直接丢弃信息，不通知信息源。7防火墙的基本功能防火墙的基本功能（1 1）网络监控（包过滤功能，状态检查，网关级代理）网络监控（包过滤功能，状态检查，网关级代理）（2 2）用户身份验证：可以限制未授权的用户进入内部网）用户身份验证：

4、可以限制未授权的用户进入内部网 络，过滤掉不安全的服务和非法用户络，过滤掉不安全的服务和非法用户（3 3）限制内部用户访问特殊站点）限制内部用户访问特殊站点防火墙的不足之处防火墙的不足之处（1 1）不能防范恶意的知情者）不能防范恶意的知情者（2 2）防火墙不能防范不通过它的连接）防火墙不能防范不通过它的连接（3 3）防火墙不能防范病毒）防火墙不能防范病毒8防火墙技术防火墙技术 1.1.防火墙基本概念防火墙基本概念 2 2 防火墙分类（按实现技术）防火墙分类（按实现技术）3.3.防火墙的体系结构防火墙的体系结构 4.4.防火墙的实施防火墙的实施9防火墙分类（按实现技术）防火墙分类（按实现技术）n

5、数据包过滤数据包过滤 防火墙（防火墙（2020世纪世纪8080年代）年代）n应用级网关防火墙应用级网关防火墙n状态检测防火墙（状态检测防火墙（2020世纪世纪9090年代）年代）10n包过滤（分组过滤）：包过滤（分组过滤）：n作用在协议组的作用在协议组的网络层和传输层网络层和传输层，根据分组包头源地址、，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。地的出口端，其余的数据包则从数据

6、流中丢弃。n应用代理（应用代理（Application Proxy）：）：n也叫应用网关（也叫应用网关（Application Gateway），它作用在），它作用在应用应用层层，其特点是完全，其特点是完全“阻隔阻隔”网络通信流，通过对每种应用网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。的作用。实际中的应用网关通常由专用工作站实现。n状态检测（状态检测（Status Detection）：）：n直接对分组里的数据进行处理，并且结合前后分组的数据直接对分组里的数据进行处

7、理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。进行综合判断，然后决定是否允许该数据包通过。11包过滤防火墙包过滤防火墙n数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。或丢弃所各个数据包。n通常情况下，如果规则中没有明确允许指定数据包的出入，那么缺通常情况下，如果规则中没有明确允许指定数据包的出入，那么缺省参数将决定此包是前行还是被舍弃。省参数将决定此包是前行还是被舍弃。防火墙服务器工作站台式PC打印机服务器数据包安全区域数据包服务器控制策略查找对应的策略 数据IP报头TCP报头分组

8、过滤判断12包过滤技术包过滤技术 每个包有两个部分：数据部分和包头。包头中每个包有两个部分：数据部分和包头。包头中含有源地址和目标地址等信息。含有源地址和目标地址等信息。包过滤一直是一种简单而有效的方法。通过拦包过滤一直是一种简单而有效的方法。通过拦截数据包，读出并拒绝那些不符合标准的包头，截数据包，读出并拒绝那些不符合标准的包头，过滤掉不应入站的信息。过滤掉不应入站的信息。13包过滤要检查的内容包过滤要检查的内容n数据包过滤一般要检查网络层的数据包过滤一般要检查网络层的IPIP头和传输层的头头和传输层的头nIPIP源地址源地址nIPIP目标地址目标地址n协议类型（协议类型（TCPTCP包，包

9、，UDPUDP包和包和ICMPICMP包）包）nTCPTCP或或UDPUDP包的目的端口包的目的端口nTCPTCP或或UDPUDP包的原端口包的原端口nICMPICMP消息类型消息类型nTCPTCP包头的包头的ACKACK位位nTCPTCP包的序列号，包的序列号，IPIP校验和等校验和等14过滤的依据主要是过滤的依据主要是TCP/IP包头里面包头里面的信息，不能对应用层数据进行处理的信息，不能对应用层数据进行处理15n一个可靠的分组过滤防火墙依赖于规则集，表列出了几条一个可靠的分组过滤防火墙依赖于规则集，表列出了几条典型的规则集。典型的规则集。n第一条规则：主机第一条规则：主机10.1.1.1

10、任何端口访问任何主机的任何端口，基于任何端口访问任何主机的任何端口，基于TCP协议协议的数据包都允许通过。的数据包都允许通过。n第二条规则：任何主机的第二条规则：任何主机的20端口访问主机端口访问主机10.1.1.1的任何端口，基于的任何端口，基于TCP协议协议的数据包允许通过。的数据包允许通过。n第三条规则：任何主机的第三条规则：任何主机的20端口访问主机端口访问主机10.1.1.1小于小于1024的端口，如果基的端口，如果基于于TCP协议的数据包都禁止通过。协议的数据包都禁止通过。组序号组序号动作动作源源IP目的目的IP源端口源端口目的端口目的端口协议类型协议类型1允许允许10.1.1.1

11、*TCP2允许允许*10.1.1.120*TCP3禁止禁止*10.1.1.120Security Logs”，察看日志纪录如图所示。29防火墙分类（按实现技术）防火墙分类（按实现技术）n数据包过滤数据包过滤 防火墙（防火墙（2020世纪世纪8080年代）年代）n应用级网关防火墙应用级网关防火墙n状态检测防火墙（状态检测防火墙（2020世纪世纪9090年代）年代）30应用级网关（代理）工作模型 n作为一个信息交流的中转站，对客户来说，他是一个服务作为一个信息交流的中转站，对客户来说，他是一个服务器，对服务器来说，他是一个客户，它的安全性较包过滤器，对服务器来说，他是一个客户，它的安全性较包过滤防

12、火墙有了很大的提高防火墙有了很大的提高31代理服务器数据包代理服务器数据包的重构过程的重构过程 32服务端服务端客户端客户端telnetInternet应用级网关应用级网关发送数据包到发送数据包到Internet必须先经必须先经过网关过网关复复制制数数据据向目标服务器发送向目标服务器发送telnetd应用级网关防火墙应用级网关防火墙33在在WindowsWindows系统下系统下的的IEIE浏览器的配置浏览器的配置 客户端的设置客户端的设置34应用级网关优缺点应用级网关优缺点 n优点：优点：n为内部网络提供了更高的安全性为内部网络提供了更高的安全性n应用代理防火墙工作于工作于应用层，适用于特定

13、的网络应用代理防火墙工作于工作于应用层，适用于特定的网络服务，如服务，如HTTPHTTP，FTPFTP等；并且应用代理防火墙适于做日等；并且应用代理防火墙适于做日志记录。志记录。n缺点：缺点：n处理速度较慢，因为它不允许直接访问外部网络处理速度较慢，因为它不允许直接访问外部网络n网关的代理服务软件总要随着应用服务软件的更新而更新网关的代理服务软件总要随着应用服务软件的更新而更新35Windows的防火墙：ISAnISA具有防火墙和缓存代理的功能。36Windows的防火墙：ISA37网络地址转换n防火墙的网络地址转换功能是指将内部主机的防火墙的网络地址转换功能是指将内部主机的IPIP地地址转换

14、为某一固定或者某范围内的某个址转换为某一固定或者某范围内的某个IPIP地址，而地址，而使从网络外部无法探测到它们。使从网络外部无法探测到它们。n网 络 地 址 转 换（网 络 地 址 转 换（N A TN A T，N e t w o r k A d d r e s s N e t w o r k A d d r e s s TranslationTranslation），有时也称为），有时也称为IPIP伪装。伪装。3839NAT类型n静态静态NATNAT（Static NATStatic NAT）n动态地址动态地址NATNAT（Dynamic NATDynamic NAT）n端口转换端口转换N

15、APTNAPT（Network Address Port Network Address Port TranslationTranslation）40静态NATn把内部网络中的每个主机都永久映射成外把内部网络中的每个主机都永久映射成外部网络中的某个合法的地址部网络中的某个合法的地址41动态NATn在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络 42端口转换 NATn把内部地址映射到外部网络的一个IP地址的不同端口上 43防火墙分类（按实现技术）防火墙分类（按实现技术）n数据包过滤数据包过滤 防火墙（防火墙（2020世纪世纪8080年代）年代）n应用级网关防火墙应用级网关防

16、火墙n状态检测防火墙（状态检测防火墙（2020世纪世纪9090年代）年代）44状态监测防火墙（2020世纪世纪9090年代）年代）n状态监测防火墙具有非常好的安全特性，它使用一个在网关上执行网络安全策略的软件模块，称为“监测引擎”。监测引擎在不影响网络正常运行的前提下，监测网络通信的各层并在通信各层抽取有关数所生成状态信息，并动态地保存以供后续执行安全策略的参考。n使用状态监测的一个优点是，虽然在网络层接收数据包以提高效率，但防火墙依旧检查通信各层的数据，并根据生成的通信状态，应用状态和上下文信息等结合网络安全策略对数据包作出接收，拒绝，身份认证，报警或通信加密等动作。它的另一个优点是它可以监

17、测无连接协议（如RPC，某些基于UDP的应用），而包过滤防火墙和应用代理防火墙都不具备这种功能。它的缺点是降低网络速度，且配置比较复杂。4546防火墙技术防火墙技术 1.1.防火墙基本概念防火墙基本概念 2 2 防火墙分类（按实现技术）防火墙分类（按实现技术）3.3.防火墙的体系结构防火墙的体系结构 4.4.防火墙的实施防火墙的实施47防火墙体系结构n防火墙的体系结构一般有防火墙的体系结构一般有n双宿主主机体系结构；双宿主主机体系结构；n屏蔽主机体系结构；屏蔽主机体系结构；n屏蔽子网体系结构。屏蔽子网体系结构。48双重宿主主机体系结构双重宿主主机体系结构双重宿主主机双重宿主主机的防火墙体系结构

18、的防火墙体系结构是相当简单的，双是相当简单的，双重宿主主机位于两重宿主主机位于两者之间，并且被连者之间，并且被连接到因特网和内部接到因特网和内部的网络。右图显示的网络。右图显示这种体系结构。这种体系结构。49双重宿主主机体系结构双重宿主主机体系结构双宿主机是连接内外网络的通道，因此它本应具双宿主机是连接内外网络的通道，因此它本应具有路由功能。而在实际应用中，双宿主机路由功有路由功能。而在实际应用中，双宿主机路由功能是被禁止的。能是被禁止的。50屏蔽主机体系结构在此结构中提供安全保护在此结构中提供安全保护的主机仅仅与内部网相连。的主机仅仅与内部网相连。另外，结构中还有一台单另外，结构中还有一台单

19、独的路由器（过滤路由独的路由器（过滤路由器）。在这种体系结构中，器）。在这种体系结构中，堡垒主机即可提供包过滤堡垒主机即可提供包过滤功能，也可提供代理功能，功能，也可提供代理功能，其结构如左图所示。其结构如左图所示。51内外网络之间的所有通信都必须通过堡垒主机内外网络之间的所有通信都必须通过堡垒主机n主要优点：主要优点：相对于双宿主机体系结构，堡垒主机不直接与外部网相对于双宿主机体系结构，堡垒主机不直接与外部网络连接，减小了被攻击的可能性。路由器的同时存在，络连接，减小了被攻击的可能性。路由器的同时存在，减轻了堡垒主机的负担减轻了堡垒主机的负担n缺点：缺点：一旦堡垒主机遭到攻击，内部网络助于不

20、安全的状态一旦堡垒主机遭到攻击，内部网络助于不安全的状态52屏蔽子网模型n屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，它支持网络层和应用层安全功能。网络管全的防火墙系统之一，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、理员将堡垒主机、信息服务器、Modem组，以及其它公用服务组，以及其它公用服务器放在非军事区网络中。如果黑客想突破该防火墙那么必须攻破器放在非军事区网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。以上三个单独的设备。防火墙防火墙53屏蔽子网体系结构n内部路由器

21、内部路由器n内部路由器有时被称为阻塞路由器，它保护内内部路由器有时被称为阻塞路由器，它保护内部的网络使之免受部的网络使之免受InternetInternet和周边网的侵犯。和周边网的侵犯。n内部路由器为用户的防火墙执行大部分的数据内部路由器为用户的防火墙执行大部分的数据包过滤工作。它允许从内部网到包过滤工作。它允许从内部网到InternetInternet的有选的有选择的出站服务。择的出站服务。n外部路由器外部路由器n外部路由器能有效地执行的安全任务之一是：外部路由器能有效地执行的安全任务之一是：阻止从阻止从InternetInternet上伪造源地址进来的任何数据包。上伪造源地址进来的任何数

22、据包。这样的数据包自称来自内部的网络，但实际上这样的数据包自称来自内部的网络，但实际上是来自是来自InternetInternet。54实施方法实施方法n1 基于网络主机的防火墙基于网络主机的防火墙n 一种是作为现有的商业操作系统上的应用程序一种是作为现有的商业操作系统上的应用程序n另外一种是整合成操作系统的一部分另外一种是整合成操作系统的一部分n2 基于路由器的防火墙基于路由器的防火墙n一般他们可以起到阻止和允许特定的一般他们可以起到阻止和允许特定的IP地址和端口号的基本防火墙功能地址和端口号的基本防火墙功能n使用使用NAT来隐藏内部来隐藏内部IP地址地址n在一个全面安全体系结构中，路由器经

23、常作为屏蔽设备使用在一个全面安全体系结构中，路由器经常作为屏蔽设备使用n3 基于单个主机的防火墙基于单个主机的防火墙n常用于规模很小的办公室或者家庭常用于规模很小的办公室或者家庭n比如：瑞星个人防火墙、天网个人防火墙比如：瑞星个人防火墙、天网个人防火墙n4 硬件防火墙硬件防火墙n硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行功能硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行功能n通常硬件防火墙的性能要强于软件防火墙、并且连接、使用比较方便通常硬件防火墙的性能要强于软件防火墙、并且连接、使用比较方便55防火墙环境下的服务器部署n最典型的防火墙环境就是最典型的防火墙环境就是DMZ(DMZ(

24、非军事区非军事区)。nDMZDMZ是作为内外网都可以访问的计算机系统是作为内外网都可以访问的计算机系统和资源的连接点，比如和资源的连接点，比如WebWeb服务器、邮件服服务器、邮件服务器、务器、VPNVPN网关、网关、DNSDNS服务器等，这些系统服务器等，这些系统和资源不能放置在内部保护网络内。和资源不能放置在内部保护网络内。56防火墙环境下的服务器部署57防火墙环境下的服务器部署n遵循原则。遵循原则。n(1)(1)通过边界路由过滤设备保护外部服务器，通过边界路由过滤设备保护外部服务器，或将它们放置在外部或将它们放置在外部DMZDMZ中。中。n(2)(2)绝不可将外部可访问的服务器放置在内部

25、绝不可将外部可访问的服务器放置在内部要保护网络中。要保护网络中。n(3)(3)根据内部服务器的敏感程度和访问方式，根据内部服务器的敏感程度和访问方式，将它们放置在内部防火墙之后。将它们放置在内部防火墙之后。n(4)(4)尽量隔离各种服务器，防止一个服务器被尽量隔离各种服务器，防止一个服务器被攻破后波及到其他服务器的安全。攻破后波及到其他服务器的安全。581 入侵检测系统(IDS)的概念n入侵检测系统入侵检测系统IDS（Intrusion Detection System）指的指的是一种硬件或者软件系统，该系统对系统资源的非是一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、

26、记录和报警。授权使用能够做出及时的判断、记录和报警。59 n检测来自内部的攻击事件和越权访问检测来自内部的攻击事件和越权访问n85以上的攻击事件来自于内部的攻击以上的攻击事件来自于内部的攻击n防火墙只能防外，难于防内防火墙只能防外，难于防内n入侵检测系统作为防火墙系统的一个有效的补充入侵检测系统作为防火墙系统的一个有效的补充n入侵检测系统可以有效的防范防火墙开放的服务入侵入侵检测系统可以有效的防范防火墙开放的服务入侵入侵检测的任务60n分类分类n网络型入侵检测系统网络型入侵检测系统n主机型入侵检测系统主机型入侵检测系统n混合型入侵检测系统（混合型入侵检测系统（Hybrid IDS）61网络型入

27、侵检测系统网络型入侵检测系统(Network Intrusion Detection System，NIDS)的数据源来自网络上的数据包。一般地，的数据源来自网络上的数据包。一般地，用户可将某台主机网卡设定为用户可将某台主机网卡设定为混杂模式混杂模式，以监听，以监听本网段本网段内内所有数据包，判断其是否合法。所有数据包，判断其是否合法。NIDS担负着监视整个担负着监视整个网段的任务网段的任务IDS分类分类62IDS分类分类NIDS的优点主要是使用简便，不会给运行的优点主要是使用简便，不会给运行关键业务的主机和网络增加任何负担。关键业务的主机和网络增加任何负担。63IDS分类分类主机型入侵检测系

28、统主机型入侵检测系统(Host Intrusion Detection System，HIDS)：系统安装在主机上面，对本主机进行安全检测系统安装在主机上面，对本主机进行安全检测往往以系统日志、应用程序日志等作为数据源，当然也可以往往以系统日志、应用程序日志等作为数据源，当然也可以通过通过查询、监听当前系统的各种资源的使用运行状态，通过通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。发现系统资源被非法使用和修改的事件，进行上报和处理。642 入侵检测系统构件 输出：反应或事件 输出：高级中断事件 输出：事件的存储信息 输出：原始或低级事件 输

29、入：原始事件源 事件产生器 响应单元 事件数据库 事件分析器 65入侵检测的步骤 n由此也划分了入侵检测的三个基本步骤：由此也划分了入侵检测的三个基本步骤：n信息收集信息收集n数据分析数据分析n响应响应 数据分析后处理方式数据分析后处理方式nAlertnLognCall Firewall66数据分析n数据分析（数据分析（Analysis Schemes）是入侵检测系统）是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系的核心，它的效率高低直接决定了整个入侵检测系统的性能。统的性能。n快速的模式匹配算法快速的模式匹配算法n根据数据分析的不同方式可将入侵检测系统分为三根据数据分析的不同方式

30、可将入侵检测系统分为三类：类：n异常入侵检测异常入侵检测n误用入侵检测误用入侵检测n完整性检测完整性检测67 3 入侵检测的分析方式n异常检测（Anomaly Detection）n统计模型n误报较多n误用检测（Misuse Detection）n维护一个入侵特征知识库（CVE）n准确性高n完整性分析（静态检测）68 3.1 异常检测n基本原理n一般采用统计方法建立正常行为的特征轮廓n检查系统的运行情况n是否偏离预设的门限？69 3.1 异常检测n异常检测的优点：n可以检测到未知的入侵 n可以检测冒用他人帐号的行为 n具有自适应，自学习功能 n不需要系统先验知识70 3.1 异常检测n异常检测

31、的缺点：n漏报、误报率高n入侵者可以逐渐改变自己的行为模式来逃避检测n合法用户正常行为的突然改变也会造成误警 n统计算法的计算量庞大，效率很低 n统计点的选取和参考库的建立比较困难71 3.1异常性检测n问题：n在许多环境中，为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事。n因为并不是所有入侵者的行为都能够产生明显的异常性，所以在入侵检测系统中，仅使用异常性检测技术不可能检测出所有的入侵行为。72 3.2 误用检测n采用模式匹配技术检测已知攻击n提前建立已出现的入侵行为特征n检测当前用户行为特征73 3.2 误用检测n误用检测的优点n算法简单n系统

32、开销小 n准确率高n效率高74 3.2 误用检测n误用检测的缺点n被动n只能检测出已知攻击 n新类型的攻击会对系统造成很大的威胁 n模式库的建立和维护难n模式库要不断更新n知识依赖于n硬件平台n操作系统n系统中运行的应用程序75 3.3 完整性分析n通过检查系统的当前系统配置，诸如系统文件的内容或者系统表，来检查系统是否已经或者可能会遭到破坏。n其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。n缺点是一般以批处理方式实现，不用于实时响应。76案例：检测与端口关联的应用程序n网络入侵者都会连接到主机的某个非法端口，通过检查出与端口

33、关联应用程序，可以进行入侵检测，这种方法属于静态配置分析。n利用工具软件fport.exe可以检查与每一端口关联的应用程序，执行程序如图所示。77案例：入侵检测工具：BlackICEnBlackICE是一个小型的入侵检测工具，在计算机上安全完毕后，会在操作系统的状态栏显示一个图标，当有异常网络情况的时候，图标就会跳动。主界面如图所示。78n可以查看主机入侵的信息，选择属性页“Intruders”，如图所示。79 3.3 入侵检测产品 免费的入侵检测产品免费的入侵检测产品nSnort http:/www.snort.orgnSHADOW http:/www.nswc.navy.mil/ISSEC

34、/CID80 3.3 商业的入侵检测产品nCyberCop Monitor,NAInDragon Sensor,EnterasysneTrust ID,CAnNetProwler,SymantecnNetRanger,CisconNID-100/200,NFR SecuritynRealSecure,ISSnSecureNet Pro,I81入侵检测系统面临的挑战n一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。82 IDS目前存在的问题n关于入侵检测方法的研究仍在进行中，较成熟的检测方法已关于入侵检测方法的研究仍在进行中，较成熟的检测方法已用于商业软件的开发中。用于商业软件的

35、开发中。n各种监测方式都存在不同的问题，例如，误报率高、效率低、各种监测方式都存在不同的问题，例如，误报率高、效率低、占用资源多或者实时性差等缺点。占用资源多或者实时性差等缺点。n依靠单一的中心监测不可能检测所有的入侵，已不能满足系依靠单一的中心监测不可能检测所有的入侵，已不能满足系统安全性和性能的要求。统安全性和性能的要求。n目前，国内只有少数的网络入侵检测软件，相关领域的系统目前，国内只有少数的网络入侵检测软件，相关领域的系统研究也刚刚起步，与外国尚有很大差距。研究也刚刚起步，与外国尚有很大差距。83发展趋势及主要研究方向n针对分布式攻击的分布式入侵检测方面的研究n用于大规模高速网络入侵检

36、测系统的研究n应用层入侵检测的研究n智能入侵检测的研究n基于神经网络n免疫系统方法 n遗传算法 n基于代理检测 n数据挖掘 84本章总结n本章介绍了防御技术中的防火墙技术与入侵检测技术。n重点理解防火墙的概念、分类、常见防火墙的系统模型以及创建防火墙的基本步骤。n掌握使用Winroute创建简单的防火墙规则。n重点理解入侵检测系统的基本概念、检测的方法以及入侵检测的步骤。n掌握编写简单入侵检测的程序，掌握一种入侵检测工具。85本章习题n简述防火墙的分类，并说明分组过滤防火墙的基本原理。n常见防火墙模型有哪些？比较他们的优缺点。n编写防火墙规则：禁止除管理员计算机（IP为172.18.25.110）外任何一台电脑访问某主机（IP为172.18.25.109）的终端服务（TCP端口3389）。n什么是入侵检测系统？简述入侵检测系统目前面临的挑战。n编写程序实现每十秒检查一次与端口关联的应用程序