第5章防火墙与入侵检测技术精品PPT课件
合集下载
入侵检测系统(IDS)精品PPT课件
❖ HIDS是配置在被保护的主机上的,用来检测针对主 机的入侵和攻击
❖ 主要分析的数据包括主机的网络连接状态、审计日 志、系统日志。
❖ 实现原理
配置审计信息 系统对审计数据进行分析(日志文件)
28
NIDS和HIDS比较
29
入侵检测的分类 (混合IDS)
❖ 基于网络的入侵检测产品和基于主机的入侵检测产 品都有不足之处,单纯使用一类产品会造成主动防 御体系不全面。但是,它们的缺憾是互补的。如果 这两类产品能够无缝结合起来部署在网络内,则会 构架成一套完整立体的主动防御体系,综合了基于 网络和基于主机两种结构特点的入侵检测系统,既 可发现网络中的攻击信息,也可从系统日志中发现 异常情况。
34
入侵检测的部署
❖ 检测器放置于防火墙的DMZ区域
可以查看受保护区域主机被攻击状态 可以看出防火墙系统的策略是否合理 可以看出DMZ区域被黑客攻击的重点
35
入侵检测的部署
❖ 检测器放置于路由器和边界防火墙之间
可以审计所有来自Internet上面对保护网络的攻 击数目
可以审计所有来自Internet上面对保护网络的攻 击类型
❖ 需要在计算机网络系统中的若干不同关键点(不同 网段和不同主机)收集信息,这样做的理由就是从 一个来源的信息有可能看不出疑点,但从几个来源 的信息的不一致性却是可疑行为或入侵的最好标识 。14Fra bibliotek信息收集
❖ 入侵检测的效果很大程度上依赖于收集信息的可靠 性和正确性
❖ 要保证用来检测网络系统的软件的完整性 ❖ 特别是入侵检测系统软件本身应具有相当强的坚固
❖ 入侵检测系统(IDS):入侵检测系统是软件与硬 件的组合,是防火墙的合理补充,是防火墙之后的 第二道安全闸门。
❖ 主要分析的数据包括主机的网络连接状态、审计日 志、系统日志。
❖ 实现原理
配置审计信息 系统对审计数据进行分析(日志文件)
28
NIDS和HIDS比较
29
入侵检测的分类 (混合IDS)
❖ 基于网络的入侵检测产品和基于主机的入侵检测产 品都有不足之处,单纯使用一类产品会造成主动防 御体系不全面。但是,它们的缺憾是互补的。如果 这两类产品能够无缝结合起来部署在网络内,则会 构架成一套完整立体的主动防御体系,综合了基于 网络和基于主机两种结构特点的入侵检测系统,既 可发现网络中的攻击信息,也可从系统日志中发现 异常情况。
34
入侵检测的部署
❖ 检测器放置于防火墙的DMZ区域
可以查看受保护区域主机被攻击状态 可以看出防火墙系统的策略是否合理 可以看出DMZ区域被黑客攻击的重点
35
入侵检测的部署
❖ 检测器放置于路由器和边界防火墙之间
可以审计所有来自Internet上面对保护网络的攻 击数目
可以审计所有来自Internet上面对保护网络的攻 击类型
❖ 需要在计算机网络系统中的若干不同关键点(不同 网段和不同主机)收集信息,这样做的理由就是从 一个来源的信息有可能看不出疑点,但从几个来源 的信息的不一致性却是可疑行为或入侵的最好标识 。14Fra bibliotek信息收集
❖ 入侵检测的效果很大程度上依赖于收集信息的可靠 性和正确性
❖ 要保证用来检测网络系统的软件的完整性 ❖ 特别是入侵检测系统软件本身应具有相当强的坚固
❖ 入侵检测系统(IDS):入侵检测系统是软件与硬 件的组合,是防火墙的合理补充,是防火墙之后的 第二道安全闸门。
第5讲 防火墙与入侵检测.ppt
采用包过滤防火墙不要求运行的应用程序做 任何改动或安装任何特定的软件,也不需要 对用户进行特殊培训。
包过滤防火墙缺点
包过滤防火墙允许被保护网络的多台主机与外部网络比如 Internet网络的多台主机进行直接通信,其危险性分布在被保 护网络的全部主机以及允许访问的各种服务类型上。随着服务 的增多,网络的危险性将急剧增加。
第一条规则:主机10.1.1.1任何端口访问任何主机的任何 端口,基于TCP协议的数据包都允许通过。
第二条规则:任何主机的20端口访问主机10.1.1.1的任何 端口,基于TCP协议的数据包允许通过。
第三条规则:任何主机的20端口访问主机10.1.1.1小于 1024的端口,如果基于TCP协议的数据包都禁止通过。
拆开数据包 防火墙
数据包服务器ຫໍສະໝຸດ 常见防火墙系统模型包过滤防火墙模型 单宿主堡垒主机(屏蔽主机防火墙)模型 双宿主堡垒主机模型(屏蔽防火墙系统模型) 屏蔽子网模型
包过滤防火墙模型
包过滤防火墙模型是网络的第一道防线,功能是实施包 过滤。
创建相应的过滤策略时对工作人员的TCP/IP的知识有 相当的要求,如果筛选路由器被黑客攻破那么内部网络 将变的十分的危险。该防火墙不能够隐藏你的内部网络 的信息、不具备监视和日志记录功能。
Internet已经成为信息化社会发展的重要保证。已深入到国家 的政治、军事、经济、文教等诸多领域。许多重要的政府宏观 调控决策、商业经济信息、银行资金转帐、股票证券、能源资 源数据、科研数据等重要信息都通过网络存贮、传输和处理。
因此,难免会遭遇各种主动或被动的攻击。例如信息泄漏、信 息窃取、数据篡改、数据删除和计算机病毒等。因此,网络安 全已经成为迫在眉睫的重要问题,没有网络安全就没有社会信 息化
包过滤防火墙缺点
包过滤防火墙允许被保护网络的多台主机与外部网络比如 Internet网络的多台主机进行直接通信,其危险性分布在被保 护网络的全部主机以及允许访问的各种服务类型上。随着服务 的增多,网络的危险性将急剧增加。
第一条规则:主机10.1.1.1任何端口访问任何主机的任何 端口,基于TCP协议的数据包都允许通过。
第二条规则:任何主机的20端口访问主机10.1.1.1的任何 端口,基于TCP协议的数据包允许通过。
第三条规则:任何主机的20端口访问主机10.1.1.1小于 1024的端口,如果基于TCP协议的数据包都禁止通过。
拆开数据包 防火墙
数据包服务器ຫໍສະໝຸດ 常见防火墙系统模型包过滤防火墙模型 单宿主堡垒主机(屏蔽主机防火墙)模型 双宿主堡垒主机模型(屏蔽防火墙系统模型) 屏蔽子网模型
包过滤防火墙模型
包过滤防火墙模型是网络的第一道防线,功能是实施包 过滤。
创建相应的过滤策略时对工作人员的TCP/IP的知识有 相当的要求,如果筛选路由器被黑客攻破那么内部网络 将变的十分的危险。该防火墙不能够隐藏你的内部网络 的信息、不具备监视和日志记录功能。
Internet已经成为信息化社会发展的重要保证。已深入到国家 的政治、军事、经济、文教等诸多领域。许多重要的政府宏观 调控决策、商业经济信息、银行资金转帐、股票证券、能源资 源数据、科研数据等重要信息都通过网络存贮、传输和处理。
因此,难免会遭遇各种主动或被动的攻击。例如信息泄漏、信 息窃取、数据篡改、数据删除和计算机病毒等。因此,网络安 全已经成为迫在眉睫的重要问题,没有网络安全就没有社会信 息化
入侵检测系统ppt课件
网络入侵的特点
没有地域和时间的限制; 通过网络的攻击往往混杂在大量正常的网络活动之间,
隐蔽性强; 入侵手段更加隐蔽和复杂。
3
为什么需要IDS?
单一防护产品的弱点
防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁
4
为什么需要IDS?
关于防火墙
网络边界的设备,只能抵挡外部來的入侵行为 自身存在弱点,也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护,合法的使用者仍会非法地使用
入侵检测系统IDS
1
黑客攻击日益猖獗,防范问题日趋 严峻
政府、军事、邮电和金融网络是黑客攻击的主要目 标。即便已经拥有高性能防火墙等安全产品,依然 抵挡不住这些黑客对网络和系统的破坏。据统计, 几乎每20秒全球就有一起黑客事件发生,仅美国每 年所造成的经济损失就超过100亿美元。
2
网络入侵的特点
包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效
20
主动响应 被动响应
响应动作
21
入侵检测性能关键参数
误报(false positive):如果系统错误地将异常活动定 义为入侵
漏报(false negative):如果系统未能检测出真正的 入侵行为
12
入侵检测的工作过程
信息收集
检测引擎从信息源收集系统、网络、状态和行为信息。
信息分析
从信息中查找和分析表征入侵的异常和可疑信息。
告警与响应
根据入侵性质和类型,做出相应的告警和响应。
13
信息收集
入侵检测的第一步是信息收集,收集内容包括系统 、网络、数据及用户活动的状态和行为
没有地域和时间的限制; 通过网络的攻击往往混杂在大量正常的网络活动之间,
隐蔽性强; 入侵手段更加隐蔽和复杂。
3
为什么需要IDS?
单一防护产品的弱点
防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁
4
为什么需要IDS?
关于防火墙
网络边界的设备,只能抵挡外部來的入侵行为 自身存在弱点,也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护,合法的使用者仍会非法地使用
入侵检测系统IDS
1
黑客攻击日益猖獗,防范问题日趋 严峻
政府、军事、邮电和金融网络是黑客攻击的主要目 标。即便已经拥有高性能防火墙等安全产品,依然 抵挡不住这些黑客对网络和系统的破坏。据统计, 几乎每20秒全球就有一起黑客事件发生,仅美国每 年所造成的经济损失就超过100亿美元。
2
网络入侵的特点
包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效
20
主动响应 被动响应
响应动作
21
入侵检测性能关键参数
误报(false positive):如果系统错误地将异常活动定 义为入侵
漏报(false negative):如果系统未能检测出真正的 入侵行为
12
入侵检测的工作过程
信息收集
检测引擎从信息源收集系统、网络、状态和行为信息。
信息分析
从信息中查找和分析表征入侵的异常和可疑信息。
告警与响应
根据入侵性质和类型,做出相应的告警和响应。
13
信息收集
入侵检测的第一步是信息收集,收集内容包括系统 、网络、数据及用户活动的状态和行为
第五讲入侵检测技术讲解图示
5.1.3 系统分类
由于功能和体系结构的复杂性,入侵检测按 照不同的标准有多种分类方法。可分别从数据源、 检测理论、检测时效三个方面来描述入侵检测系 统的类型。
返回本章首页
1.基于数据源的分类
基于主机 : 安装在主机上,监视和分析主机的审 计记录,从而对可疑的主体活动采取相应的措施。 缺点是系统自身安全和入侵检测系统的性能之间 无法统一(系统特权或逃过审计);再则依赖系 统的日志和监视能力,使得能否及时采集获得审 计数据成为问题。
返回本章首页
监控分析系统 和用户的活动
知识库 历史行为 当前系统 /用户行为
安全策略 特定行为模式
入侵检测 分析引擎
数据提取
其它
入侵? 是
否
发现异常企 图或异常现 象
记录证据
响应处理
记录报警 和响应
图5-2 入侵检测原理框图
返回本章首页
所谓入侵检测系统就是执行入侵检测任务的 硬件或软件产品。 入侵检测提供了用于发现入侵攻击与合法用 户滥用特权的一种方法。其应用前提是入侵行为 和合法行为是可区分的,也即可以通过提取行为 的模式特征来判断该行为的性质。一般地,入侵 检测系统需要解决两个问题:
5.1 入侵检测概述
1988年,SRI/CSL的Teresa Lunt等改进了 Denning的入侵检测模型,并实际开发出了一个 IDES。
返回本章首页
1988年Teresa Lunt等人进一步改进了Denning提出的入 侵检测模型,并实际开发了 IDES(Intrusion Detection Expert System),该系统用于检测单一主机的入侵尝试, 提出了与系统平台无关的实时检测思想。该系统包括一 个异常检测器和一个专家系统,分别用于统计异常模型 的建立和基于规则的特征分析检测。 1 9 9 5 年 开 发 的 NIDES(Next-Generation Intrusion Detection Expert System)作为IDES完善后的版本可以 检测出多个主机上的入侵。
安全防护与入侵检测课件
• 1.Sniffer Pro的登录
图5.1 选择网络适配器
安全防护与入侵检测
图5.2 Sniffer Pro的工作界面
安全防护与入侵检测
2.Sniffer Pro的界面
• (1)仪表盘 • (2)主机列表 • (3)矩阵 • (4)应用程序响应时间 • (5)历史抽样
安全防护与入侵检测
图5.3 Sniffer Pro的仪表盘
安全防护与入侵检测
•
下面通过利用Sniffer Pro检测Code Red Ⅱ这
一实例来了解捕获的完整功能。
•
Code Red II病毒可以利用IIS的缓冲区溢出漏
洞,通过TCP的80端口传播,并且该病毒变种在感
染系统后会释放出黑客程序。
安全防护与入侵检测
•
它攻击的目标系统为安装Indexing services 和
安全防护与入侵检测
• (6)协议分布 • (7)全局统计 • (8)警告日志 • (9)捕获面板 • (10)地址本
安全防护与入侵检测
图5.10 Sniffer Pro协议分布
安全防护与入侵检测
图5.11 Sniffer Pro全局统计
安全防护与入侵检测
图5.12 Sniffer Pro警告日志
图标
高级系统层次名称
OSI模型的层次
服务层(Service)
应用层与表示层
应用程序层(Application)
应用层与表示层
会话层(Session)
会话层
数据链路层(Connection)
数据链路层
工作站层(Station)
网络层
DLC
数据链路层与物理层 安全防护与入侵检测
•
图5.1 选择网络适配器
安全防护与入侵检测
图5.2 Sniffer Pro的工作界面
安全防护与入侵检测
2.Sniffer Pro的界面
• (1)仪表盘 • (2)主机列表 • (3)矩阵 • (4)应用程序响应时间 • (5)历史抽样
安全防护与入侵检测
图5.3 Sniffer Pro的仪表盘
安全防护与入侵检测
•
下面通过利用Sniffer Pro检测Code Red Ⅱ这
一实例来了解捕获的完整功能。
•
Code Red II病毒可以利用IIS的缓冲区溢出漏
洞,通过TCP的80端口传播,并且该病毒变种在感
染系统后会释放出黑客程序。
安全防护与入侵检测
•
它攻击的目标系统为安装Indexing services 和
安全防护与入侵检测
• (6)协议分布 • (7)全局统计 • (8)警告日志 • (9)捕获面板 • (10)地址本
安全防护与入侵检测
图5.10 Sniffer Pro协议分布
安全防护与入侵检测
图5.11 Sniffer Pro全局统计
安全防护与入侵检测
图5.12 Sniffer Pro警告日志
图标
高级系统层次名称
OSI模型的层次
服务层(Service)
应用层与表示层
应用程序层(Application)
应用层与表示层
会话层(Session)
会话层
数据链路层(Connection)
数据链路层
工作站层(Station)
网络层
DLC
数据链路层与物理层 安全防护与入侵检测
•
安全防护与入侵检测课件
安全防护与入侵检测
➢步骤2:输入名称,如codered,如图5.23所示。 ➢步骤3:单击“OK”按钮,接着单击“完成” • (Done)按钮,退回到高级选项(Advanced) • 视图。
安全防护与入侵检测
图5.23 Sniffer Pro过滤器配置
安全防护与入侵检测
➢步骤4:选中TCP下面的HTTP复选框,如图5.24所示。
• 1.Sniffer Pro的登录
图5.1 选择网络适配器
安全防护与入侵检测
图5.2 Sniffer Pro的工作界面
安全防护与入侵检测
2.Sniffer Pro的界面
• (1)仪表盘 • (2)主机列表 • (3)矩阵 • (4)应用程序响应时间 • (5)历史抽样
安全防护与入侵检测
图5.3 Sniffer Pro的仪表盘
安全防护与入侵检测
•
如果发现这些内容,那么该系统已经遭受“红色代码Ⅱ”的
攻击。
•
可以通过Sniffer Pro检测网络中的数据包是否含有Code
Red Ⅱ的特征码,断定网络上是否有中毒的主机。
安全防护与入侵检测
➢步骤1:单击定义过滤器按钮,单击“高级”选项卡,单 击“配置文件”(Profile)按钮,在弹出的捕获配置文件 对话框中单击“新建”按钮。
安全防护与入侵检测
• ② 基于网络的入侵检测产品(NIDS)放置在比较重要的网段 内,不停地监视网段中的各种数据包。对每一个数据包或可疑的 数据包进行特征分析。
安全防护与入侵检测
5.2.4 入侵检测系统的部署
图5.29 入侵检测系统一般部署图
安全防护与入侵检测
5.2.5 入侵检测系统的选型
•
在此基础上,可以参照表5.5选择适合于自身网络的入侵检
➢步骤2:输入名称,如codered,如图5.23所示。 ➢步骤3:单击“OK”按钮,接着单击“完成” • (Done)按钮,退回到高级选项(Advanced) • 视图。
安全防护与入侵检测
图5.23 Sniffer Pro过滤器配置
安全防护与入侵检测
➢步骤4:选中TCP下面的HTTP复选框,如图5.24所示。
• 1.Sniffer Pro的登录
图5.1 选择网络适配器
安全防护与入侵检测
图5.2 Sniffer Pro的工作界面
安全防护与入侵检测
2.Sniffer Pro的界面
• (1)仪表盘 • (2)主机列表 • (3)矩阵 • (4)应用程序响应时间 • (5)历史抽样
安全防护与入侵检测
图5.3 Sniffer Pro的仪表盘
安全防护与入侵检测
•
如果发现这些内容,那么该系统已经遭受“红色代码Ⅱ”的
攻击。
•
可以通过Sniffer Pro检测网络中的数据包是否含有Code
Red Ⅱ的特征码,断定网络上是否有中毒的主机。
安全防护与入侵检测
➢步骤1:单击定义过滤器按钮,单击“高级”选项卡,单 击“配置文件”(Profile)按钮,在弹出的捕获配置文件 对话框中单击“新建”按钮。
安全防护与入侵检测
• ② 基于网络的入侵检测产品(NIDS)放置在比较重要的网段 内,不停地监视网段中的各种数据包。对每一个数据包或可疑的 数据包进行特征分析。
安全防护与入侵检测
5.2.4 入侵检测系统的部署
图5.29 入侵检测系统一般部署图
安全防护与入侵检测
5.2.5 入侵检测系统的选型
•
在此基础上,可以参照表5.5选择适合于自身网络的入侵检
安全防护和入侵检测- PowerPoint Presentation-PPT课件
5.1.2 Sniffer Pro的登录与界面
1.Sniffer Pro的登录(单块网卡时)
5.1.2 Sniffer Pro的登录与界面
1.Sniffer Pro的登录(多块网卡时)
5.1.2 Sniffer Pro的登录与界面
2.Sniffer Pro的界面
菜单栏 捕获栏 工具栏 状态栏
5.1.2 Sniffer Pro的登录与界面
5.2.3 入侵测系统的分类
1.按照检测类型划分
(1)异常检测模型(Anomaly detection)
(2)特征检测模型(Signature-based detection)
5.2.3 入侵检测系统的分类
2.按照检测对象划分
(1)基于主机的入侵检测产品(HIDS) 安装在被检测的主机上,对该主机的 网络进行实时连接以及系统审计日志进行 智能分析和判断。 (2)基于网络的入侵检测产品(NIDS) 放置在比较重要的网段内,不停地监 视网段中的各种数据包。
OSI模型的层次 应用层与表示层 应用层与表示层 会话层 数据链路层 网络层 数据链路层与物理层
入侵检测系统
5.2 入侵检测系统
5.2.1 入侵检测的概念与原理
入侵检测是指“通过对行为、安全日志或审计数据或其他 网络上可以获得的信息进行操作,检测到对系统的闯入或 闯入的企图。 入侵检测技术是用来发现内部攻击、外部攻击和误操作的 一种方法。是一种动态的网络安全技术,传统的操作系统 加固技术等都是静态安全防御技术。 入侵检测被认为是防火墙之后的第二道安全闸门,在不影 响网络性能的情况下能对网络进行检测,从而提供对内部 攻击、外部攻击和误操作的实时保护。
定义过滤器
捕获ARP帧的结果
5.1.4 Sniffer Pro的高级应用
《防火墙技术》课件
防火墙通常部署在网络的入口处,对进入和离开网络的数据包进行过滤和监控,以防止潜在的威胁和 攻击。防火墙可以阻止非法访问、防止数据泄露、过滤恶意软件等,从而保护网络的安全和稳定。
防火墙的分类
总结词
根据不同的分类标准,防火墙可以分为多种类型,如按工作方式可以分为包过滤防火墙和应用层网关防火墙等。
详细描述
总结词
实现复杂度较高
详细描述
状态检测技术需要维护大量的会话状态信息,相对于其他 防火墙技术,其实现复杂度较高,对硬件和软件资源的要 求也较高。
内容过滤技术
总结词
基于应用层协议和内容的过滤技术
详细描述
内容过滤技术是一种更为高级的防火墙技术,它不仅对数 据包的头部信息进行过滤,还对数据包的内容进行解析和 应用层协议识别。内容过滤技术能够实现更为精细的控制 和应用层安全策略。
应用代理技术
总结词:安全性高
详细描述:由于应用代理技术能够理解应用层协议,因此可以针对具体的应用进行安全控制,提供更高级别的安全保障。
应用代理技术
总结词
性能开销大
详细描述
应用代理技术需要对通信进行中间件 处理,相对于其他防火墙技术,其性 能开销较大,可能会影响网络的整体 性能。
状态检测技术
总结词
根据工作方式,防火墙可以分为包过滤防火墙和应用层网关防火墙。包过滤防火墙基于数据包的源地址、目标地 址、端口等信息进行过滤,而应用层网关防火墙则是在应用层对数据流进行监控和过滤。此外,根据部署位置, 防火墙还可以分为边界防火墙和内网防火墙等类型。
防火墙技术的发展历程
要点一
总结词
随着网络安全威胁的不断演变,防火墙技术也在不断发展 ,经历了多个阶段。
软件漏洞
防火墙软件本身可能存在漏洞,容易 被攻击者利用。
防火墙的分类
总结词
根据不同的分类标准,防火墙可以分为多种类型,如按工作方式可以分为包过滤防火墙和应用层网关防火墙等。
详细描述
总结词
实现复杂度较高
详细描述
状态检测技术需要维护大量的会话状态信息,相对于其他 防火墙技术,其实现复杂度较高,对硬件和软件资源的要 求也较高。
内容过滤技术
总结词
基于应用层协议和内容的过滤技术
详细描述
内容过滤技术是一种更为高级的防火墙技术,它不仅对数 据包的头部信息进行过滤,还对数据包的内容进行解析和 应用层协议识别。内容过滤技术能够实现更为精细的控制 和应用层安全策略。
应用代理技术
总结词:安全性高
详细描述:由于应用代理技术能够理解应用层协议,因此可以针对具体的应用进行安全控制,提供更高级别的安全保障。
应用代理技术
总结词
性能开销大
详细描述
应用代理技术需要对通信进行中间件 处理,相对于其他防火墙技术,其性 能开销较大,可能会影响网络的整体 性能。
状态检测技术
总结词
根据工作方式,防火墙可以分为包过滤防火墙和应用层网关防火墙。包过滤防火墙基于数据包的源地址、目标地 址、端口等信息进行过滤,而应用层网关防火墙则是在应用层对数据流进行监控和过滤。此外,根据部署位置, 防火墙还可以分为边界防火墙和内网防火墙等类型。
防火墙技术的发展历程
要点一
总结词
随着网络安全威胁的不断演变,防火墙技术也在不断发展 ,经历了多个阶段。
软件漏洞
防火墙软件本身可能存在漏洞,容易 被攻击者利用。
防火墙入侵检测技术的概念24页PPT
安全措施和Leabharlann 术加密:常规加密、公开密钥加密; 数据鉴别:消息摘要; 数字签名; 身份认证:口令、身份认证协议、生物特征; 网络安全协议: IPSec、SSL、PGP、S/MIME; 网络安全产品与技术:防火墙、VPN; 应用程序防护: 防病毒、防止缓冲区溢出等。
面对的入侵威胁
人因攻击:社会工程、盗窃行为; 物理攻击:电磁脉冲炸弹等; 数据攻击:非法获取数据、篡改数据; 身份冒充:IP欺骗、会话重放、会话劫持; 非法使用:利用系统的漏洞(缓冲区溢出); 拒绝服务:EMAIL轰炸等。
入侵检测发展的历程3
1988年, SRI公司CSL实验室的Teresa Lunt等人改进了 Denning的入侵检测模型,研究出了一个实时入侵检测系统 模型IDES(Intrusion Detection Expert System。
IDES是一个综合入侵检测系统,同时采用专家系统(误用 检测)和统计分析(异常检测)两种检测技术。
入侵检测技术——概念
入侵检测的起点——主机审计 入侵检测的定义 入侵检测发展的历程 IDS分类
主机审计
审计技术:产生、记录并检查按时间顺序排列的系统事件记 录的过程。
审计的目标: 确定和保持系统活动中每个人的责任; 重建事件; 评估损失; 监测系统的问题区; 提供有效的灾难恢复; 阻止系统的不正当使用。
入侵检测的分类(1)
按照数据来源:
Denning提出的模型是一个基于主机的入侵检测模型。首先对 主机事件按照一定的规则学习产生用户行为模型(Activity Profile),然后将当前的事件和模型进行比较,如果不匹配则 认为异常。
现在的各种入侵检测技术和体系都是在此基础上的扩展和细 化。
Denning的通用入侵检测模型
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
包过滤技术的原理在于监视并过滤网络上流入流出的IP包,拒绝发送 可疑的包。基于协议特定的标准,路由器在其端口能够区分包和限制 包的能力叫包过滤(Packet Filtering)。由于Internet与Intranet的 连接多数都要使用路由器,所以路由器成为内外通信的必经端口,过 滤 路 由 器 也 可 以 称 作 包 过 滤 路 由 器 或 筛 选 路 由 器 ( Packet Filter Router)。
统。 在互联网上,防火墙是一种非常有效的网络安全系统,
通过它可以隔离风险区域(Internet或有一定风险的 网络)与安全区域(局域网)的连接,同时不会妨碍 安全区域对风险区域的访问,网络防火墙结构如图所 示
2.使用防火墙的目的: (1)限制访问者进入被严格控制的点。 (2)防止侵入者接近内部设施。 (3)限制访问者离开被严格控制的点,有效的保护内部资源。 (4)检查、过滤和屏蔽有害的服务。 3.防火墙的特征 典型的防火墙具有以下三个方面的基本特性: (1)所有进出网络的数据流都必须经过防火墙 (2)只有符合安全策略的数据流才能通过防火墙 (3)防火墙自身应具有非常强的抗攻击的能力
屏蔽子网防火墙体系结构:堡垒机放在一个子网内, 形成非军事区,两个分组过滤路由器放在这一子网的两 端,使这一子网与Internet及内部网络分离。在屏蔽子 网防火墙体系结构中,堡垒主机和分组过滤路由器共同 构成了整个防火墙的安全基础。
5.2.2 防火墙的主要技术
1.包过滤技术
(1)包过滤技术的原理
数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用, 网络性能和透明性好,它通常安装在路由器上。路由器是内 部网络与Internet连接必不可少的设备,因此在原有网络上 增加这样的防火墙几乎不需要任何额外的费用。
分组过滤或包过滤,是一种通用、廉价、有效的安全手段。 之所以通用,因为它不针对各个具体的网络服务采取特殊的 处理方式;之所以廉价,因为大多数路由器都提供分组过滤 功能;之所以有效,因为它能很大程度地满足企业的安全要 求。 所根据的信息来源于IP、TCP或UDP包头。
2.应用级网关
应用级网关(Application Level Gateways)是在网络 应用层上建立协议过滤和转发功能。它针对特定的网 络应用服务协议使用指定的数据过滤逻辑,并在过滤 的同时,对数据包进行必要的分析、登记和统计,形 成报告。实际中的应用网关通常安装在专用工作站系 统上。
数据包过滤和应用网关防火墙有一个共同的特点, 就是它们仅仅依靠特定的逻辑判定是否允许数据包通 过。一旦满足逻辑,则防火墙内外的计算机系统建立 直接联系,防火墙外部的用户便有可能直接了解防火 墙内部的网络结构和运行状态,这有利于实施非法访 问和攻击。
第5章 防火墙与入侵检测技术
5.1 防火墙概述
5.1.1 防火墙的概念
防火墙的本义原是指古代人们房屋之间修建的 墙,这道墙可以防止火灾发生的时候蔓延到别 的房屋,如图
安全区域 服务器 工作站域 服务器 工作站 台式PC 打印机
服务器
防火墙
Internet网络
1.防火墙的定义 防火墙是指隔离本地网络与外界网络之间的一道防御系
3. 代理服务器型防火墙
代理服务(Proxy Service)也称链路级网关或TCP通道 (Circuit Level Gateways or TCP Tunnels),也有人将 它归于应用级网关一类。它是针对数据包过滤和应用网 关技术存在的缺点而引入的防火墙技术,其特点是将所 有跨越防火墙的网络通信链路分为两段。防火墙内外计 算机系统间应用层的“链接”,由代理服务器上代理程 序来实现,外部计算机的网络链路只能到达代理服务器, 从而起到了隔离防火墙内外计算机系统的作用。
4. 复合型防火墙
由于对更高安全性的要求,常把基于包过滤的方法与 基于应用代理的方法结合起来,形成复合型防火墙产品。 这种结合通常是以下两种方案。
屏蔽主机防火墙体系结构:在该结构中,分组过滤路 由器或防火墙与Internet相连,同时一个堡垒主机安装 在内部网络,通过在分组过滤路由器或防火墙上过滤规 则的设置,使堡垒主机成为Internet上其它节点所能到 达的惟一节点,这确保了内部网络不受未授权外部用户 的攻击。
5.1.2 防火墙的功能
➢ 根据不同的需要,防火墙的功能有比较大差异,但是 一般都包含以下三种基本功能。
✓ 可以限制未授权的用户进入内部网络,过滤掉不安全的服务 和非法用户
✓ 防止入侵者接近网络防御设施 ✓ 限制内部用户访问特殊站点
➢ 由于防火墙假设了网络边界和服务,因此适合于相对 独立的网络,例如Intranet等种类相对集中的网络。 Internet上的Web网站中,超过三分之一的站点都是 有某种防火墙保护的,任何关键性的服务器,都应该 放在防火墙之后。
5.2 防火墙技术
5.2.1 防火墙的类型
1.数据包过滤型防火墙
数据包过滤(Packet Filtering)技术是在网络层对数据包 进行选择,选择的依据是系统内设置的过滤逻辑,被称为访 问控制表(Access Control Table)。通过检查数据流中每个 数据包的源地址、目的地址、所用的端口号、协议状态等因 素,或它们的组合来确定是否允许该数据包通过。
4.防火墙的局限性
(1) 防火墙不能防范不经过防火墙的攻击。 (2) 防火墙不能解决来自内部网络的攻击和安全问题。 (3) 防火墙不能防止策略配置不当或错误配置引起的安全 威胁。 (4) 防火墙不能防止可接触的人为或自然的破坏。 (5) 防火墙不能防止利用标准网络协议中的缺陷进行的攻 击。 (6) 防火墙不能防止利用服务器系统漏洞所进行的攻击。 (7) 防火墙几乎不能防范病毒。 (8) 防火墙不能防止数据驱动式的攻击。 (9) 防火墙不能防止内部的泄密行为。 (10)防火墙不能防止本身的安全漏洞的威胁。 (11)防火墙不能防备全部的威胁。
此外,代理服务也对过往的数据包进行分析、注册登 记,形成报告,同时当发现被攻击迹象时会向网络管理 员发出警报,并保留攻击痕迹。
应用代理型防火墙是内部网与外部网的隔离点,起着 监视和隔绝应用层通信流的作用。同时也常结合过滤器 的功能。它工作在OSI模型的最高层,掌握着应用系统 中可用作安全决策的全部信息。
统。 在互联网上,防火墙是一种非常有效的网络安全系统,
通过它可以隔离风险区域(Internet或有一定风险的 网络)与安全区域(局域网)的连接,同时不会妨碍 安全区域对风险区域的访问,网络防火墙结构如图所 示
2.使用防火墙的目的: (1)限制访问者进入被严格控制的点。 (2)防止侵入者接近内部设施。 (3)限制访问者离开被严格控制的点,有效的保护内部资源。 (4)检查、过滤和屏蔽有害的服务。 3.防火墙的特征 典型的防火墙具有以下三个方面的基本特性: (1)所有进出网络的数据流都必须经过防火墙 (2)只有符合安全策略的数据流才能通过防火墙 (3)防火墙自身应具有非常强的抗攻击的能力
屏蔽子网防火墙体系结构:堡垒机放在一个子网内, 形成非军事区,两个分组过滤路由器放在这一子网的两 端,使这一子网与Internet及内部网络分离。在屏蔽子 网防火墙体系结构中,堡垒主机和分组过滤路由器共同 构成了整个防火墙的安全基础。
5.2.2 防火墙的主要技术
1.包过滤技术
(1)包过滤技术的原理
数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用, 网络性能和透明性好,它通常安装在路由器上。路由器是内 部网络与Internet连接必不可少的设备,因此在原有网络上 增加这样的防火墙几乎不需要任何额外的费用。
分组过滤或包过滤,是一种通用、廉价、有效的安全手段。 之所以通用,因为它不针对各个具体的网络服务采取特殊的 处理方式;之所以廉价,因为大多数路由器都提供分组过滤 功能;之所以有效,因为它能很大程度地满足企业的安全要 求。 所根据的信息来源于IP、TCP或UDP包头。
2.应用级网关
应用级网关(Application Level Gateways)是在网络 应用层上建立协议过滤和转发功能。它针对特定的网 络应用服务协议使用指定的数据过滤逻辑,并在过滤 的同时,对数据包进行必要的分析、登记和统计,形 成报告。实际中的应用网关通常安装在专用工作站系 统上。
数据包过滤和应用网关防火墙有一个共同的特点, 就是它们仅仅依靠特定的逻辑判定是否允许数据包通 过。一旦满足逻辑,则防火墙内外的计算机系统建立 直接联系,防火墙外部的用户便有可能直接了解防火 墙内部的网络结构和运行状态,这有利于实施非法访 问和攻击。
第5章 防火墙与入侵检测技术
5.1 防火墙概述
5.1.1 防火墙的概念
防火墙的本义原是指古代人们房屋之间修建的 墙,这道墙可以防止火灾发生的时候蔓延到别 的房屋,如图
安全区域 服务器 工作站域 服务器 工作站 台式PC 打印机
服务器
防火墙
Internet网络
1.防火墙的定义 防火墙是指隔离本地网络与外界网络之间的一道防御系
3. 代理服务器型防火墙
代理服务(Proxy Service)也称链路级网关或TCP通道 (Circuit Level Gateways or TCP Tunnels),也有人将 它归于应用级网关一类。它是针对数据包过滤和应用网 关技术存在的缺点而引入的防火墙技术,其特点是将所 有跨越防火墙的网络通信链路分为两段。防火墙内外计 算机系统间应用层的“链接”,由代理服务器上代理程 序来实现,外部计算机的网络链路只能到达代理服务器, 从而起到了隔离防火墙内外计算机系统的作用。
4. 复合型防火墙
由于对更高安全性的要求,常把基于包过滤的方法与 基于应用代理的方法结合起来,形成复合型防火墙产品。 这种结合通常是以下两种方案。
屏蔽主机防火墙体系结构:在该结构中,分组过滤路 由器或防火墙与Internet相连,同时一个堡垒主机安装 在内部网络,通过在分组过滤路由器或防火墙上过滤规 则的设置,使堡垒主机成为Internet上其它节点所能到 达的惟一节点,这确保了内部网络不受未授权外部用户 的攻击。
5.1.2 防火墙的功能
➢ 根据不同的需要,防火墙的功能有比较大差异,但是 一般都包含以下三种基本功能。
✓ 可以限制未授权的用户进入内部网络,过滤掉不安全的服务 和非法用户
✓ 防止入侵者接近网络防御设施 ✓ 限制内部用户访问特殊站点
➢ 由于防火墙假设了网络边界和服务,因此适合于相对 独立的网络,例如Intranet等种类相对集中的网络。 Internet上的Web网站中,超过三分之一的站点都是 有某种防火墙保护的,任何关键性的服务器,都应该 放在防火墙之后。
5.2 防火墙技术
5.2.1 防火墙的类型
1.数据包过滤型防火墙
数据包过滤(Packet Filtering)技术是在网络层对数据包 进行选择,选择的依据是系统内设置的过滤逻辑,被称为访 问控制表(Access Control Table)。通过检查数据流中每个 数据包的源地址、目的地址、所用的端口号、协议状态等因 素,或它们的组合来确定是否允许该数据包通过。
4.防火墙的局限性
(1) 防火墙不能防范不经过防火墙的攻击。 (2) 防火墙不能解决来自内部网络的攻击和安全问题。 (3) 防火墙不能防止策略配置不当或错误配置引起的安全 威胁。 (4) 防火墙不能防止可接触的人为或自然的破坏。 (5) 防火墙不能防止利用标准网络协议中的缺陷进行的攻 击。 (6) 防火墙不能防止利用服务器系统漏洞所进行的攻击。 (7) 防火墙几乎不能防范病毒。 (8) 防火墙不能防止数据驱动式的攻击。 (9) 防火墙不能防止内部的泄密行为。 (10)防火墙不能防止本身的安全漏洞的威胁。 (11)防火墙不能防备全部的威胁。
此外,代理服务也对过往的数据包进行分析、注册登 记,形成报告,同时当发现被攻击迹象时会向网络管理 员发出警报,并保留攻击痕迹。
应用代理型防火墙是内部网与外部网的隔离点,起着 监视和隔绝应用层通信流的作用。同时也常结合过滤器 的功能。它工作在OSI模型的最高层,掌握着应用系统 中可用作安全决策的全部信息。