01入侵检测概念和作用
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全产品配置与应用
Configuration and Application of Information Security Products
重庆电子工程职业学院| 路亚
《信息安全产品配置与应用》课程之入侵检测篇
模块三、IDS产品配置与应用
网络安全状况
为什么要使用入侵检测 入侵检测发展历程 入侵检测工作原理 入侵检测体系结构 入侵检测的分类
《信息安全产品配置与应用》课程之入侵检测篇
《信息安全产品配置与应用》课程之入侵检测篇
网络入侵技术发展趋势
《信息安全产品配置与应用》课程之入侵检测篇
本讲主要内容
网络安全状况
为什么要使用入侵检测 入侵检测发展历程 入侵检测工作原理 入侵检测体系结构 入侵检测的分类
入侵检测的典型应用
入侵检测的瓶颈和解决办法 入侵检测与防火墙的联动
入侵检测的典型应用
入侵检测的瓶颈和解决办法 入侵检测与防火墙的联动
入侵检测与入侵防御
《信息安全产品配置与应用》课程之入侵检测篇
安全形势-当前的安全问题
互联网技术的发展,给信息产业结构带来巨大的变革,网络技术的应 用,从根本上改变了政府、企业、个人的生产、经营、生活等各个层面。
截止2006年,全国上网用户达11000万人,上网计算机台数达4950万 台,在CNNIC注册域名总数达2,592,410个,其中CN域名为1,096, 924个,网站总数达694,200个,我国国际出口总带宽达136,106M,互 联网已经成为日常经营活动中的重要组成部分。
WEB服务器
Attack code
Attack code
攻击者 内部攻击者 内部攻击者
来自内部用户的攻击
《信息安全产品配置与应用》课程之入侵检测篇
防火墙的局限(2)
Ú ² Ä ¿ Í ø Â ç
Minicomputer Computer
攻击包没有经过防 火墙,防火墙无能 为力
Attack code
《信息安全产品配置与应用》课程之入侵检测篇
总体安全形势
《信息安全产品配置与应用》课程之入侵检测篇
入侵来源分析
>80% >15%
内部人员
内外勾结
外部个人和小组
竞争对手和恐怖组织
(所谓黑客)
特殊身份人员
敌对国家和军事组织
《信息安全产品配置与应用》课程之入侵检测篇
招致入侵的主要原因
越来越多的安全漏洞 为入侵提供了机会!
要确保网络的安全,就要对网络访问行为进 行实时监控,这就需要IDS无时不在的保护!
《信息安全产品配置与应用》课程之入侵检测篇
入侵检测系统的作用
防火墙就象一道门,它可以阻止一类人群的进入,但无法阻止 混在同一类人群中的破坏分子,也不能阻止内部的破坏分子; 访问控制系统可以不让低级权限的人做越权工作,但无法保证 高级权限的做破坏工作,也无法保证低级权限的人通过非法行 为获得高级权限; 在安全体系中,IDS是唯一一个通过数据和行为模式判断其是否
入侵检测与入侵防御
《信息安全产品配置与应用》课程之入侵检测篇
什么是入侵检测系统?
对指向计算机网络资源的各种攻击企图、攻击行 为或者攻击结果进行监视和识别的过程。
什么是入侵检测系统?
IDS(Intrusion Detection System),是通过 从计算机网络或计算机系统中的若干关键点收集信息 并对其进行分析,从中发现网络或系统中是否有违反 安全策略的行为和遭到袭击的迹象的一种安全技术。 (ICSA入侵检测系统论坛)
%c1%1c
unicode attack 数据驱动型攻击
《信息安全产品配置与应用》课程之入侵检测篇
防火墙的局限(4)
防火墙不能防止通向站点的后门。 防火墙不能防范利用服务器漏洞或通信协议的缺陷进
行的攻击。 防火墙一般不提供对网络滥用的防范。 防火墙不能防范内部用户主动泄密的行为。 防火墙策略配置不当或自身漏洞会导致安全隐患。
有效的系统,它是防火墙和访问控制机制的合理补充,可看作
是防火墙之后的第二道安全闸门,实时收集和分析计算机系统 和网络中的信息,帮助系统对付网络攻击,扩展了系统管理员
的安全管理能力(包括监视、进攻识别、响应和安全审计),
提高了信息安全基础结构的完整性。
《信息安全产品配置与应用》课程之入侵检测篇
入侵检测系统的作用
·É Â Ó Æ ÷
Internet
Router
Computer
Computer
Firewall
À » · Βιβλιοθήκη Baidu Ç ½
Internet
Modem
Modem
ISP
绕过防火墙的攻击
《信息安全产品配置与应用》课程之入侵检测篇
防火墙的局限(3)
低版本的IIS 将 %c1%1c解析为dir c:\并执行该命令 防火墙根据访问控制 规则,判断为合法访 问而将数据包放行
《信息安全产品配置与应用》课程之入侵检测篇
已经安装了防火墙,为什 么还需要IDS?
《信息安全产品配置与应用》课程之入侵检测篇
防火墙的作用
安全域1 Host A Host B 两个安全域之间通 信流的唯一通道 安全域2 Host C Host D
Source Host A Host B
Destination Host C Host C
Permit Pass Block
Protocol TCP UDP
根据访问控制规则决 定进出网络的行为
一种高级访问控制设备,置于不同网络安全域之间,它通过相关的安全策略来控制 (允许、拒绝、监视、记录)进出网络的访问行为。
《信息安全产品配置与应用》课程之入侵检测篇
防火墙的局限(1)
攻击包没有经过防 火墙,防火墙无能 为力
摄像机=IDS探测引擎 后门 监控室=控制中心
Card Key
保安=防火墙
形象地说,IDS就是一台智能的X光摄像机,它能够捕获并记录网络上的所有数据,分 析并提炼出可疑的、异常的内容,尤其是它能够洞察一些巧妙的伪装,抓住内容的实质,此 外,它还能够对入侵行为自动地进行响应:报警、阻断连接、关闭道路(与防火墙联动)。
Configuration and Application of Information Security Products
重庆电子工程职业学院| 路亚
《信息安全产品配置与应用》课程之入侵检测篇
模块三、IDS产品配置与应用
网络安全状况
为什么要使用入侵检测 入侵检测发展历程 入侵检测工作原理 入侵检测体系结构 入侵检测的分类
《信息安全产品配置与应用》课程之入侵检测篇
《信息安全产品配置与应用》课程之入侵检测篇
网络入侵技术发展趋势
《信息安全产品配置与应用》课程之入侵检测篇
本讲主要内容
网络安全状况
为什么要使用入侵检测 入侵检测发展历程 入侵检测工作原理 入侵检测体系结构 入侵检测的分类
入侵检测的典型应用
入侵检测的瓶颈和解决办法 入侵检测与防火墙的联动
入侵检测的典型应用
入侵检测的瓶颈和解决办法 入侵检测与防火墙的联动
入侵检测与入侵防御
《信息安全产品配置与应用》课程之入侵检测篇
安全形势-当前的安全问题
互联网技术的发展,给信息产业结构带来巨大的变革,网络技术的应 用,从根本上改变了政府、企业、个人的生产、经营、生活等各个层面。
截止2006年,全国上网用户达11000万人,上网计算机台数达4950万 台,在CNNIC注册域名总数达2,592,410个,其中CN域名为1,096, 924个,网站总数达694,200个,我国国际出口总带宽达136,106M,互 联网已经成为日常经营活动中的重要组成部分。
WEB服务器
Attack code
Attack code
攻击者 内部攻击者 内部攻击者
来自内部用户的攻击
《信息安全产品配置与应用》课程之入侵检测篇
防火墙的局限(2)
Ú ² Ä ¿ Í ø Â ç
Minicomputer Computer
攻击包没有经过防 火墙,防火墙无能 为力
Attack code
《信息安全产品配置与应用》课程之入侵检测篇
总体安全形势
《信息安全产品配置与应用》课程之入侵检测篇
入侵来源分析
>80% >15%
内部人员
内外勾结
外部个人和小组
竞争对手和恐怖组织
(所谓黑客)
特殊身份人员
敌对国家和军事组织
《信息安全产品配置与应用》课程之入侵检测篇
招致入侵的主要原因
越来越多的安全漏洞 为入侵提供了机会!
要确保网络的安全,就要对网络访问行为进 行实时监控,这就需要IDS无时不在的保护!
《信息安全产品配置与应用》课程之入侵检测篇
入侵检测系统的作用
防火墙就象一道门,它可以阻止一类人群的进入,但无法阻止 混在同一类人群中的破坏分子,也不能阻止内部的破坏分子; 访问控制系统可以不让低级权限的人做越权工作,但无法保证 高级权限的做破坏工作,也无法保证低级权限的人通过非法行 为获得高级权限; 在安全体系中,IDS是唯一一个通过数据和行为模式判断其是否
入侵检测与入侵防御
《信息安全产品配置与应用》课程之入侵检测篇
什么是入侵检测系统?
对指向计算机网络资源的各种攻击企图、攻击行 为或者攻击结果进行监视和识别的过程。
什么是入侵检测系统?
IDS(Intrusion Detection System),是通过 从计算机网络或计算机系统中的若干关键点收集信息 并对其进行分析,从中发现网络或系统中是否有违反 安全策略的行为和遭到袭击的迹象的一种安全技术。 (ICSA入侵检测系统论坛)
%c1%1c
unicode attack 数据驱动型攻击
《信息安全产品配置与应用》课程之入侵检测篇
防火墙的局限(4)
防火墙不能防止通向站点的后门。 防火墙不能防范利用服务器漏洞或通信协议的缺陷进
行的攻击。 防火墙一般不提供对网络滥用的防范。 防火墙不能防范内部用户主动泄密的行为。 防火墙策略配置不当或自身漏洞会导致安全隐患。
有效的系统,它是防火墙和访问控制机制的合理补充,可看作
是防火墙之后的第二道安全闸门,实时收集和分析计算机系统 和网络中的信息,帮助系统对付网络攻击,扩展了系统管理员
的安全管理能力(包括监视、进攻识别、响应和安全审计),
提高了信息安全基础结构的完整性。
《信息安全产品配置与应用》课程之入侵检测篇
入侵检测系统的作用
·É Â Ó Æ ÷
Internet
Router
Computer
Computer
Firewall
À » · Βιβλιοθήκη Baidu Ç ½
Internet
Modem
Modem
ISP
绕过防火墙的攻击
《信息安全产品配置与应用》课程之入侵检测篇
防火墙的局限(3)
低版本的IIS 将 %c1%1c解析为dir c:\并执行该命令 防火墙根据访问控制 规则,判断为合法访 问而将数据包放行
《信息安全产品配置与应用》课程之入侵检测篇
已经安装了防火墙,为什 么还需要IDS?
《信息安全产品配置与应用》课程之入侵检测篇
防火墙的作用
安全域1 Host A Host B 两个安全域之间通 信流的唯一通道 安全域2 Host C Host D
Source Host A Host B
Destination Host C Host C
Permit Pass Block
Protocol TCP UDP
根据访问控制规则决 定进出网络的行为
一种高级访问控制设备,置于不同网络安全域之间,它通过相关的安全策略来控制 (允许、拒绝、监视、记录)进出网络的访问行为。
《信息安全产品配置与应用》课程之入侵检测篇
防火墙的局限(1)
攻击包没有经过防 火墙,防火墙无能 为力
摄像机=IDS探测引擎 后门 监控室=控制中心
Card Key
保安=防火墙
形象地说,IDS就是一台智能的X光摄像机,它能够捕获并记录网络上的所有数据,分 析并提炼出可疑的、异常的内容,尤其是它能够洞察一些巧妙的伪装,抓住内容的实质,此 外,它还能够对入侵行为自动地进行响应:报警、阻断连接、关闭道路(与防火墙联动)。