可控性：对信息的传播及内容具有控制能力。 可审查性：
• 出现安全问题时提供依据与手段构建网络安全系统，一方面由于要进行认证、 加密、监听，分析、记录等工作，由此影响网络效率，并且降低客户应用的 灵活性；另一方面也增加了管理费用。
Company Logo
二.影响网络安全的因素
网络结构因素
核心交换机
服务器
IDS
Company Logo
典型的基于网络的入侵检测系统 Snort
Snort:
是一个用C语言开发的开源网络入侵检测系统，目前，Snort已发展成为 一个集多平台,实时流量分析,网络IP数据包记录等特性的强大的网络入侵 检测/防御系统。
Snort可以三个模式运行：
侦测模式（Sniffer Mode）：此模式下，Snort将在捕获网段内的所有数 据包，并显示在屏幕上。 封包纪录模式：此模式下，Snort将已捕获的数据包存入储存硬盘中。 上线模式（inline mode）：此模式下，Snort可对捕获到的数据包做分析 的动作，并根据一定的规则来判断是否有网络攻击行为的出现。
Company Logo
网络安全与IDS
网络安全概述
入侵检测系统IDS
IDS的未来
Company Logo
网络安全
网络安全
一.什么是网 络安全
三.常见的入 侵方法
二.影响网络 安全的因素
Company Logo
一.什么是网络安全
网络安全：
是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或 者恶意的原因而遭受到破坏、更改、泄露，系统能连续可靠正常地运行， 网络服务不中断。
5．通过对POP3服务器发出上千次同一命令而导致的 DoS攻击
通过跟踪记录某个命令连续发出的次数，看看是否超过了预设上 限，而发出报警信息。
6．未登录情况下使用文件和目录命令对FTP服务器的文 件访问攻击
Company Logo
统计分析
1.统计分析方法首先给系统对象创建一个统计描 述 2.统计模型常用异常检测: 在统计模型中常用的测量参数包括：审计事件 的数量、间隔时间、资源消耗情况等。 3. 比较测量属性的平均值与网络、系统的行为
多元模型:
操作模型的扩展，通过同时分析多个参数实现检测。
马尔柯夫过程模型:
将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态 的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可 能是异常事件。
时间序列分析:
将事件计数与资源耗用根据时间排成序列，如果一个新事件在该 时间发生的概率较低，则该事件可能是入侵，cpu使用。
响应：
来自内核的安全警告，当有人违反规则时， LIDS会在 控制台显示警告信息，将非法的活动细节记录到受 LIDS保护的系统log文件中。 LIDS还可以将log信息发 到你的信箱中。LIDS还可以马上关闭与用户的会话。
Company Logo
基于网络的入侵检测系统
数据源是网络上的数据包 根据网络的拓扑结构的不同，入侵 检测系统的监听端口可以接在共享 媒质的集线器或交换机的镜像端口 （SpanPort）上、或专为监听所增 设的分接器（Tap）上。 是一个典型的sniffer 设备 内置的入侵知识库
三、入侵检测系统的组成
事件产生器
事件分析器
响应单元
事件数据库
Company Logo
模式匹配（特征库匹配举例）
1．来自保留IP地址的连接企图 2．带有非法TCP 标志联合物的数据包
可通过对比TCP报头中的标志集与已知正确和错误标记联合物的 不同点来识别。
3．含有特殊病毒信息的Email
Company Logo
常用的入侵检测5种统计模型为：
操作模型:
该模型假设异常可通过测量结果与一些固定指标相比较得到，固 定指标可以根据经验值或一段时间内的统计平均得到，举例来说， 在短时间内的多次失败的登录很有可能是口令尝试攻击。
方差:
计算参数的方差，设定其置信区间，当测量值超过置信区间的范 围时表明有可能是异常。
是以可用性作为攻击目标，它毁坏系统资源，使网络不可用。如 Dos拒绝服务，synflood、 arp欺骗、land attack、死亡之PING、
截获
是以保密性作为攻击目标，非授权用户通过某种手段获得对系统 资源的访问。 如sniffer，IDS本身就是一个Sniffer
修改
是以完整性作为攻击目标，非授权用户不仅获得访问而且对数据 进行修改。 如Tcp会话劫持
网络监测：
即在数据包真正抵达主机之前对试图进入主机的数据 包进行监测，以避免其进入系统后可能造成的损害。 这点与基于网络的ID不同，因为它仅仅对已经抵达主 机的数据进行监测，而后者则是对网络上的流量进行 监控。如次一来就不需要把网卡设置成混杂模式了。
主机监测：
任何入侵企图都会在监测文件、文件系统、登录记录 或其他主机上的文件中留下痕迹，系统管理员们可以 从这些文件中找到相关痕迹。因此可以通过监测文件 系统的变化来发现入侵。一旦系统被攻陷，入侵者就 会立即开始更改系统的文件，或者更改一些设置以废 掉IDS的功能。
Company Logo
一个基于主机的入侵检测系统 LIDS
文件保护：
保护硬盘上任何类型的重要文件和目录，如/bin、 /sbin、/usr/bin、/usr/sbin、/etc/rc.d等目录和其 下的文件，以及系统中的敏感文件，如passwd和 shadow文件，
检测：
LIDS能检测到扫描并报告系统管理员。 LIDS还可以检 测到系统上任何违反规则的进程。
缓冲区溢出
Company Logo
缓冲区溢出
Company Logo
网络安全与IDS
网络安全概述

入侵检测系统IDS
IDS的未来
Company Logo
网络安全
IDS （入侵检测系统）
一. IDS简介 二. IDS的分
类及布曙
四. IDS工作
流程
三. IDS系统
组成
Company Logo
一、什么是IDS
网络协议因素

地域因素

用户因素

主机因素

Company Logo
如何保证网络信息安全 加密技术
对称加密 非对称加密
认证技术
数字签名 数字证书
使用网络安全设备
防火墙 IDS IPS
Company Logo
常见入侵
主要有四种攻击方式中断、截获、修改和伪造。 中断
基本指令：
若你想要在屏幕上显示网络数据包的报头（header）内容，使用 ./snort -v 如果想要在屏幕上显示正在传输的数据包的报头内容，使用 ./snort -vd 如果除了以上显示的内容之外，欲另外显示数据链路层信息，使用 ./snort -vde
Company Logo
基于行为的入侵检测系统 基于模型推理的入侵检测系统
按照检测时间分为：
实时入侵检测系统 事后入侵检测系统
Company Logo
基于主机的入侵检测系统
以系统日志、应 用程序日志等作 为数据源 主机型入侵检测 系统保护的一般 是所在的系统
Company Logo
基于主机的入侵检测系统
Company Logo
Internet
IDS 2 子网 A IDS 3
交换机 子网 B
IDS 1
IDS 4
带主机IDS感应 器的服务器 服务器
Company Logo
二. IDS的分类及布曙 根据检测对象的不同：
基于主机的入侵检测系统 基于网络入侵检测 分布式的入侵检测系统
按照其采用的方法：
Company Logo
完整性分析
完整性分析主要关注某个文件或对象是否被更改
如：文件和目录的内容及属性，它在发现被更改的、 被特洛伊化的应用程序方面特别有效。完整性分析利 用强有力的加密机制，称为消息摘要函数 (例如MDS)， 它能识别哪怕是微小的变化。
只要是成功的攻击导致了文件或其他对象的任何 改变，它都能够发现。 缺点是一般以批处理方式实现，不用于实时响应。
网络基本拓扑结构有3种：星型、总线型和环型。一个单位在建立自己的内部网之前，各部门 可能已建 造了自己的局域网，所采用的拓扑结构也可能完全不同。在建造内部网时，为了实 现异构网络间信息的通信，往往要牺牲一些安全机制的设置和实现，从而提出更高的网络开放 性要求。 在建造内部网时，用户为了节省开支，必然会保护原有的网络基础设施。另外，网络公司为生 存的需要，对网络协议的兼容性要求越来越高，使众多厂商的协议能互联、兼容和相互通信。 这在给用户和厂商带来利益的同时，也带来了安全隐患。如在一种协议下传送的有害程序能很 快传遍整个网络。 由于内部网Intranet既可以是LAN也可能是WAN(内部网指的是它不是一个公用网络，而是一个 专用网络)，网络往往跨越城际，甚至国际。地理位置复杂，通信线路质量难以保证，这会造 成信息在传输过程中的损坏和丢失，也给一些”黑客”造成可乘之机。 企业建造自己的内部网是为了加快信息交流，更好地适应市场需求。建立之后，用户的范围必 将从企业员工扩大到客户和想了解企业情况的人。用户的增加，也给网络的安全性带来了威胁， 因为这里可能就有商业间谍或“黑客” 建立内部网时，使原来的各局域网、单机互联，增加了主机的种类，如工作站、服务器，甚至 小型机、大中型机。由于它们所使用的操作系统和网络操作系统不尽相同，某个操作系统出现 漏洞(如某些系统有一个或几个没有口令的账户)，就可能造成整个网络的大隐患。
例如，统计分析可能标识一个不正常行为，因为它发 现一个在晚八点至早六点不登录的账户却在凌晨两点 试图登录。其优点是可检测到未知的入侵和更为复杂 的人侵，缺点是误报、漏报率高，且不适应用户正常 行为的突然改变。具体的统计分析方法如基于专家系 统的、基于模型推理的和基于神经网络的分析方法， 目前正处于研究热点和迅速发展之中。