2
一、复习检测
1.
2.
3.
在ISA 中VPN客户端和内部网络是什么网络关系？ 内部网络之间是什么网络关系？ 你是如何确认对方身份的？
3
二、导入课题
1.
2.
3.
在今天的企业网组建中，少不了重要的网络安全设备即防火墙。有人 做过统计，80%的企业购买安全产品首先防火墙，为什么防火墙受如 此欢迎呢？这是因为防火墙除了访问控制功能保护企业网，还附带了 其它重要功能。自然如此仅仅依赖防火墙就能够解决所有安全问题吗？ 防火墙优点是明显的，但是缺点也是不可小视的；防火墙不能防止内 部用户的攻击，不能有效防止带病毒的软件，不能防止加密的恶性代 码，对许多未知的新的攻击防火墙也是无能为力的。如果突破防火墙 攻击到内部，谁能够发现谁又能够阻止呢？这需要入侵+检测+技术。 在安全解决方案中，往往需要多种技术的结合，入侵检测系统和防火 墙联动，能够有效地解决许多安全问题，今天我们介绍入侵检测技术 的概念和工作原理。
– – – – –
NIDS具有网络局限性 NIDS的检测方法都有一定的局限性 NIDS不能处理加密后的数据 NIDS存在着资源和处理能力的局限性 NIDS受内存和硬盘的限制
38
四、知识点剖析及难点问题讲解
11、案例分析
–
三个数据区

防火墙PIX525 DMZ区 核心数据区 政府DMZ区
–
三个区都部署NIDS

对分析“可能的攻击行为”非常有用 得到的信息详尽 误报率低
26
四、知识点剖析及难点问题讲解
8、IDS主要有几种类型？
–
基于主机的IDS的缺点：


必须安装在要保护的设备上，出现安全风险 依赖服务器固有的日志与监视能力 部署代价大，易出现盲点 不能检测网络行为
27
四、知识点剖析及难点问题讲解
8、IDS主要有几种类型？
–
基于网络的IDS

NIDS放置在网段内，监视网络数据包 发现问题可以切断网络 目前IDS大多数是NIDS
28
四、知识点剖析及难点问题讲解 8、IDS主要有几种类型？
–
基于网络的IDS
Network
顾客
Network-based IDS Network-based IDS
–
信号分析

完整性分析
– – – –
关注某个文件或对象是否被更改 包括文件和目录的内容及属性 对于发现被更改的、被安装木马的应用程序方面特别有效 利用加密机制
21
四、知识点剖析及难点问题讲解
7、IDS是如何组成的？
– –
传感器（Sensor） 控制台（Console）
控制台（Console）
传感器（Sensor）
4
三、预习和讨论
1. 2. 3. 4.
5.
6. 7.
8.
9. 10. 11.
12.
13.
什么是IDS？ 为什么有了防火墙还需要IDS？ 探讨安全问题的起因。 IDS的功能是什么？ IDS的特点如何？ 入侵检测的步骤是什么？ 入侵检测的信息收集主要收集什么样的信息，收集这些信息的目的是 什么？ 信号分析主要有几种技术？ 什么是模式匹配，它的工作原理是什么？ 什么是统计分析，它的工作原理是什么？ 什么是完整性分析，它的工作原理是什么？ IDS是如何组成的？ IDS主要有几种类型？
32
四、知识点剖析及难点问题讲解
9、IDS入侵检测技术有哪些？
– –
基于规则检测 基于异常情况检测
33
四、知识点剖析及难点问题讲解
9、IDS入侵检测技术有哪些？
–
基于规则检测



Signature-Based Detection（特征检测) 假设入侵者活动可以用一种模式表示 目标是检测主体活动是否符合这些模式 对新的入侵方法无能为力 难点在于如何设计模式既能够表达入侵现象又不会将正常的 活动包含进来 准确率较高
熟悉基本功能
43
六、教学效果检查



什么是IDS？ 为什么有了防火墙还需要IDS？ IDS的功能是什么？ 入侵检测的步骤是什么？ 信号分析主要有几种技术？ 什么是模式匹配，它的工作原理是什么？ 什么是统计分析，它的工作原理是什么？ IDS主要有几种类型？ IDS入侵检测技术有哪些？ 什么叫基于规则检测？ 什么叫基于异常情况检测？
39
四、知识点剖析及难点问题讲解
11、案例分析
40
四、知识点剖析及难点问题讲解
12、IDS主流产品介绍
– –
Computer Associates公司

Sessi onWall-3/eTrust Intrusion Detection Intrusion Detection Appliance 4.0 “天眼”入侵检测系统
7
四、知识点剖析及难点问题讲解
1、什么是IDS （1）IDS部署： IDS置于防火墙与内部网之间
攻击者 内部网
Web服务器 Internet
防火墙 IDS
Email服务器
8
四、知识点剖析及难点问题讲解
2、为什么有了防火墙还需要IDS？
–
防火墙办不到的事

病毒等恶性程序可利用 email 夹带闯关 防火墙无法有效解决自身的安全问题 不能提供实时的攻击检测能力，防火墙只是按照固定的工作模 式来防范已知的威胁 防火墙不能阻止来自内部的攻击
防火墙
9
四、知识点剖析及难点问题讲解
3、安全问题的起因 ？
– – – –
网络管理是平面型 80%以上的入侵来自于网络内部 网络资源滥用 入侵越来越频繁
10
四、知识点剖析及难点问题讲解
4、IDS的功能是什么？
报警 日志记录
入侵检测
记录
终止入侵
重新配置 防火墙 路由器
攻击检测
11
内部入侵
记录入侵 过程
34
四、知识点剖析及难点问题讲解
9、IDS入侵检测技术有哪些？
–
基于规则检测 比较、匹配
入侵模式
入侵
检测到 的事件
35
四、知识点剖析及难点问题讲解
9、IDS入侵检测技术有哪些？
–
基于异常情况检测


Anomaly Detection(异常检测) 假设入侵者活动异常于正常主体的活动 制订主体正常活动的“活动阀值” 检测到的活动与“活动阀值”相比较
四、知识点剖析及难点问题讲解
4、IDS的功能是什么？
从不知 到有知
12
四、知识点剖析及难点问题讲解
4、IDS的功能是什么？
– – – – – – –
–
监控用户和系统的活动 查找非法用户和合法用户的越权操作 检测系统配置的正确性和安全漏洞 评估关键系统和数据的完整性 识别攻击的活动模式并向网管人员报警 对用户的非正常活动进行统计分析，发现入侵行为的 规律 操作系统审计跟踪管理，识别违反政策的用户活动 检查系统程序和数据的一致性与正确性
22
四、知识点剖析及难点问题讲解
8、IDS主要有几种类型？
– – –
基于主机的IDS 基于网络的IDS 混合IDS
23
四、知识点剖析及难点问题讲解
8、IDS主要有几种类型？
–
基于主机的IDS


HIDS安装在被重点检测的主机之上 HIDS对主机的网络实时连接以及系统审计日志进行智能分析 和判断 发现主机出现可疑行为，HIDS采取措施
Desktops 合作伙伴
Internet
Network-based IDS
分公司
Web Servers 远程连接
Servers
29
四、知识点剖析及难点问题讲解
8、IDS主要有几种类型？
–
基于网络的IDS的优点：


不需要改变服务器的配置 不影响业务系统的性能 部署风险小 具有专门设备
30
44
七、总结和扩展
重点： IDS概念、特点、IDS工作原理和入侵检测技术
45
八、作业
1.
2.
3. 4.
什么是入侵检测系统？ 入侵检测系统的类型是什么？ 入侵检测技术主要有哪两种？ 入侵检测的步骤是什么，每个步骤的要点是 什么？
46
九、预习：IDS入侵检测系统
四、知识点剖析及难点问题讲解
8、IDS主要有几种类型？
–
基于网络的IDS的缺点：


检测范围有限 很难检测复杂攻击 传感器协同工作能力较弱 处理加密的会话过程较困难
31
四、知识点剖析及难点问题讲解
8、IDS主要有几种类型？
–
混合IDS

HIDS和NIDS各有不足 单一产品防范不全面 结合HIDS和NIDS
–
19
四、知识点剖析及难点问题讲解
6、入侵检测的步骤是什么？
–
信号分析

统计分析
– –
首先对系统对象创建一个统计描述 统计正常使用时的一些测量属性
–
–
测量属性的平均值和偏差被用来与网络、系统的行为进行比较
观察值在正常值范围之外时，就认为有入侵发生
20
四、知识点剖析及难点问题讲解
6、入侵检测的步骤是什么？
–
信号分析

模式匹配 统计分析 完整性分析
实时的入侵检测分析 事后分析
18
四、知识点剖析及难点问题讲解
6、入侵检测的步骤是什么？
–
信号分析

模式匹配
比较收集到的信息与已知的网络入侵和系统误用模式数据库 – 攻击模式可以用一个过程或一个输出来表示 通过字符串匹配以寻找一个简单的条目或指令 利用正规的数学表达式来表示安全状态的变化