第三章网络安全-2

电子商务安全技术(清华大学出版社)

第三章：计算机网络安全张爱菊 中南财经政法大学信息学院

电子商务安全技术(清华大学出版社)

3.4 入侵检测系统

入侵检测是继防火墙之后的又一道防线。

防火墙只能对黑客的攻击实施被动防御，一旦黑 客攻入系统内部，则没有切实的防护策略，而入 侵检测系统则是针对这种情况而提出的又一道防 线。

电子商务安全技术(清华大学出版社)

入侵检测的基本概念

入侵检测系统(intrusion detection system,IDS)是对 计算机和网络资源的恶意使用行为进行识别的系统； 它的目的是监测和发现可能存在的攻击行为，包括来自 系统外部的入侵行为和来自内部用户的非授权行为，并 且采取相应的防护手段。

电子商务安全技术(清华大学出版社)

入侵检测系统IDS的基本功能：

监控、分析用户和系统的行为；检查系统的配置和漏洞； 评估重要的系统和数据文件的完整性； 对异常行为的统计分析，识别攻击类型，并向网络管理 人员报警；

对操作系统进行审计、跟踪管理，识别违反授权的用户 活动。

电子商务安全技术(清华大学出版社)

入侵检测系统框架结构规则设计 与修改

事件发生器

事件

更新规则 事件分析器 提取规则 历史 活动 状态 更 新 事件数据库

响应单元

处理意见

电子商务安全技术(清华大学出版社)

基于主机入侵检测系统HIDS工作原理检测内容：系统调用、端口调用、系统日志、 安全审记、应用日志客户端

网络服务器1HIDS

Internet

网络服务器2HIDS

X

电子商务安全技术(清华大学出版社)

基于网络入侵检测系统工作原理NIDS检测内容：包头信息+有效数据部分

网络服务器1

X网络服务器2

客户端

Internet

数据包=包头信息+有效数据部分

电子商务安全技术(清华大学出版社)

两类IDS监测软件

网络IDS侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少

主机IDS视野集中 易于用户自定义 保护更加周密 对网络流量不敏感

电子商务安全技术(清华大学出版社)

3.4.3入侵检测系统的部署

1.基于网络入侵检测系统的部署 入侵检测的部署点可以划分4个位置：– ①DMZ区

– ②外网入口– ③内网主干 – ④关键子网。

电子商务安全技术(清华大学出版社)

2.基于主机入侵检测系统的部署

在基于网络的入侵检测系统部署并配置完成后， 基于主机的入侵检测系统的部署可以给系统提高 高级别的保护。 基于主机的入侵检测系统主要安装在关键主机上， 这样可以减少规划部署的花费，使管理的精力集 中在最重要最需要保护的主机上。

电子商务安全技术(清华大学出版社)

3.入侵检测系统与防火墙的结合

入侵检测引擎放在防火墙之外 入侵检测系统能接收到防火墙外网口的所有信息，管 理员可以清楚地看到所有来自internet 的攻击，当与 防火墙联动时，防火墙可以动态阻断发生攻击的连接。 入侵检测引擎放在防火墙之内 只有穿透了防火墙的攻击才能被入侵检测系统监听到， 管理员可以清楚地看到哪些攻击真正对自

己的网络构成 了威胁。如果入侵检测系统检测到了本应该被防火墙过 滤掉的攻击，就可以判断防火墙的配置存在失误。

电子商务安全技术(清华大学出版社)

防火墙内外都装有入侵检测引擎 可以检测来自内部和外部的所有攻击，管 理员可以清楚地看出是否有攻击穿透防火墙， 对自己网络所面对的安全威胁了如指掌。 将入侵检测引擎安装在其它关键位置 安装在需要重点保护的部位，如企业内部 重要服务器所在的子网，对该子网中的所有 连接进行监控；

电子商务安全技术(清华大学出版社)

1.入侵检测系统优点

可以检测和分析系统事件以及用户的行为； 可以测试系统设置的安全状态； 以系统的安全状态为基础，跟踪任何对系统安全的修改操作； 通过模式识别等技术从通信行为中检测出已知的攻击行为； 可以对网络通信行为进行统计，并进行检测分析； 管理操作系统认证和日志机制并对产生的数据进行分析处理； 在检测到攻击的时候，通过适当的方式进行适当的报警处理； 通过对分析引擎的配置对网络的安全进行评估和监督； 允许非安全领域的管理人员对重要的安全事件进行有效的处理。

电子商务安全技术(清华大学出版社)

2.入侵检测系统的局限性

入侵检测系统无法弥补安全防御系统中的安全缺陷和漏洞。

对于高负载的网络或主机，很难实现对网络入侵的实时检测、 报警和迅速的进行攻击响应。 基于知识的入侵检测系统很难检测到未知的攻击行为，也就 是说，检测具有一定的后滞性，而对于已知的报警，一些没 有明显特征的攻击行为也很难检测到，或需要付出提高误警 报率的代价才能够正确检测。

电子商务安全技术(清华大学出版社)

3.5 计算机病毒及防治什么是计算机病毒？ 指编制或者在计算机程序中插入的破坏计算机功能 …… 此处隐藏：145字，全部文档内容请下载后查看。喜欢就下载吧 ……