安氏领信IDS培训资料ppt课件.ppt

《安氏领信IDS培训资料ppt课件.ppt》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、LinkTrustIDS产品培训议程IDS系统原理安装检查审计入侵检测技术的原理威胁的类型计算机恶意程序系统控制类特洛伊木马——代码隐藏入侵——口令猜测、欺骗系统拒绝服务类协议漏洞——致使系统停机一对一式攻击——致使系统不能提供服务蜕变式攻击——致使邮件系统不能提供服务传染类源码类病毒——宏病毒操作系统类病毒——引导类病毒文件类病毒——繁殖类病毒安全的概念时间DtPt:ProtectiontimePt>+RtDt:DetectiontimeRt:Responsetime一个黑客在到达攻击目标之前需要攻破很多的设备(路由器

2、，交换机)、系统（NT，UNIX）和放火墙的障碍，在黑客达到目标之前的时间，我们称之为防护时间Pt在黑客攻击过程中，我们检测到他的活动的所用时间称之为Dt检测到黑客的行为后，我们需要作出响应，这段时间称之为Rt假如能做到Dt+Rt

3、否有违反安全策略的行为和被攻击的迹象。入侵检测的软件与硬件的组合便是入侵检测系统（IntrusionDetectionSystem,简称IDS）。入侵检测系统能帮助您做什么监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为为什么需要入侵检测一、网络攻击的破坏性、损失的严重性二、日益增长的网络安全威胁三、单纯的防火墙无法防范复杂多变的攻击入侵检测存在的必然性关于防火墙网络边界

4、的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部入侵很容易入侵教程随处可见各种工具唾手可得网络攻击事件成倍增长防火墙不能解决全部问题防火墙仅仅是网络安全体系的一个组件防火墙通常是抵御攻击的第一道防线，经常被有经验的入侵者绕过防火墙中的“开放”策略通常被利用攻击分析-如果只有防火墙，没有IDSE-MailServerRouterNTClients&WorkstationsNetworkUNIXNTUNIXFirewallWebServerUNIX1黑客首先使用端口扫描工具通过防火墙寻找激活的rlogin服

5、务和邮件服务器上的IMAP服务；2利用IMAP中的漏洞获取邮件服务器的超级用户权限；imapimap4破解密码文件从而获得超级用户的权限；Crackrlogin3利用信任关系进入防火墙后的unix主机；网络安全工具的特点名称优点局限性防火墙可简化网络管理，产品成熟无法处理网络内部的攻击IDS实时监控网络安全状态误报警，对新的攻击模式需要反应时间Scanner简单可操作，帮助系统管理员和安全服务人员解决实际问题功能单一VPN保护公网上的内部通信可视为防火墙上的一个漏洞防病毒针对文件与邮件，产品成熟功能单一入侵检测系统的分类

6、一般来说，入侵检测系统可分为主机型和网络型。主机型网络型注明：以下本文提到的“入侵检测系统”专指基于网络的入侵检测系统基于网络的入侵检测系统InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartnersNetwork-basedIDSNetwork-basedIDSNetwork-basedIDS基于网络的入侵检测系统（NIDS）的工作原理NIDS在网络上被动的、无声的收集它所关心的报文。对收集来的报文，入侵检测系统提取

7、相应的流量统计特征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。根据预设的阀值，匹配耦合度较高的报文流量将被认为是攻击或者网络的滥用和误用行为，入侵检测系统将根据相应的配置进行报警或进行有限度的反击。InternetNIDS网络服务器1数据包=包头信息+有效数据部分客户端网络服务器2X检测内容：包头信息+有效数据部分NIDS工作原理示意图NIDS的系统结构一般来说，NIDS有两大部分组成入侵检测引擎管理控制台议程IDS系统原理安装检查审计IDS部署原则重要的服务器区；部署在安全域之间；同一个安全域的需要

8、隔离的内部系统之间；IDS部署原则在移动的体现IDS部署原则在移动的体现部署位置把Sensor部署在重要网段:在防火墙前面在DMZ中在防火墙里面在内部网的关键网段上在拨号服务器网段上在共同的合伙人防火墙之后部署在交换环境（SPAN）通过端口镜像实现（SPAN/PortMonitor）SwitchIDSSensorMo