第5章網(wǎng)絡安全技術(2)

1、第5章網(wǎng)絡安全技術 5.6 ARP欺騙欺騙 網(wǎng)絡竊聽是指截獲和復制系統(tǒng)、服務器、路由器、防火墻網(wǎng)絡竊聽是指截獲和復制系統(tǒng)、服務器、路由器、防火墻等設備中所有的網(wǎng)絡通信信息，不僅可以用于安全監(jiān)控，等設備中所有的網(wǎng)絡通信信息，不僅可以用于安全監(jiān)控，也是攻擊者用來截獲網(wǎng)絡信息的重要方式。也是攻擊者用來截獲網(wǎng)絡信息的重要方式。ARP欺騙是黑客常用的攻擊手段之一，欺騙是黑客常用的攻擊手段之一，ARP欺騙分為二欺騙分為二種，一種是對路由器種，一種是對路由器ARP表的欺騙；另一種是對內網(wǎng)表的欺騙；另一種是對內網(wǎng)PC的網(wǎng)關欺騙。的網(wǎng)關欺騙。對路由器對路由器ARP表的欺騙表的欺騙截獲網(wǎng)關數(shù)據(jù)。即通過路由器一系列

2、錯誤的內網(wǎng)截獲網(wǎng)關數(shù)據(jù)。即通過路由器一系列錯誤的內網(wǎng)MAC地址，并按照一定的頻率不斷進行，使真實的地址信地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有息無法通過更新保存在路由器中，結果路由器的所有數(shù)據(jù)只能發(fā)給錯誤的數(shù)據(jù)只能發(fā)給錯誤的MAC地址，造成正常地址，造成正常PC無法收到無法收到信息。信息。對內網(wǎng)對內網(wǎng)PC的網(wǎng)關欺騙的網(wǎng)關欺騙偽造網(wǎng)關。建立假網(wǎng)關，讓被它欺騙的偽造網(wǎng)關。建立假網(wǎng)關，讓被它欺騙的PC向假網(wǎng)關發(fā)向假網(wǎng)關發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來看來，就是上不了網(wǎng)了。，就是上不了網(wǎng)了。

3、5.6 ARP欺騙欺騙5.6 ARP欺騙欺騙例：本網(wǎng)絡內，所有向外發(fā)送的數(shù)據(jù)包，都會被例：本網(wǎng)絡內，所有向外發(fā)送的數(shù)據(jù)包，都會被轉發(fā)到攻擊者的主機（轉發(fā)到攻擊者的主機（A）上，從而獲得敏感信）上，從而獲得敏感信息。息。實驗五實驗五 arp欺騙欺騙【實驗目的實驗目的】加深對加深對ARP高速緩存的理解高速緩存的理解掌握掌握ARP欺騙在網(wǎng)絡攻擊中的應用欺騙在網(wǎng)絡攻擊中的應用【實驗內容實驗內容】被欺騙者可以被欺騙者可以ping通欺騙者。通欺騙者。 進行進行arp欺騙。欺騙。 被欺騙者不可以被欺騙者不可以ping通欺騙者。通欺騙者。5.7 防火墻技術防火墻技術 什么是防火墻什么是防火墻防火墻的功能防火墻

4、的功能防火墻的局限性防火墻的局限性防火墻的體系結構防火墻的體系結構防火墻的實現(xiàn)技術防火墻的實現(xiàn)技術防火墻示意圖防火墻示意圖什么是防火墻什么是防火墻什么是防火墻什么是防火墻定義：防火墻（定義：防火墻（Firewall）是一種用來加強網(wǎng)絡之間訪問控）是一種用來加強網(wǎng)絡之間訪問控制的特殊網(wǎng)絡互連設備，是一種非常有效的網(wǎng)絡安全模型。制的特殊網(wǎng)絡互連設備，是一種非常有效的網(wǎng)絡安全模型。核心思想：在不安全的網(wǎng)際網(wǎng)環(huán)境中構造一個相對安全的子核心思想：在不安全的網(wǎng)際網(wǎng)環(huán)境中構造一個相對安全的子網(wǎng)環(huán)境。網(wǎng)環(huán)境。目的：都是為了在被保護的內部網(wǎng)與不安全的非信任網(wǎng)絡之目的：都是為了在被保護的內部網(wǎng)與不安全的非信任網(wǎng)絡

5、之間設立唯一的通道，以按照事先制定的策略控制信息的流入間設立唯一的通道，以按照事先制定的策略控制信息的流入和流出，監(jiān)督和控制使用者的操作。和流出，監(jiān)督和控制使用者的操作。從網(wǎng)絡防御體系上看，防火墻是一種被動防御的保護裝置。從網(wǎng)絡防御體系上看，防火墻是一種被動防御的保護裝置。防火墻是根據(jù)過濾規(guī)則來判斷是否允許某個訪問請求。防火墻是根據(jù)過濾規(guī)則來判斷是否允許某個訪問請求。防火墻的功能防火墻的功能網(wǎng)絡安全的屏障（隔離內外網(wǎng)絡）；網(wǎng)絡安全的屏障（隔離內外網(wǎng)絡）；過濾不安全的服務（兩層含義）過濾不安全的服務（兩層含義） ； 內部提供的不安全服務和內部訪問外部的不安全服務（雙向）內部提供的不安全服務和內部

6、訪問外部的不安全服務（雙向）阻斷特定的網(wǎng)絡攻擊（聯(lián)動技術的產(chǎn)生）阻斷特定的網(wǎng)絡攻擊（聯(lián)動技術的產(chǎn)生） ；部署部署NAT機制；機制；是提供了監(jiān)視局域網(wǎng)安全和預警的方便端點。是提供了監(jiān)視局域網(wǎng)安全和預警的方便端點。 提供包括安全和統(tǒng)計數(shù)據(jù)在內的審計數(shù)據(jù)，好的防火墻還能靈提供包括安全和統(tǒng)計數(shù)據(jù)在內的審計數(shù)據(jù)，好的防火墻還能靈活設置各種報警方式?；钤O置各種報警方式。防火墻的局限性防火墻的局限性只能防范經(jīng)過其本身的非法訪問和攻擊，對繞過防火墻的只能防范經(jīng)過其本身的非法訪問和攻擊，對繞過防火墻的訪問和攻擊無能為力。訪問和攻擊無能為力。不能解決來自內部網(wǎng)絡的攻擊和安全問題。不能解決來自內部網(wǎng)絡的攻擊和安全問

7、題。不能防止受病毒感染的文件的傳輸。不能防止受病毒感染的文件的傳輸。不能防止策略配置不當或錯誤配置引起的安全威脅。不能防止策略配置不當或錯誤配置引起的安全威脅。不能防止自然或人為的故意破壞，不能防止本身安全漏洞不能防止自然或人為的故意破壞，不能防止本身安全漏洞的威脅。的威脅。防火墻的體系結構防火墻的體系結構分組過濾路由器分組過濾路由器雙宿主機雙宿主機屏蔽主機屏蔽主機屏蔽子網(wǎng)屏蔽子網(wǎng)防火墻的體系結構：防火墻系統(tǒng)實現(xiàn)所采用的架構及其實現(xiàn)所采用的方法，它決定著防火墻的功能、性能以及使用范圍。分組過濾路由器分組過濾路由器分組過濾路由器分組過濾路由器作為內外網(wǎng)連接的唯一通道，要求所有的數(shù)據(jù)包都必須在作為

8、內外網(wǎng)連接的唯一通道，要求所有的數(shù)據(jù)包都必須在此通過檢查。此通過檢查。通過在分組過濾路由器上安裝基于通過在分組過濾路由器上安裝基于IP層的報文過濾軟件，層的報文過濾軟件，就可利用過濾規(guī)則實現(xiàn)報文過濾功能。就可利用過濾規(guī)則實現(xiàn)報文過濾功能。在單機上實現(xiàn)，是網(wǎng)絡中的在單機上實現(xiàn)，是網(wǎng)絡中的“單失效點單失效點”。不支持有效的用戶認證、不提供有用的日志，安全性低。不支持有效的用戶認證、不提供有用的日志，安全性低。雙宿主機雙宿主機雙宿主機雙宿主機雙宿主機雙宿主機在被保護網(wǎng)絡和在被保護網(wǎng)絡和Internet之間設置一個具有雙網(wǎng)卡的堡壘之間設置一個具有雙網(wǎng)卡的堡壘主機，主機，IP層的通信完全被阻止，兩個網(wǎng)絡

9、之間的通信可以層的通信完全被阻止，兩個網(wǎng)絡之間的通信可以通過應用層數(shù)據(jù)共享或應用層代理服務來完成。通過應用層數(shù)據(jù)共享或應用層代理服務來完成。通常采用代理服務方式。通常采用代理服務方式。堡壘主機上運行著防火墻軟件，可以轉發(fā)應用程序和提供堡壘主機上運行著防火墻軟件，可以轉發(fā)應用程序和提供服務等。服務等。堡壘主機的系統(tǒng)軟件可用于身份認證和維護系統(tǒng)日志，有堡壘主機的系統(tǒng)軟件可用于身份認證和維護系統(tǒng)日志，有利于進行安全審計。利于進行安全審計。防火墻仍是網(wǎng)絡的防火墻仍是網(wǎng)絡的“單失效點單失效點”。隔離了一切內部網(wǎng)與隔離了一切內部網(wǎng)與Internet的直接連接，不適合于一些的直接連接，不適合于一些高靈活性要

10、求的場合。高靈活性要求的場合。屏蔽主機屏蔽主機堡壘主機堡壘主機分組過濾路由器分組過濾路由器屏蔽主機屏蔽主機一個分組過濾路由器連接外部網(wǎng)絡，同時一個運行網(wǎng)關軟一個分組過濾路由器連接外部網(wǎng)絡，同時一個運行網(wǎng)關軟件的堡壘主機安裝在內部網(wǎng)絡。通常在路由器上設立過濾件的堡壘主機安裝在內部網(wǎng)絡。通常在路由器上設立過濾規(guī)則，使這個堡壘主機成為從外部唯一可直接到達的主機規(guī)則，使這個堡壘主機成為從外部唯一可直接到達的主機。提供的安全等級較高，因為它實現(xiàn)了網(wǎng)絡層安全（包過濾提供的安全等級較高，因為它實現(xiàn)了網(wǎng)絡層安全（包過濾）和應用層安全（代理服務）。）和應用層安全（代理服務）。過濾路由器是否正確配置是這種防火墻安

11、全與否的關鍵。過濾路由器是否正確配置是這種防火墻安全與否的關鍵。屏蔽子網(wǎng)屏蔽子網(wǎng)堡壘主機堡壘主機外部路由器外部路由器內部路由器內部路由器屏蔽子網(wǎng)屏蔽子網(wǎng)是最安全的防火墻系統(tǒng)，它在內部網(wǎng)絡和外部網(wǎng)絡之間建是最安全的防火墻系統(tǒng)，它在內部網(wǎng)絡和外部網(wǎng)絡之間建立一個被隔離的子網(wǎng)（非軍事區(qū)，立一個被隔離的子網(wǎng)（非軍事區(qū)，DMZ，專門提供服務，專門提供服務的場所）的場所）在很多實現(xiàn)中，兩個分組過濾路由器放在子網(wǎng)的兩端，內在很多實現(xiàn)中，兩個分組過濾路由器放在子網(wǎng)的兩端，內部網(wǎng)絡和外部網(wǎng)絡均可訪問被屏蔽子網(wǎng)，但禁止它們穿過部網(wǎng)絡和外部網(wǎng)絡均可訪問被屏蔽子網(wǎng)，但禁止它們穿過被屏蔽子網(wǎng)通信被屏蔽子網(wǎng)通信通常將堡壘

12、主機、各種信息服務器等公用服務器放于通常將堡壘主機、各種信息服務器等公用服務器放于DMZ中中堡壘主機通常是黑客集中攻擊的目標，如果沒有堡壘主機通常是黑客集中攻擊的目標，如果沒有DMZ，入侵者控制堡壘主機后就可以監(jiān)聽整個內部網(wǎng)絡的會話入侵者控制堡壘主機后就可以監(jiān)聽整個內部網(wǎng)絡的會話防火墻的實現(xiàn)技術防火墻的實現(xiàn)技術 數(shù)據(jù)包過濾（數(shù)據(jù)包過濾（Packet Filtering）代理服務（代理服務（Proxy Service）狀態(tài)檢測（狀態(tài)檢測（Stateful Inspection）網(wǎng)絡地址轉換網(wǎng)絡地址轉換NAT （Network AddressTranslation ）數(shù)據(jù)包過濾數(shù)據(jù)包過濾數(shù)據(jù)包過濾

13、數(shù)據(jù)包過濾數(shù)據(jù)包過濾技術是一種簡單、高效的安全控制技術，是防數(shù)據(jù)包過濾技術是一種簡單、高效的安全控制技術，是防火墻發(fā)展初期普遍采用的技術。火墻發(fā)展初期普遍采用的技術。工作原理：工作原理： 系統(tǒng)在網(wǎng)絡層檢查數(shù)據(jù)包，與應用層無關，因此它不系統(tǒng)在網(wǎng)絡層檢查數(shù)據(jù)包，與應用層無關，因此它不能控制傳輸數(shù)據(jù)的內容。能控制傳輸數(shù)據(jù)的內容。 依據(jù)在系統(tǒng)內設置的過濾規(guī)則（通常稱為訪問控制表依據(jù)在系統(tǒng)內設置的過濾規(guī)則（通常稱為訪問控制表Access Control List）對數(shù)據(jù)流中每個數(shù)據(jù)包）對數(shù)據(jù)流中每個數(shù)據(jù)包包包頭頭中的參數(shù)或它們的組合進行檢查，以確定是否允許中的參數(shù)或它們的組合進行檢查，以確定是否允許該數(shù)

14、據(jù)包進出內部網(wǎng)絡。該數(shù)據(jù)包進出內部網(wǎng)絡。數(shù)據(jù)包過濾數(shù)據(jù)包過濾包過濾一般要檢查（網(wǎng)絡層的包過濾一般要檢查（網(wǎng)絡層的IP頭和傳輸層的頭）：頭和傳輸層的頭）：IP源地址源地址IP目的地址目的地址協(xié)議類型（協(xié)議類型（TCP包包/UDP包包/ICMP包）包）TCP或或UDP的源端口的源端口TCP或或UDP的目的端口的目的端口ICMP消息類型消息類型TCP報頭中的報頭中的ACK位位數(shù)據(jù)包過濾數(shù)據(jù)包過濾舉例：舉例： 某條過濾規(guī)則為：禁止地址某條過濾規(guī)則為：禁止地址1的任意端口到地址的任意端口到地址2的的80端端口的口的TCP包。包。 含義？含義？ 表示禁止地址1的計算機連接地址2的計算機的WWW服務。數(shù)據(jù)包

15、過濾數(shù)據(jù)包過濾優(yōu)點： 邏輯簡單，價格便宜，易于安裝和使用，網(wǎng)絡性能和透明性好。主要缺點： 安全控制的力度只限于源地址、目的地址和端口號等，不能保存與傳輸或與應用相關的狀態(tài)信息，因而只能進行較為初步的安全控制，安全性較低； 數(shù)據(jù)包的源地址、目的地址以及端口號等都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。代理服務代理服務代理服務代理服務是運行于連接內部網(wǎng)絡與外部網(wǎng)絡的主機（堡壘主機）上是運行于連接內部網(wǎng)絡與外部網(wǎng)絡的主機（堡壘主機）上的一種應用，是一種比較高級的防火墻技術。的一種應用，是一種比較高級的防火墻技術。 工作過程：工作過程： 當用戶需要訪問代理服務器另一側的主機時，對符合安當用戶需要訪問代理

16、服務器另一側的主機時，對符合安全規(guī)則的連接，代理服務器會代替主機響應，并重新向主全規(guī)則的連接，代理服務器會代替主機響應，并重新向主機發(fā)出一個相同的請求。當此連接請求得到回應并建立起機發(fā)出一個相同的請求。當此連接請求得到回應并建立起連接之后，內部主機同外部主機之間的通信將通過代理程連接之后，內部主機同外部主機之間的通信將通過代理程序把相應連接進行映射來實現(xiàn)。對于用戶而言，似乎是直序把相應連接進行映射來實現(xiàn)。對于用戶而言，似乎是直接與外部網(wǎng)絡相連。接與外部網(wǎng)絡相連。代理服務代理服務主要優(yōu)點：主要優(yōu)點： 內部網(wǎng)絡拓撲結構等重要信息不易外泄，從而減少了黑內部網(wǎng)絡拓撲結構等重要信息不易外泄，從而減少了黑

17、客攻擊時所必需的必要信息；客攻擊時所必需的必要信息；可以實施用戶認證、詳細日志、審計跟蹤和數(shù)據(jù)加密等功可以實施用戶認證、詳細日志、審計跟蹤和數(shù)據(jù)加密等功能和對具體協(xié)議及應用的過濾，同時當發(fā)現(xiàn)被攻擊跡象時能和對具體協(xié)議及應用的過濾，同時當發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡管理員發(fā)出警報，并保留攻擊痕跡，安全性較高會向網(wǎng)絡管理員發(fā)出警報，并保留攻擊痕跡，安全性較高。代理服務代理服務主要缺點：主要缺點：針對不同的應用層協(xié)議必須有單獨的應用代理，也不能自針對不同的應用層協(xié)議必須有單獨的應用代理，也不能自動支持新的網(wǎng)絡應用；動支持新的網(wǎng)絡應用；有些代理還需要相應的支持代理的客戶和服務器軟件；用有些代理還需要相應的

18、支持代理的客戶和服務器軟件；用戶可能還需要專門學習程序的使用方法才能通過代理訪問戶可能還需要專門學習程序的使用方法才能通過代理訪問Internet，大大增加了系統(tǒng)管理的復雜性。，大大增加了系統(tǒng)管理的復雜性。工作在高層，信息處理效率低，性能下降。工作在高層，信息處理效率低，性能下降。狀態(tài)檢測狀態(tài)檢測狀態(tài)檢測狀態(tài)檢測狀態(tài)檢測防火墻是在動態(tài)包過濾的基礎上，增加了狀態(tài)檢狀態(tài)檢測防火墻是在動態(tài)包過濾的基礎上，增加了狀態(tài)檢測機制而形成的；測機制而形成的；動態(tài)包過濾與普通包過濾相比，需要多做一項工作：對外動態(tài)包過濾與普通包過濾相比，需要多做一項工作：對外出數(shù)據(jù)包的出數(shù)據(jù)包的“身份身份”做一個標記，允許相同連

19、接的進入數(shù)做一個標記，允許相同連接的進入數(shù)據(jù)包通過。據(jù)包通過。利用狀態(tài)表跟蹤每一個網(wǎng)絡會話的狀態(tài)，對每一個數(shù)據(jù)包利用狀態(tài)表跟蹤每一個網(wǎng)絡會話的狀態(tài)，對每一個數(shù)據(jù)包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)；處的狀態(tài)；狀態(tài)檢測防火墻采用了一個在網(wǎng)關上執(zhí)行網(wǎng)絡安全策略的狀態(tài)檢測防火墻采用了一個在網(wǎng)關上執(zhí)行網(wǎng)絡安全策略的軟件引擎，稱之為檢測模塊。檢測模塊在不影響網(wǎng)絡正常軟件引擎，稱之為檢測模塊。檢測模塊在不影響網(wǎng)絡正常工作的前提下，采用抽取相關數(shù)據(jù)的方法對網(wǎng)絡通信的各工作的前提下，采用抽取相關數(shù)據(jù)的方法對網(wǎng)絡通信的各層實施監(jiān)測，并動態(tài)

20、地保存起來作為以后制定安全決策的層實施監(jiān)測，并動態(tài)地保存起來作為以后制定安全決策的參考。參考。狀態(tài)檢測狀態(tài)檢測既能夠提供代理服務的控制靈活性，又能夠提供包過濾的既能夠提供代理服務的控制靈活性，又能夠提供包過濾的高效性，是二者的結合；高效性，是二者的結合；工作過程：工作過程： 對新建的應用連接，狀態(tài)檢測檢查預先設置的安全規(guī)則，對新建的應用連接，狀態(tài)檢測檢查預先設置的安全規(guī)則，允許符合規(guī)則的連接；請求數(shù)據(jù)包通過，并記錄下該連接允許符合規(guī)則的連接；請求數(shù)據(jù)包通過，并記錄下該連接的相關信息，生成狀態(tài)表。對該連接的后續(xù)數(shù)據(jù)包，只要的相關信息，生成狀態(tài)表。對該連接的后續(xù)數(shù)據(jù)包，只要符合狀態(tài)表，就可以通過。

21、符合狀態(tài)表，就可以通過。狀態(tài)檢測狀態(tài)檢測主要優(yōu)點：主要優(yōu)點： 高安全性（工作在數(shù)據(jù)鏈路層和網(wǎng)絡層之間）高安全性（工作在數(shù)據(jù)鏈路層和網(wǎng)絡層之間） 高效性（對連接的后續(xù)數(shù)據(jù)包直接進行狀態(tài)檢查）高效性（對連接的后續(xù)數(shù)據(jù)包直接進行狀態(tài)檢查） 應用范圍廣（除支持應用范圍廣（除支持TCP外還支持基于無連接協(xié)議的外還支持基于無連接協(xié)議的應用）應用）主要缺點：主要缺點： 狀態(tài)檢測防火墻在阻止狀態(tài)檢測防火墻在阻止DDoS攻擊、病毒傳播問題以及高攻擊、病毒傳播問題以及高級應用入侵問題（如實現(xiàn)應用層內容過濾）等方面顯得力級應用入侵問題（如實現(xiàn)應用層內容過濾）等方面顯得力不從心。它僅僅是一個單一的設備。不從心。它僅僅

22、是一個單一的設備。網(wǎng)絡地址轉換網(wǎng)絡地址轉換 網(wǎng)絡地址轉換網(wǎng)絡地址轉換/翻譯（翻譯（NAT，Network Address Translation）就是將一個）就是將一個IP地址用另一個地址用另一個IP地址代替。地址代替。NAT的主要作用：的主要作用： 隱藏內部網(wǎng)絡的隱藏內部網(wǎng)絡的IP地址；地址； 解決地址緊缺問題。解決地址緊缺問題。注意：注意：NAT本身并不是一種有安全保證的方案，它僅僅在本身并不是一種有安全保證的方案，它僅僅在包的最外層改變包的最外層改變IP地址。所以通常要把地址。所以通常要把NAT集成在防火墻集成在防火墻系統(tǒng)中。系統(tǒng)中。防火墻實例防火墻實例Windows中防火墻配置中防火墻

23、配置Linux防火墻配置防火墻配置5.8 入侵檢測技術入侵檢測技術IDS存在與發(fā)展的必然性存在與發(fā)展的必然性網(wǎng)絡安全本身的復雜性，被動式的防御方式顯得力不從網(wǎng)絡安全本身的復雜性，被動式的防御方式顯得力不從心。心。有關防火墻：網(wǎng)絡邊界的設備；自身可以被攻破；對某有關防火墻：網(wǎng)絡邊界的設備；自身可以被攻破；對某些攻擊保護很弱；并非所有威脅均來自防火墻外部。些攻擊保護很弱；并非所有威脅均來自防火墻外部。入侵很容易：入侵教程隨處可見；各種工具唾手可得入侵很容易：入侵教程隨處可見；各種工具唾手可得5.8 入侵檢測技術入侵檢測技術入侵檢測（入侵檢測（Intrusion Detection）的定義：通過從計

24、算）的定義：通過從計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術。和遭到襲擊的跡象的一種安全技術。入侵檢測系統(tǒng)（入侵檢測系統(tǒng)（IDS）：進行入侵檢測的軟件與硬件的組）：進行入侵檢測的軟件與硬件的組合。合。IDS被認為是防火墻之后的第二道安全技術。被認為是防火墻之后的第二道安全技術。IDS基本結構基本結構IDS通常包括以下功能部件通常包括以下功能部件：事件產(chǎn)生器事件產(chǎn)生器事件分析器事件分析器事件數(shù)據(jù)庫事件數(shù)據(jù)庫

25、響應單元響應單元事件產(chǎn)生器事件產(chǎn)生器負責原始數(shù)據(jù)采集，并將收集到的原始數(shù)據(jù)轉換為事件，負責原始數(shù)據(jù)采集，并將收集到的原始數(shù)據(jù)轉換為事件，向系統(tǒng)的其他部分提供此事件。向系統(tǒng)的其他部分提供此事件。收集內容：系統(tǒng)、網(wǎng)絡數(shù)據(jù)及用戶活動的狀態(tài)和行為。收集內容：系統(tǒng)、網(wǎng)絡數(shù)據(jù)及用戶活動的狀態(tài)和行為。需要在計算機網(wǎng)絡系統(tǒng)中的若干不同關鍵點（不同網(wǎng)段和需要在計算機網(wǎng)絡系統(tǒng)中的若干不同關鍵點（不同網(wǎng)段和不同主機）收集信息不同主機）收集信息 系統(tǒng)或網(wǎng)絡的日志文件系統(tǒng)或網(wǎng)絡的日志文件 網(wǎng)絡流量網(wǎng)絡流量 系統(tǒng)目錄和文件的異常變化系統(tǒng)目錄和文件的異常變化 程序執(zhí)行中的異常行為程序執(zhí)行中的異常行為入侵檢測很大程度上依賴于

26、收集信息的可靠性和正確性入侵檢測很大程度上依賴于收集信息的可靠性和正確性事件分析器事件分析器接收事件信息，對其進行接收事件信息，對其進行分析分析，判斷是否為入侵行為或異，判斷是否為入侵行為或異?，F(xiàn)象，最后將判斷的結果轉變?yōu)楦婢畔ⅰ３，F(xiàn)象，最后將判斷的結果轉變?yōu)楦婢畔?。分析方法：分析方法：模式匹配：將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用模式數(shù)模式匹配：將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為統(tǒng)計分析：首先給系統(tǒng)對象（如用戶、文件、目錄和設備等）創(chuàng)統(tǒng)計分析：首先給系統(tǒng)對象（如用戶、文件、目錄和設備等）創(chuàng)建一

27、個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）；測量屬性的平均值和偏差將被用來、操作失敗次數(shù)和延時等）；測量屬性的平均值和偏差將被用來與網(wǎng)絡、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時與網(wǎng)絡、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生，就認為有入侵發(fā)生完整性分析（往往用于事后分析）：主要關注某個文件或對象是完整性分析（往往用于事后分析）：主要關注某個文件或對象是否被更改否被更改事件數(shù)據(jù)庫事件數(shù)據(jù)庫 存放各種中間和最終數(shù)據(jù)的地方。存放各種中間和最終數(shù)據(jù)的地方。 從事件產(chǎn)生器或事件分

28、析器接收數(shù)據(jù)，一般會將從事件產(chǎn)生器或事件分析器接收數(shù)據(jù)，一般會將數(shù)據(jù)進行較長時間的保存。數(shù)據(jù)進行較長時間的保存。響應單元響應單元根據(jù)告警信息做出反應，是根據(jù)告警信息做出反應，是IDS中的主動武器。中的主動武器?？勺龀觯嚎勺龀觯簭娏曳磻呵袛噙B接、改變文件屬性等強烈反應：切斷連接、改變文件屬性等簡單的報警簡單的報警IDS的工作原理的工作原理每個子網(wǎng)有一臺入侵檢測主機，以監(jiān)視所有網(wǎng)絡活動，一每個子網(wǎng)有一臺入侵檢測主機，以監(jiān)視所有網(wǎng)絡活動，一旦發(fā)現(xiàn)入侵則立即報警，同時記錄入侵信息。旦發(fā)現(xiàn)入侵則立即報警，同時記錄入侵信息。一般通過這些手段：特征庫匹配一般通過這些手段：特征庫匹配(模式匹配模式匹配)、基

29、于統(tǒng)計的、基于統(tǒng)計的分析和完整性分析。其中前兩種方法用于實時的入侵檢測分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。，而完整性分析則用于事后分析。IDS的主要功能的主要功能識別黑客常用入侵與攻擊手段。識別黑客常用入侵與攻擊手段。監(jiān)控網(wǎng)絡異常通信。監(jiān)控網(wǎng)絡異常通信。鑒別對系統(tǒng)漏洞及后門的利用。鑒別對系統(tǒng)漏洞及后門的利用。完善網(wǎng)絡安全管理。完善網(wǎng)絡安全管理。 IDS的分類的分類 根據(jù)原始數(shù)據(jù)的來源根據(jù)原始數(shù)據(jù)的來源IDS可以分為：基于主機的入侵檢測可以分為：基于主機的入侵檢測和基于網(wǎng)絡的入侵檢測。和基于網(wǎng)絡的入侵檢測?；谥鳈C的入侵檢測（基于主機的入侵檢測（HID

30、S）系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機，保護目標也是所在系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所在的主機，保護目標也是所在的主機。的主機。安裝在單個主機或服務器系統(tǒng)上，對針對主機或服務器系統(tǒng)入侵安裝在單個主機或服務器系統(tǒng)上，對針對主機或服務器系統(tǒng)入侵行為進行檢測或響應，對主機系統(tǒng)進行全面保護的系統(tǒng)。行為進行檢測或響應，對主機系統(tǒng)進行全面保護的系統(tǒng)。IDS的分類的分類基于網(wǎng)絡的入侵檢測（基于網(wǎng)絡的入侵檢測（NIDS）。）。系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡傳輸?shù)臄?shù)據(jù)包，保護的是網(wǎng)絡的正常運行。系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡傳輸?shù)臄?shù)據(jù)包，保護的是網(wǎng)絡的正常運行。使用原始的網(wǎng)絡分組數(shù)據(jù)包作為攻擊分析的數(shù)據(jù)源，通常利用在混使用原始

31、的網(wǎng)絡分組數(shù)據(jù)包作為攻擊分析的數(shù)據(jù)源，通常利用在混雜模式下的網(wǎng)段上的通信業(yè)務，通過實時捕獲網(wǎng)絡數(shù)據(jù)包進行分析雜模式下的網(wǎng)段上的通信業(yè)務，通過實時捕獲網(wǎng)絡數(shù)據(jù)包進行分析，能夠檢測該網(wǎng)段上發(fā)生的入侵行為。，能夠檢測該網(wǎng)段上發(fā)生的入侵行為。IDS的分類的分類根據(jù)檢測原理根據(jù)檢測原理IDS可以分為：異常入侵檢測和誤用入侵檢測可以分為：異常入侵檢測和誤用入侵檢測。（1）異常入侵檢測：根據(jù)異常行為和使用計算機資源的情）異常入侵檢測：根據(jù)異常行為和使用計算機資源的情況檢測出來的入侵。況檢測出來的入侵。（2）誤用入侵檢測：利用已知系統(tǒng)和應用軟件的弱點攻擊）誤用入侵檢測：利用已知系統(tǒng)和應用軟件的弱點攻擊模式來檢

32、測入侵。模式來檢測入侵。根據(jù)工作方式根據(jù)工作方式IDS可以分為：離線檢測和在線檢測。可以分為：離線檢測和在線檢測。入侵檢測目前所存在的問題入侵檢測目前所存在的問題誤誤/漏報率高漏報率高 比如異常檢測通常采用統(tǒng)計方法來進行檢測，而統(tǒng)計方法比如異常檢測通常采用統(tǒng)計方法來進行檢測，而統(tǒng)計方法中的閾值難以有效確定，太小的值會產(chǎn)生大量的誤報，太中的閾值難以有效確定，太小的值會產(chǎn)生大量的誤報，太大的值又會產(chǎn)生大量的漏報。大的值又會產(chǎn)生大量的漏報。沒有主動防御能力沒有主動防御能力 IDS技術采用預設置、特征分析的工作原理，所以檢測規(guī)技術采用預設置、特征分析的工作原理，所以檢測規(guī)則的更新總是落后于攻擊手段的更

33、新。則的更新總是落后于攻擊手段的更新。5.9 入侵防御技術入侵防御技術IPS是一種主動的、積極入侵防范、阻止系統(tǒng)，它部署在是一種主動的、積極入侵防范、阻止系統(tǒng)，它部署在網(wǎng)絡的進出口處，當它檢測到攻擊企圖后，它會自動地將網(wǎng)絡的進出口處，當它檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。攻擊包丟掉或采取措施將攻擊源阻斷。入侵防御技術是在入侵檢測技術的基礎上增加了主動響應入侵防御技術是在入侵檢測技術的基礎上增加了主動響應的功能，一旦發(fā)現(xiàn)有攻擊行為，則立即響應，并且主動切的功能，一旦發(fā)現(xiàn)有攻擊行為，則立即響應，并且主動切斷連接。斷連接。5.9 入侵防御技術入侵防御技術IPS能夠實時檢測入侵、阻止入侵的原理在于能夠實時檢測入侵、阻止入侵的原理在于IPS擁有大擁有大量的過濾器，針對不同的攻擊行為，量的過濾器，針對不同的攻擊行為，IPS需要不同的過濾需要不同的過濾器，每種過濾器都設有相應的過濾規(guī)則。當新的攻擊手段器，每種過濾器都設有相應的過濾規(guī)則。當新的攻擊手段被發(fā)現(xiàn)之后，被發(fā)現(xiàn)之后，IPS就會創(chuàng)建一個新的過濾器。通過檢查的就會創(chuàng)建一個新的過濾器。通過檢查的數(shù)據(jù)包可以繼續(xù)前進，包含惡意內容的數(shù)據(jù)包就會被丟棄數(shù)據(jù)包可以