windows系统安全14防火墙与入侵检测系统2-课件

防火墙与入侵检测n本章介绍两部分的内容：本章介绍两部分的内容：n防火墙和入侵检测技术。防火墙和入侵检测技术。n介绍防火墙的基本概念，常见防火墙类介绍防火墙的基本概念，常见防火墙类型以及如何使用规则集实现防火墙。型以及如何使用规则集实现防火墙。n介绍入侵检测系统的基本概念以及入侵介绍入侵检测系统的基本概念以及入侵检测的常用方法检测的常用方法1防火墙与入侵检测本章介绍两部分的内容：1防火墙技术防火墙技术 1.1.防火墙基本概念防火墙基本概念2.2.防火墙的分类防火墙的分类3.3.防火墙的体系结构防火墙的体系结构 4.4.防火墙的实施防火墙的实施2防火墙技术 1.防火墙基本概念2防火墙防火墙n防火墙是位于可信网络与不可信网络之防火墙是位于可信网络与不可信网络之间，并对二者之间流动的数据包进行检间，并对二者之间流动的数据包进行检查的一台、多台计算机或路由器。查的一台、多台计算机或路由器。3防火墙防火墙是位于可信网络与不可信网络之间，并对二者之间流动防防火火墙墙是是在在两两个个网网络络之之间间执执行行访访问问控控制制策策略略的的一一个个或或一一组组系系统统，包包括括硬硬件件和和软软件件，目目的的是是保保护护网网络不被他人侵扰。络不被他人侵扰。4防火墙是在两个网络之间执行访问控制策略的一个或一组系统，防火墙实现的层次防火墙实现的层次5防火墙实现的层次5防火墙的安全规则防火墙的安全规则n由匹配条件和处理方式两部分组成。匹配条件是指由匹配条件和处理方式两部分组成。匹配条件是指用于对通信流量是否合法作出判断的一些逻辑表达用于对通信流量是否合法作出判断的一些逻辑表达式。若信息是匹配条件值为真，那么就进行处理。式。若信息是匹配条件值为真，那么就进行处理。处理方式有以下几种。处理方式有以下几种。n 接受：允许信息通过接受：允许信息通过n 拒绝：拒绝信息通过，通知发送信息的信息源拒绝：拒绝信息通过，通知发送信息的信息源n 丢弃：直接丢弃信息，不通知信息源。丢弃：直接丢弃信息，不通知信息源。6防火墙的安全规则由匹配条件和处理方式两部分组成。匹配条件是指防火墙的基本功能防火墙的基本功能（1 1）网络监控（包过滤功能，状态检查，网关级代理）网络监控（包过滤功能，状态检查，网关级代理）（2 2）用户身份验证：可以限制未授权的用户进入内部网）用户身份验证：可以限制未授权的用户进入内部网 络，过滤掉不安全的服务和非法用户络，过滤掉不安全的服务和非法用户（3 3）限制内部用户访问特殊站点）限制内部用户访问特殊站点防火墙的不足之处防火墙的不足之处（1 1）不能防范恶意的知情者）不能防范恶意的知情者（2 2）防火墙不能防范不通过它的连接）防火墙不能防范不通过它的连接（3 3）防火墙不能防范病毒）防火墙不能防范病毒7防火墙的基本功能7防火墙技术防火墙技术 1.1.防火墙基本概念防火墙基本概念 2 2 防火墙分类（按实现技术）防火墙分类（按实现技术）3.3.防火墙的体系结构防火墙的体系结构 4.4.防火墙的实施防火墙的实施8防火墙技术 1.防火墙基本概念8防火墙分类（按实现技术）防火墙分类（按实现技术）n数据包过滤数据包过滤 防火墙（防火墙（2020世纪世纪8080年代）年代）n应用级网关防火墙应用级网关防火墙n状态检测防火墙（状态检测防火墙（2020世纪世纪9090年代）年代）9防火墙分类（按实现技术）数据包过滤 防火墙（20世纪80年代n包过滤（分组过滤）：包过滤（分组过滤）：n作用在协议组的作用在协议组的网络层和传输层网络层和传输层，根据分组包头源地址、，根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包目的地址和端口号、协议类型等标志确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发到相应的目的通过，只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端，其余的数据包则从数据流中丢弃。地的出口端，其余的数据包则从数据流中丢弃。n应用代理（应用代理（Application Proxy）：）：n也叫应用网关（也叫应用网关（Application Gateway），它作用在），它作用在应用应用层层，其特点是完全，其特点是完全“阻隔阻隔”网络通信流，通过对每种应用网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。的作用。实际中的应用网关通常由专用工作站实现。n状态检测（状态检测（Status Detection）：）：n直接对分组里的数据进行处理，并且结合前后分组的数据直接对分组里的数据进行处理，并且结合前后分组的数据进行综合判断，然后决定是否允许该数据包通过。进行综合判断，然后决定是否允许该数据包通过。10包过滤（分组过滤）：10包过滤防火墙包过滤防火墙n数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发数据包过滤可以在网络层截获数据。使用一些规则来确定是否转发或丢弃所各个数据包。或丢弃所各个数据包。n通常情况下，如果规则中没有明确允许指定数据包的出入，那么缺通常情况下，如果规则中没有明确允许指定数据包的出入，那么缺省参数将决定此包是前行还是被舍弃。省参数将决定此包是前行还是被舍弃。11包过滤防火墙数据包过滤可以在网络层截获数据。使用一些规则来确包过滤技术包过滤技术 每个包有两个部分：数据部分和包头。包每个包有两个部分：数据部分和包头。包头中含有源地址和目标地址等信息。头中含有源地址和目标地址等信息。包过滤一直是一种简单而有效的方法。通包过滤一直是一种简单而有效的方法。通过拦截数据包，读出并拒绝那些不符合标准的包过拦截数据包，读出并拒绝那些不符合标准的包头，过滤掉不应入站的信息。头，过滤掉不应入站的信息。12包过滤技术 每个包有两个部分：数据部分和包头。包头中包过滤要检查的内容包过滤要检查的内容n数据包过滤一般要检查网络层的数据包过滤一般要检查网络层的IPIP头和传输层的头头和传输层的头nIPIP源地址源地址nIPIP目标地址目标地址n协议类型（协议类型（TCPTCP包，包，UDPUDP包和包和ICMPICMP包）包）nTCPTCP或或UDPUDP包的目的端口包的目的端口nTCPTCP或或UDPUDP包的原端口包的原端口nICMPICMP消息类型消息类型nTCPTCP包头的包头的ACKACK位位nTCPTCP包的序列号，包的序列号，IPIP校验和等校验和等13包过滤要检查的内容数据包过滤一般要检查网络层的IP头和传输层过滤的依据主要是过滤的依据主要是TCP/IP包头里面包头里面的信息，不能对应用层数据进行处理的信息，不能对应用层数据进行处理14过滤的依据主要是TCP/IP包头里面的信息，不能对应用层数据n一个可靠的分组过滤防火墙依赖于规则集，表列出了几条一个可靠的分组过滤防火墙依赖于规则集，表列出了几条典型的规则集。典型的规则集。n第一条规则：主机第一条规则：主机10.1.1.1任何端口访问任何主机的任何端口，基于任何端口访问任何主机的任何端口，基于TCP协议协议的数据包都允许通过。的数据包都允许通过。n第二条规则：任何主机的第二条规则：任何主机的20端口访问主机端口访问主机10.1.1.1的任何端口，基于的任何端口，基于TCP协议协议的数据包允许通过。的数据包允许通过。n第三条规则：任何主机的第三条规则：任何主机的20端口访问主机端口访问主机10.1.1.1小于小于1024的端口，如果基的端口，如果基于于TCP协议的数据包都禁止通过。协议的数据包都禁止通过。组序号序号动作作源源IP目的目的IP源端口源端口目的端口目的端口协议类型型1允允许10.1.1.1*TCP2允允许*10.1.1.120*TCP3禁止禁止*10.1.1.120Security Logs”，察看日志纪录如图所示。28虽然主机没有响应，但是已经将事件记录到安全日志了。选择菜单栏防火墙分类（按实现技术）防火墙分类（按实现技术）n数据包过滤数据包过滤 防火墙（防火墙（2020世纪世纪8080年代）年代）n应用级网关防火墙应用级网关防火墙n状态检测防火墙（状态检测防火墙（2020世纪世纪9090年代）年代）29防火墙分类（按实现技术）数据包过滤 防火墙（20世纪80年代应用级网关（代理）工作模型 n作为一个信息交流的中转站，对客户来说，他是一个服作为一个信息交流的中转站，对客户来说，他是一个服务器，对服务器来说，他是一个客户，它的安全性较包过务器，对服务器来说，他是一个客户，它的安全性较包过滤防火墙有了很大的提高滤防火墙有了很大的提高30应用级网关（代理）工作模型 作为一个信息交流的中转站，对客户代理服务器数据包代理服务器数据包的重构过程的重构过程 31代理服务器数据包的重构过程 31服务端服务端客户端客户端telnetInternet应用级网关应用级网关发送数据包到发送数据包到Internet必须先经必须先经过网关过网关复复制制数数据据向目标服务器发送向目标服务器发送telnetd应用级网关防火墙应用级网关防火墙32服务端客户端Internet应用级网关发送数据包到Inter在在WindowsWindows系统下系统下的的IEIE浏览器的配置浏览器的配置 客户端的设置客户端的设置33在Windows系统下的IE浏览器的配置 客户端的设置33应用级网关优缺点应用级网关优缺点 n优点：优点：n为内部网络提供了更高的安全性为内部网络提供了更高的安全性n应用代理防火墙工作于工作于应用层，适用于特定的网络应用代理防火墙工作于工作于应用层，适用于特定的网络服务，如服务，如HTTPHTTP，FTPFTP等；并且应用代理防火墙适于做日志等；并且应用代理防火墙适于做日志记录。记录。n缺点：缺点：n处理速度较慢，因为它不允许直接访问外部网络处理速度较慢，因为它不允许直接访问外部网络n网关的代理服务软件总要随着应用服务软件的更新而更新网关的代理服务软件总要随着应用服务软件的更新而更新34应用级网关优缺点 优点：34Windows的防火墙：ISAnISA具有防火墙和缓存代理的功能。35Windows的防火墙：ISAISA具有防火墙和缓存代理的功Windows的防火墙：ISA36Windows的防火墙：ISA36网络地址转换n防防火火墙墙的的网网络络地地址址转转换换功功能能是是指指将将内内部部主主机机的的IPIP地地址址转转换换为为某某一一固固定定或或者者某某范范围围内内的的某某个个IPIP地地址址，而而使从网络外部无法探测到它们。使从网络外部无法探测到它们。n网网 络络 地地 址址 转转 换换（NATNAT，Network Network Address Address TranslationTranslation），有时也称为），有时也称为IPIP伪装。伪装。37网络地址转换防火墙的网络地址转换功能是指将内部主机的IP地址3838NAT类型n静态静态NATNAT（Static NATStatic NAT）n动态地址动态地址NATNAT（Dynamic NATDynamic NAT）n端端口口转转换换NAPTNAPT（Network Network Address Address Port Port TranslationTranslation）39NAT类型静态NAT（Static NAT）39静态NATn把把内内部部网网络络中中的的每每个个主主机机都都永永久久映映射射成成外外部部网络中的某个合法的地址网络中的某个合法的地址40静态NAT把内部网络中的每个主机都永久映射成外部网络中的某个动态NATn在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络 41动态NAT在外部网络中定义了一系列的合法地址，采用动态分配的端口转换 NATn把内部地址映射到外部网络的一个IP地址的不同端口上 42端口转换 NAT把内部地址映射到外部网络的一个IP地址的不同防火墙分类（按实现技术）防火墙分类（按实现技术）n数据包过滤数据包过滤 防火墙（防火墙（2020世纪世纪8080年代）年代）n应用级网关防火墙应用级网关防火墙n状态检测防火墙（状态检测防火墙（2020世纪世纪9090年代）年代）43防火墙分类（按实现技术）数据包过滤 防火墙（20世纪80年代状态监测防火墙（2020世纪世纪9090年代）年代）n状态监测防火墙具有非常好的安全特性，它使用一个在网关上执行网络安全策略的软件模块，称为“监测引擎”。监测引擎在不影响网络正常运行的前提下，监测网络通信的各层并在通信各层抽取有关数所生成状态信息，并动态地保存以供后续执行安全策略的参考。n使用状态监测的一个优点是，虽然在网络层接收数据包以提高效率，但防火墙依旧检查通信各层的数据，并根据生成的通信状态，应用状态和上下文信息等结合网络安全策略对数据包作出接收，拒绝，身份认证，报警或通信加密等动作。它的另一个优点是它可以监测无连接协议（如RPC，某些基于UDP的应用），而包过滤防火墙和应用代理防火墙都不具备这种功能。它的缺点是降低网络速度，且配置比较复杂。44状态监测防火墙（20世纪90年代）状态监测防火墙具有非常好的4545防火墙技术防火墙技术 1.1.防火墙基本概念防火墙基本概念 2 2 防火墙分类（按实现技术）防火墙分类（按实现技术）3.3.防火墙的体系结构防火墙的体系结构 4.4.防火墙的实施防火墙的实施46防火墙技术 1.防火墙基本概念46防火墙体系结构n防火墙的体系结构一般有防火墙的体系结构一般有n双宿主主机体系结构；双宿主主机体系结构；n屏蔽主机体系结构；屏蔽主机体系结构；n屏蔽子网体系结构。屏蔽子网体系结构。47防火墙体系结构防火墙的体系结构一般有47双重宿主主机体系结构双重宿主主机体系结构双双重重宿宿主主主主机机的的防防火火墙墙体体系系结结构构是是相相当当简简单单的的，双双重重宿宿主主主主机机位位于于两两者者之之间间，并并且且被被连连接接到到因因特特网网和和内内部部的的网网络络。右右图图显显示示这种体系结构。这种体系结构。48双重宿主主机体系结构双重宿主主机的防火墙体系结构是相当简双重宿主主机体系结构双重宿主主机体系结构双宿主机是连接内外网络的通道，因此它本应具双宿主机是连接内外网络的通道，因此它本应具有路由功能。而在实际应用中，双宿主机路由功有路由功能。而在实际应用中，双宿主机路由功能是被禁止的。能是被禁止的。49双重宿主主机体系结构双宿主机是连接内外网络的通道，因此它本应屏蔽主机体系结构在此结构中提供安全保护在此结构中提供安全保护的主机仅仅与内部网相连。的主机仅仅与内部网相连。另外，结构中还有一台单另外，结构中还有一台单独的路由器（过滤路由器）独的路由器（过滤路由器）。在这种体系结构中，堡。在这种体系结构中，堡垒主机即可提供包过滤功垒主机即可提供包过滤功能，也可提供代理功能，能，也可提供代理功能，其结构如左图所示。其结构如左图所示。50屏蔽主机体系结构在此结构中提供安全保护的主机仅仅与内部网相连内外网络之间的所有通信都必须通过堡垒主机内外网络之间的所有通信都必须通过堡垒主机n主要优点：主要优点：相对于双宿主机体系结构，堡垒主机不直接与外部网相对于双宿主机体系结构，堡垒主机不直接与外部网络连接，减小了被攻击的可能性。路由器的同时存在，络连接，减小了被攻击的可能性。路由器的同时存在，减轻了堡垒主机的负担减轻了堡垒主机的负担n缺点：缺点：一旦堡垒主机遭到攻击，内部网络助于不安全的状态一旦堡垒主机遭到攻击，内部网络助于不安全的状态51内外网络之间的所有通信都必须通过堡垒主机51屏蔽子网模型n屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。它是最安全的防火墙系统之一，它支持网络层和应用层安全功能。网络管全的防火墙系统之一，它支持网络层和应用层安全功能。网络管理员将堡垒主机、信息服务器、理员将堡垒主机、信息服务器、Modem组，以及其它公用服务组，以及其它公用服务器放在非军事区网络中。如果黑客想突破该防火墙那么必须攻破器放在非军事区网络中。如果黑客想突破该防火墙那么必须攻破以上三个单独的设备。以上三个单独的设备。防火墙防火墙52屏蔽子网模型屏蔽子网模型用了两个包过滤路由器和一个堡垒主机。屏蔽子网体系结构n内部路由器内部路由器n内内部部路路由由器器有有时时被被称称为为阻阻塞塞路路由由器器，它它保保护护内内部的网络使之免受部的网络使之免受InternetInternet和周边网的侵犯。和周边网的侵犯。n内内部部路路由由器器为为用用户户的的防防火火墙墙执执行行大大部部分分的的数数据据包包过过滤滤工工作作。它它允允许许从从内内部部网网到到InternetInternet的的有有选择的出站服务。选择的出站服务。n外部路由器外部路由器n外外部部路路由由器器能能有有效效地地执执行行的的安安全全任任务务之之一一是是：阻阻止止从从InternetInternet上上伪伪造造源源地地址址进进来来的的任任何何数数据据包包。这这样样的的数数据据包包自自称称来来自自内内部部的的网网络络，但但实实际上是来自际上是来自InternetInternet。53屏蔽子网体系结构内部路由器53实施方法实施方法n1 基于网络主机的防火墙基于网络主机的防火墙n 一种是作为现有的商业操作系统上的应用程序一种是作为现有的商业操作系统上的应用程序n另外一种是整合成操作系统的一部分另外一种是整合成操作系统的一部分n2 基于路由器的防火墙基于路由器的防火墙n一般他们可以起到阻止和允许特定的一般他们可以起到阻止和允许特定的IP地址和端口号的基本防火墙功能地址和端口号的基本防火墙功能n使用使用NAT来隐藏内部来隐藏内部IP地址地址n在一个全面安全体系结构中，路由器经常作为屏蔽设备使用在一个全面安全体系结构中，路由器经常作为屏蔽设备使用n3 基于单个主机的防火墙基于单个主机的防火墙n常用于规模很小的办公室或者家庭常用于规模很小的办公室或者家庭n比如：瑞星个人防火墙、天网个人防火墙比如：瑞星个人防火墙、天网个人防火墙n4 硬件防火墙硬件防火墙n硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行功能硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行功能n通常硬件防火墙的性能要强于软件防火墙、并且连接、使用比较方便通常硬件防火墙的性能要强于软件防火墙、并且连接、使用比较方便54实施方法1 基于网络主机的防火墙54防火墙环境下的服务器部署n最典型的防火墙环境就是最典型的防火墙环境就是DMZ(DMZ(非军事区非军事区)。nDMZDMZ是是作作为为内内外外网网都都可可以以访访问问的的计计算算机机系系统统和和资资源源的的连连接接点点，比比如如WebWeb服服务务器器、邮邮件件服服务务器器、VPNVPN网网关关、DNSDNS服服务务器器等等，这这些些系系统统和资源不能放置在内部保护网络内。和资源不能放置在内部保护网络内。55防火墙环境下的服务器部署最典型的防火墙环境就是DMZ(非军事防火墙环境下的服务器部署56防火墙环境下的服务器部署56防火墙环境下的服务器部署n遵循原则。遵循原则。n(1)(1)通通过过边边界界路路由由过过滤滤设设备备保保护护外外部部服服务务器器，或或将它们放置在外部将它们放置在外部DMZDMZ中。中。n(2)(2)绝绝不不可可将将外外部部可可访访问问的的服服务务器器放放置置在在内内部部要要保护网络中。保护网络中。n(3)(3)根根据据内内部部服服务务器器的的敏敏感感程程度度和和访访问问方方式式，将将它们放置在内部防火墙之后。它们放置在内部防火墙之后。n(4)(4)尽尽量量隔隔离离各各种种服服务务器器，防防止止一一个个服服务务器器被被攻破后波及到其他服务器的安全。攻破后波及到其他服务器的安全。57防火墙环境下的服务器部署遵循原则。571 入侵检测系统(IDS)的概念n入侵检测系统入侵检测系统IDS（Intrusion Detection System）指的是指的是一种硬件或者软件系统，该系统对系统资源的非授一种硬件或者软件系统，该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。权使用能够做出及时的判断、记录和报警。581 入侵检测系统(IDS)的概念入侵检测系统IDS（Intr n检测来自内部的攻击事件和越权访问检测来自内部的攻击事件和越权访问n85以上的攻击事件来自于内部的攻击以上的攻击事件来自于内部的攻击n防火墙只能防外，难于防内防火墙只能防外，难于防内n入侵检测系统作为防火墙系统的一个有效的补充入侵检测系统作为防火墙系统的一个有效的补充n入侵检测系统可以有效的防范防火墙开放的服务入侵入侵检测系统可以有效的防范防火墙开放的服务入侵入侵检测的任务59 入侵检测的任务59n分类分类n网络型入侵检测系统网络型入侵检测系统n主机型入侵检测系统主机型入侵检测系统n混合型入侵检测系统（混合型入侵检测系统（Hybrid IDS）60分类60网络型入侵检测系统网络型入侵检测系统(Network Intrusion Detection System，NIDS)的数据源来自网络上的数据包。一般地，的数据源来自网络上的数据包。一般地，用户可将某台主机网卡设定为用户可将某台主机网卡设定为混杂模式混杂模式，以监听，以监听本网段本网段内内所有数据包，判断其是否合法。所有数据包，判断其是否合法。NIDS担负着监视整个担负着监视整个网段的任务网段的任务IDS分类分类61网络型入侵检测系统(Network Intrusion DeIDS分类分类NIDS的优点主要是使用简便，不会给运行的优点主要是使用简便，不会给运行关键业务的主机和网络增加任何负担。关键业务的主机和网络增加任何负担。62IDS分类NIDS的优点主要是使用简便，不会给运行62IDS分类分类主机型入侵检测系统主机型入侵检测系统(Host Intrusion Detection System，HIDS)：系统安装在主机上面，对本主机进行安全检测系统安装在主机上面，对本主机进行安全检测往往以系统日志、应用程序日志等作为数据源，当然也可以往往以系统日志、应用程序日志等作为数据源，当然也可以通过通过查询、监听当前系统的各种资源的使用运行状态，通过通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。发现系统资源被非法使用和修改的事件，进行上报和处理。63IDS分类主机型入侵检测系统632 入侵检测系统构件642 入侵检测系统构件64入侵检测的步骤 n由此也划分了入侵检测的三个基本步骤：由此也划分了入侵检测的三个基本步骤：n信息收集信息收集n数据分析数据分析n响应响应 数据分析后处理方式数据分析后处理方式nAlertnLognCall Firewall65入侵检测的步骤 由此也划分了入侵检测的三个基本步骤：65数据分析n数据分析（数据分析（Analysis Schemes）是入侵检测系统）是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系的核心，它的效率高低直接决定了整个入侵检测系统的性能。统的性能。n快速的模式匹配算法快速的模式匹配算法n根据数据分析的不同方式可将入侵检测系统分为三根据数据分析的不同方式可将入侵检测系统分为三类：类：n异常入侵检测异常入侵检测n误用入侵检测误用入侵检测n完整性检测完整性检测66数据分析数据分析（Analysis Schemes）是入侵检 3 入侵检测的分析方式n异常检测（Anomaly Detection）n统计模型n误报较多n误用检测（Misuse Detection）n维护一个入侵特征知识库（CVE）n准确性高n完整性分析（静态检测）67 3 入侵检测的分析方式异常检测（Anomaly Dete 3.1 异常检测n基本原理n一般采用统计方法建立正常行为的特征轮廓n检查系统的运行情况n是否偏离预设的门限？68 3.1 异常检测基本原理68 3.1 异常检测n异常检测的优点：n可以检测到未知的入侵 n可以检测冒用他人帐号的行为 n具有自适应，自学习功能 n不需要系统先验知识69 3.1 异常检测异常检测的优点：69 3.1 异常检测n异常检测的缺点：n漏报、误报率高n入侵者可以逐渐改变自己的行为模式来逃避检测n合法用户正常行为的突然改变也会造成误警 n统计算法的计算量庞大，效率很低 n统计点的选取和参考库的建立比较困难70 3.1 异常检测异常检测的缺点：70 3.1异常性检测n问题：n在许多环境中，为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事。n因为并不是所有入侵者的行为都能够产生明显的异常性，所以在入侵检测系统中，仅使用异常性检测技术不可能检测出所有的入侵行为。71 3.1异常性检测问题：71 3.2 误用检测n采用模式匹配技术检测已知攻击n提前建立已出现的入侵行为特征n检测当前用户行为特征72 3.2 误用检测采用模式匹配技术检测已知攻击72 3.2 误用检测n误用检测的优点n算法简单n系统开销小 n准确率高n效率高73 3.2 误用检测误用检测的优点73 3.2 误用检测n误用检测的缺点n被动n只能检测出已知攻击 n新类型的攻击会对系统造成很大的威胁 n模式库的建立和维护难n模式库要不断更新n知识依赖于n硬件平台n操作系统n系统中运行的应用程序74 3.2 误用检测误用检测的缺点74 3.3 完整性分析n通过检查系统的当前系统配置，诸如系统文件的内容或者系统表，来检查系统是否已经或者可能会遭到破坏。n其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。n缺点是一般以批处理方式实现，不用于实时响应。75 3.3 完整性分析通过检查系统的当前系统配置，诸如系统文案例：检测与端口关联的应用程序n网络入侵者都会连接到主机的某个非法端口，通过检查出与端口关联应用程序，可以进行入侵检测，这种方法属于静态配置分析。n利用工具软件fport.exe可以检查与每一端口关联的应用程序，执行程序如图所示。76案例：检测与端口关联的应用程序网络入侵者都会连接到主机的某案例：入侵检测工具：BlackICEnBlackICE是一个小型的入侵检测工具，在计算机上安全完毕后，会在操作系统的状态栏显示一个图标，当有异常网络情况的时候，图标就会跳动。主界面如图所示。77案例：入侵检测工具：BlackICEBlackICE是一个n可以查看主机入侵的信息，选择属性页“Intruders”，如图所示。78可以查看主机入侵的信息，选择属性页“Intruders”，如 3.3 入侵检测产品 免费的入侵检测产品免费的入侵检测产品nSnort snort.orgnSHADOW nswc.navy.mil/ISSEC/CID79 3.3 入侵检测产品 免费的入侵检测产品79 3.3 商业的入侵检测产品nCyberCop Monitor,NAInDragon Sensor,EnterasysneTrust ID,CAnNetProwler,SymantecnNetRanger,CisconNID-100/200,NFR SecuritynRealSecure,ISSnSecureNet Pro,Intrusion80 3.3 商业的入侵检测产品CyberCop Monito入侵检测系统面临的挑战n一个有效的入侵检测系统应限制误报出现的次数，但同时又能有效截击。81入侵检测系统面临的挑战一个有效的入侵检测系统应限制误报出现的 IDS目前存在的问题n关于入侵检测方法的研究仍在进行中，较成熟的检测方法已关于入侵检测方法的研究仍在进行中，较成熟的检测方法已用于商业软件的开发中。用于商业软件的开发中。n各种监测方式都存在不同的问题，例如，误报率高、效率低、各种监测方式都存在不同的问题，例如，误报率高、效率低、占用资源多或者实时性差等缺点。占用资源多或者实时性差等缺点。n依靠单一的中心监测不可能检测所有的入侵，已不能满足系依靠单一的中心监测不可能检测所有的入侵，已不能满足系统安全性和性能的要求。统安全性和性能的要求。n目前，国内只有少数的网络入侵检测软件，相关领域的系统目前，国内只有少数的网络入侵检测软件，相关领域的系统研究也刚刚起步，与外国尚有很大差距。研究也刚刚起步，与外国尚有很大差距。82 IDS目前存在的问题关于入侵检测方法的研究仍在进行中，较发展趋势及主要研究方向n针对分布式攻击的分布式入侵检测方面的研究n用于大规模高速网络入侵检测系统的研究n应用层入侵检测的研究n智能入侵检测的研究n基于神经网络n免疫系统方法 n遗传算法 n基于代理检测 n数据挖掘 83发展趋势及主要研究方向针对分布式攻击的分布式入侵检测方面的本章总结n本章介绍了防御技术中的防火墙技术与入侵检测技术。n重点理解防火墙的概念、分类、常见防火墙的系统模型以及创建防火墙的基本步骤。n掌握使用Winroute创建简单的防火墙规则。n重点理解入侵检测系统的基本概念、检测的方法以及入侵检测的步骤。n掌握编写简单入侵检测的程序，掌握一种入侵检测工具。84本章总结本章介绍了防御技术中的防火墙技术与入侵检测技术。84本章习题n简述防火墙的分类，并说明分组过滤防火墙的基本原理。n常见防火墙模型有哪些？比较他们的优缺点。n编写防火墙规则：禁止除管理员计算机（IP为172.18.25.110）外任何一台电脑访问某主机（IP为172.18.25.109）的终端服务（TCP端口3389）。n什么是入侵检测系统？简述入侵检测系统目前面临的挑战。n编写程序实现每十秒检查一次与端口关联的应用程序85本章习题简述防火墙的分类，并说明分组过滤防火墙的基本原理。8