IDS与云安全ppt课件

IDS与云安全,IDS(入侵检测系统),01 背景及概念,02 入侵检测技术,03 入侵检测系统类型,04 优缺点,01 背景及概念,背景及概念,当前，几乎每20秒全球就有一起黑客事件发生，仅美国每年所造成的经济损失就超过100亿美元。,黑客攻击日益猖獗，防范问题日趋严峻,背景及概念,入侵检测系统（IntrusionDetectionSystem，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于，IDS是一种积极主动的安全防护技术。,IDS的概念,背景及概念,IDS的工作过程,背景及概念,a.不需要人工干预即可不间断地运行。 b.有容错功能。即使系统发生了崩溃，也不会丢失数据，或者在系统重 新启动时重建自己的知识库。 c.不需要占用大量的系统资源。 d.能够发现异于正常行为的操作。,IDS的特点,背景及概念,e.能够适应系统行为的长期变化。例如系统中增加了一个新的应用软件，系统写照就会发生变化，IDS必须能适应这种变化。 f.判断准确。相当强的坚固性，防止被篡改而收集到错误的信息。 g.灵活定制。解决方案必须能够满足用户要求。 h.保持领先。能及时升级。,02 入侵检测技术,入侵检测技术,1、误用入侵检测技术 2、异常入侵检测技术,入侵检测技术,误用入侵检测技术,误用入侵检测首先对表示特定入侵的行为模式进行编码，建立误用模式库；然后对实际检测过程中得到的审计事件数据进行过滤，检查是否包含入侵特征串。误用检测的缺陷在于只能检测已知的攻击模式。,入侵检测技术,误用入侵检测技术,1、模式匹配 模式匹配是最常用的误用检测技术，特点是原理简单、扩展性好、检测效率高、可以实时检测；但是只能适用于比较简单的攻击方式。 2、专家系统 该技术根据安全专家对可疑行为的分析经验来形成一套推理规则，然后在此基础上建立相应的专家系统来自动对所涉及的入侵行为进行分析。 3、状态迁移法 状态迁移图可用来描述系统所处的状态和状态之间可能的迁移。,入侵检测技术,异常入侵检测技术,异常检测是通过对系统异常行为的检测来发现入侵。异常检测的关键问题在于正常使用模式的建立，以及如何利用该模式对当前系统或用户行为进行比较，从而判断出与正常模式的偏离程度“模式”，通常使用一组系统的度量来定义。度量，就是指系统或用户行为在特定方面的衡量标准。每个度量都对应于一个门限值。,入侵检测技术,异常入侵检测技术,1、统计分析 最早的异常检测系统采用的是统计分析技术。首先，检测器根据用户对象的动作为每个用户建立一个用户特征表，通过比较当前特征与已存储定型的以前特征，从而判断是否有异常行为。 2、神经网络 这种方法对用户行为具有学习和自适应功能，能够根据实际检测到的信息有效地加以处理并做出入侵可能性的判断。利用神经网络所具有的识别、分类和归纳能力，可以使入侵检测系统适应用户行为特征的可变性。,03 入侵检测系统类型,入侵检测系统类型,1、基于主机的入侵检测系统(HIDS) HIDS通常采用查看针对可疑行为的审计记录来执行。它对新的记录条目与攻击特征进行比较，并检查不应该被改变的系统文件的校验和来分析系统是否被侵入或者被攻击。 2、基于网络的入侵检测系统(NIDS) NIDS使用原始的裸网络包作为源。利用工作在混杂模式下的网卡实时监视和分析所有的通过共享式网络的传输。,入侵检测系统类型,基于主机的入侵检测系统(HIDS) 优点： 监视所有系统行为。 发现没有通过网络的攻击。 适应交换和加密。 不要求额外的硬件。,入侵检测系统类型,基于主机的入侵检测系统(HIDS) 缺点： 看不到网络活动的状况。 运行审计功能要占用额外系统资源。 主机监视感应器对不同的平台不能通用。 管理和实施比较复杂。,入侵检测系统类型,入侵检测系统类型,基于网络的入侵检测系统(NIDS) 优点： 不要求在大量的主机上安装和管理软件，允许在重要的访问端口检查面向多个网络系统的流量。 检查所有的包头来识别恶意和可疑行为。 宿主机通常处于比较隐蔽的位置，基本上不对外提供服务，因此也比较坚固。 具有更好的实时性。 检测不成功的攻击和恶意企图。 不依赖于被保护主机的操作系统。,入侵检测系统类型,基于网络的入侵检测系统(NIDS) 缺点： 对加密通信无能为力。 对高速网络无能为力。 不能预测命令的执行后果。 管理和实施比较复杂。,04 优缺点,优缺点,入侵检测系统能够增强网络的安全性，它的优点： 能够使现有的安防体系更完善。 能够更好地掌握系统的情况。 能够追踪攻击者的攻击线路。 界面友好，便于建立安防体系。 能够抓住肇事者。,优缺点,入侵检测系统不是万能的，它同样存在许多不足之处： 不能够在没有用户参与的情况下对攻击行为展开调查。 不能够在没有用户参与的情况下阻止攻击行为的发生。 不能克服网络协议方面的缺陷。 不能克服设计原理方面的缺陷。 响应不够及时，签名数据库更新得不够快。经常是事后才检测到，适时性不好。,云安全,01 背景及概念,02 基础设施安全,03 云数据安全,01 背景及概念,背景及概念,云计算的定义,美国国家标准与技术研究院（NIST）定义：云计算是一种资源利用模式，这种模式提供可用的、便捷的、按需的网络访问，进入可配置的计算资源共享池（资源包括网络，服务器，存储，应用软件，服务），这些资源能够快速的供给和释放，从而使得服务提供商能以最小的管理代价或仅进行少量工作就可以实现资源发布。,背景及概念,云安全事件,1、亚马逊弹性云服务器中断故障 2、Google Gmail邮箱爆发全球性故障 3、微软的云计算平台Azure停止运行,背景及概念,云安全威胁,1、拒绝服务攻击 2、不安全的接口和API 3、恶意内部人员 4、共享技术风险 5、数据丢失或泄露 6、账号和服务劫持 7、其他安全威胁,02 基础设施安全,基础设施安全,基础设施安全分类,1、基础设施物理安全 2、基础设施虚拟化安全,基础设施安全,基础设施物理安全,1、自然威胁 自然威胁是指由自然界中的不可抗力所造成的设备损毁、链路故障等使云计算服务部分或完全中断的情况。 2、运行威胁 运行威胁是指云计算基础设施在运行过程中，由间接或自身原因导致的安全金问题。 3、人员威胁 人员威胁是云服务商内部或外部人员参与的、由于无意或故意的行为对云计算环境造成的安全威胁。,基础设施安全,基础设施虚拟化安全,1、储存虚拟化安全 2、服务器虚拟化安全 3、网络虚拟化安全,基础设施安全,储存虚拟化安全,存储虚拟化为物理存储资源（通常为磁盘阵列上的逻辑单元号）提供一个逻辑抽象，从而将所有的存储资源集合起来形成一个存储资源地对外呈现为地址连续的虚拟卷，从而兼容下层存储系统之间的异构差异，为上层应用提供同一的存储资源服务。存储虚拟化可以广泛地应用于文件系统、文件、块、主机、网络、存储设备等多个层面。,基础设施安全,安全防护措施 云计算环境中存储虚拟化的安全重点关注数据的隔离和安全，一般使用数据加密和访问控制实现。用户在访问虚拟化存储设备前，虚拟化控制器首先检查请求的发出者是否具有相应的权限，以及访问地址是否在应用程序的许可范围内；审核通过后，用户就可以读取存储信息，并在数据传输中通过数据加密手段来保证数据安全。,基础设施安全,服务器虚拟化安全,服务器虚拟化将一系列物理服务器抽象成一个或多个完全孤立的虚拟机，作为一种承载应用平台为软件系统提供运行所需的资源。服务器虚拟化根据业务优先级，支持资源按需动态分配，提高效率和简化管理，避免峰值负载所带来的资源浪费。对于宿主机而言，服务器虚拟化将虚拟机视为应用程序，这些程序共享宿主机的物理资源。在虚拟机状态下，这些资源可以按需分配，在某些情况下甚至可以不用重启虚拟机即可为其分配硬件资源。,基础设施安全,安全防护措施 (1)控制所有对资源池的访间以确保只有被信任的用户才具备访问权限。(2)控制所有对资源池管理工具的访问。 (3)规范虚拟机的管理操作。 (4)控制对虚拟机文件的访问。 (5)遵循最小化安全原则。 (6)部署合适的安全工具。,基础设施安全,网络虚拟化安全,现有互联网架构具有很多难以克服的缺陷，包括 无法解决网络性能和网络扩展性之间的矛盾； 无法适应新兴网络技术和架构研究的需要； 无法满足多样化业务发展网络运营和社会需求可持续发展的需要。,基础设施安全,安全防护措施 1、外挂式安全系统 外挂式安全系统将虚拟机产生的网络流量自虚拟机管理器中牵引至真实网络环境中，并路由至传统安全设备，以实现传统安全设备的最大限度重用。 2、内嵌式安全系统 内嵌式安全系统是直接以软件方式实现安全设备的功能，并将安全模块嵌入至虚拟机管理器中。,03 云数据安全,云数据安全,数据安全目标 1、机密性 机密性是指数据不被泄露给非授权用户、实体或过程，或被其利用的特性。 2、完整性 完整性是指数据未经授权不能进行更改的特性，即数据在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放插入等破坏或丢失的特性。,云数据安全,数据安全目标 3、可用性 可用性是数据可被授权实体访问并按需求使用的特性。 4、安全生命周期安全 (1)创建 (2)存储 (3)使用 (4)共享 (5)存档 (6)销毁,云数据安全,数据加密 1、同态加密 2、安全多方计算,云数据安全,同态加密是一类具有特殊自然属性的加密方法，此概念是在20世纪70年代首先提出的，与一般加密算法相比，同态加密除了能实现基本的加密操作之外，还能实现密文间的多种计算功能，即先计算后解密可等价于先解密后计算。,同态加密,云数据安全,本质上，同态加密是指这样一种加密函数，对明文进行环上的加法和乘法运算再加密，与加密后对密文进行相应的运算，结果是等价的。 E(AB)=E(A)E(B),同态加密,云数据安全,安全多方计算（SMC）是解决一组互不信任的参与方之间保护隐私的协同计算问题，SMC要确保输入的独立性，计算的正确性，同时不泄露各输入值给参与计算的其他成员。,安全多方计算,云数据安全,数据容灾与备份,1、备份策略 2、地理冗余 3、组织冗余,云数据安全,备份策略,全量备份所需时间最长，但恢复时间最短，操作最方便，当系统中数据量不大时，采用全量备份最可靠。增量备份和差分备份所需的备份介质和备份时间都较全量备份少，但是数据恢复较为复杂。根据不同业务对数据备份的时间窗口和灾难恢复的要求，可以选择不同的备份方式，亦可以将这几种备份方式进行组合使用，以得到更好的备份效果。,云数据安全,地理冗余,云服务商能够以地区和可用区的形式提供地理冗余用户在一个可用区内部署一套业务系统作为主系统，在另一个可用区内部署一套相同的业务系统作为从系统，主系统和从系统以双机热备的方式来工作，在灾难发生时会自动将业务切换至没有发生故障的可用区。,云数据安全,组织冗余,云计算服务商可能因为运维管理、人为攻击或物理灾害等因素，使得其所提供的数据容灾与备份服务被强制中断或终止，还可能因为自身经营不善而倒闭，无法向用户提供服务。因此，用户在制定灾难恢复计划时，应当考虑云服务商不能够继续提供服务的可能，设计组织冗余方案，提前确定另一个云服务商，当用户的首选服务商的服务失效时，启动备选服务商所提供的数据容灾与备份服务。,云数据安全,隐私保护技术,1、隐私感知的混合云储存 2、针对隐私保护的密文搜索 3、数据确定性删除技术,云数据安全,隐私感知的混合云储存,根据美国国家标准与技术研究院的定义，混合云是由两个或者多个独立运行却绑定在一起的云组成的混合体，它可支持数据和应用在不同云之间迁移。由私有云和公有云组成的混合云兼具了两种云的优点，既有私有云的隐私性，也有公有云的低计算成本。因此混合云成为众多用户的首选模式，并被认为是将来云计算的主要模式。,云数据安全,针对隐私保护的密文搜索,对加密数据的搜索是安全云存储应用中的一个基本功能，典型的具备隐私保护功能的密文关键词搜索系统包括数据所有者、数据使用者和云服务商三个参与者。数据所有者将加密数据和安全索引上传给云服务商，数据般使用诸如AES之类的密码算法进行加密，而安全索引则使用特定的可搜索加密机制生成。,云数据安全,数据确定性删除技术,(1)针对文件集合中的任意一个文件的有效安全删除引进树状结构。 (2)通过反向索引来组织数据，利用加密并假设加密密钥能够被破坏，进而允许可选择地删除数据记录以及相关的索引中的关键字。 (3)在数据块层使用全有或全无的转换技术(AONT)来实施安全删除。 (4)基于时间的数据可信删除方法。,THANK YOU,