《工業(yè)互聯(lián)網(wǎng)安全技術基礎》課件- 25-01-入侵檢測基本概念

IndustrialInternetsecuritytechnologyfoundation工業(yè)互聯(lián)網(wǎng)安全技術基礎《工業(yè)互聯(lián)網(wǎng)安全技術基礎》課程組第4章工控網(wǎng)絡安全技術入侵檢測基本概念010203入侵檢測概述入侵檢測基本原理和重要技術常見入侵檢測產(chǎn)品目錄

入侵檢測是指“通過對行為、安全日志或審計數(shù)據(jù)或其他網(wǎng)絡上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖”(參見國標GB/T18336)。一、入侵檢測概述1、入侵檢測的概念防火墻的局限性入侵者可以找到防火墻的漏洞，繞過防火墻進行攻擊防火墻對來自內部的攻擊無能為力入侵檢測技術正是根據(jù)網(wǎng)絡攻擊行為而進行設計的，它不僅能夠發(fā)現(xiàn)已知入侵行為，而且有能力發(fā)現(xiàn)未知的入侵行為，并可以通過學習和分析入侵手段，及時地調整系統(tǒng)策略以加強系統(tǒng)的安全性。一、入侵檢測概述2、入侵檢測概述入侵檢測的主要功能包括以下幾個方面：對網(wǎng)絡流量的跟蹤與分析功能對已知攻擊特征的識別功能對異常行為的分析、統(tǒng)計與響應功能特征庫的在線和離線升級功能數(shù)據(jù)文件的完整性檢查功能自定義的響應功能系統(tǒng)漏洞的預報警功能IDS探測器集中管理功能一、入侵檢測概述3、入侵檢測的主要功能1、信息收集信息的來源一般來自以下四個方面。系統(tǒng)和網(wǎng)絡日志文件。目錄和文件中的不期望的改變。程序執(zhí)行中的不期望行為。物理形式的入侵信息。2、信息分析3、響應二、入侵檢測基本原理和重要技術1、入侵檢測工作步驟信息收集信息分析響應2、入侵檢測技術分類二、入侵檢測基本原理和重要技術（1）誤用檢測二、入侵檢測基本原理和重要技術誤用檢測，一種基于模式匹配的網(wǎng)絡入侵檢測技術。假設所有的網(wǎng)絡攻擊行為和方法都具有一定的模式或特征，如果把以往發(fā)現(xiàn)的所有網(wǎng)絡攻擊的特征總結出來并建立一個入侵信息庫，然后將搜集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，即可發(fā)現(xiàn)未知的網(wǎng)絡攻擊行為。攻擊行為數(shù)據(jù)特征提取誤用檢測（2）異常檢測二、入侵檢測基本原理和重要技術基于異常的入侵檢測方法主要來源于這樣的思想：任何人的正常行為都有一定的規(guī)律，并且可以通過分析這些行為產(chǎn)生的日志信息總結出這些規(guī)律，而入侵行為通常和正常的行為存在嚴重的差異，通過檢查出這些差異就可以檢測出這些入侵。模型如下圖：三、常見入侵檢測產(chǎn)品1、CA

SessionWall

ComputerAssociates公司的SessionWall-3，現(xiàn)在常稱為eTrustIntrusionDetection是業(yè)界領先的功能非常強大的基于網(wǎng)絡的入侵檢測系統(tǒng)。1.入侵檢測功能2.會話記錄、攔截功能3.防止網(wǎng)絡濫用4.活動代碼和病毒防護5.與其他安全產(chǎn)品集成與配合6.集中管理

“冰之眼”網(wǎng)絡入侵檢測系統(tǒng)是NSFOCUS系列安全軟件中一款專門針對網(wǎng)絡遭受黑客攻擊行為而研制的網(wǎng)絡安全產(chǎn)品，該產(chǎn)品可最大限度地、全天候地監(jiān)控企業(yè)級的安全。由于用戶自身網(wǎng)絡系統(tǒng)的缺陷、網(wǎng)絡軟件的漏洞以及網(wǎng)絡管理員的疏忽等等，都可能使網(wǎng)絡入侵者有機可乘，而系統(tǒng)遭受了攻擊，就可能造成重要的數(shù)據(jù)、資料丟失，關鍵的服務器丟失控制權等