計(jì)算機(jī)信息安全技術(shù) 課件 第6、7章 防火墻技術(shù)、入侵檢測技術(shù)

計(jì)算機(jī)信息安全技術(shù)第六章防火墻技術(shù)目錄6.1防火墻概述6.2防火墻的分類6.3防火墻技術(shù)

6.4防火墻的體系結(jié)構(gòu)6.5防火墻的部署6.6防火墻技術(shù)的發(fā)展趨勢6.7Windows防火墻6.1防火墻概述防火墻的定義防火墻是一種高級訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域之間通信流的唯一通道，能根據(jù)用戶有關(guān)的安全策略控制進(jìn)出網(wǎng)絡(luò)的訪問行為。圖6.1防火墻示意圖6.1防火墻概述防火墻至少提供兩個(gè)基本的服務(wù)：有選擇地限制外部網(wǎng)用戶對本地網(wǎng)的訪問，保護(hù)本地網(wǎng)的特定資源。有選擇地限制本地網(wǎng)用戶對外地網(wǎng)的訪問。安全、管理、速度是防火墻的三大要素。6.1防火墻概述防火墻的特性

內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻。只有符合安全策略的數(shù)據(jù)流才能通過防火墻。防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊能力。6.1防火墻概述防火墻的功能

1．阻止易受攻擊的服務(wù)。2．集中安全性管理。3．對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)。4．檢測掃描計(jì)算機(jī)的企圖。5．防范特洛伊木馬。6．防病毒功能。7．支持VPN技術(shù)。8．提供網(wǎng)絡(luò)地址翻譯NAT功能6.1防火墻概述防火墻的局限性一、入侵者可以偽造數(shù)據(jù)繞過防火墻或者找到防火墻中可能開啟的后門；二、防火墻不能阻止來自網(wǎng)絡(luò)內(nèi)部的攻擊；三、通常它不具備實(shí)時(shí)監(jiān)控入侵的能力；四、防火墻不能防御所有新的威脅。五、防火墻通常工作在網(wǎng)絡(luò)層，僅以防火墻則無法檢測和防御最新的拒絕服務(wù)攻擊（DoS）及蠕蟲病毒的攻擊。6.2防火墻的分類防火墻的發(fā)展簡史

第一代防火墻第二、三代防火墻第四代防火墻第五代防火墻一體化安全網(wǎng)關(guān)UTM6.2防火墻的分類按軟硬件形式分類軟件防火墻硬件防火墻芯片級防火墻按防火墻結(jié)構(gòu)分類單一主機(jī)防火墻路由器集成式防火墻分布式防火墻6.2防火墻的分類按防火墻的應(yīng)用部署分類邊界防火墻個(gè)人防火墻混合防火墻按防火墻性能分類百兆級防火墻千兆級防火墻按防火墻技術(shù)分類包過濾（Packetfiltering）型應(yīng)用代理（ApplicationProxy）型6.3防火墻技術(shù)包過濾技術(shù)以色列的Checkpoint防火墻美國Cisco公司的PIX防火墻代理服務(wù)技術(shù)美國NAI公司的Gauntlet防火墻狀態(tài)檢測技術(shù)NAT技術(shù)6.3防火墻技術(shù)包過濾（Packetfiltering）技術(shù)

包過濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層；它根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號和協(xié)議類型等標(biāo)志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。6.3防火墻技術(shù)包過濾技術(shù)出現(xiàn)了兩種不同版本，稱為“第一代靜態(tài)包過濾”和“第二代動態(tài)包過濾”。第一代靜態(tài)包過濾類型防火墻：根據(jù)定義好的過濾規(guī)則審查每個(gè)數(shù)據(jù)包，以便確定其是否與某一條包過濾規(guī)則匹配。過濾規(guī)則基于數(shù)據(jù)包的報(bào)頭信息進(jìn)行制訂。圖6.3第一代靜態(tài)包過濾防火墻工作層次結(jié)構(gòu)6.3防火墻技術(shù)第二代動態(tài)包過濾型防火墻：采用動態(tài)設(shè)置包過濾規(guī)則的方法，避免了靜態(tài)包過濾所具有的問題。這種技術(shù)后來發(fā)展成為包狀態(tài)檢測（StatefulInspection）技術(shù)。圖6.4第二代動態(tài)包過濾防火墻工作層次結(jié)構(gòu)6.3防火墻技術(shù)包過濾技術(shù)

1.過濾規(guī)則（1）過濾規(guī)則序號FRNO（FilterruleNumber），它決定過濾算法執(zhí)行時(shí)過濾規(guī)則排列的順序。（2）過濾方式（Action）包括允許（Allow）和阻止（Block）。（3）源IP地址SIP（SourceIPaddress）。（4）源端口SP（SourcePort）。（5）目的IP地址DIP（DestinationIPaddress）。（6）目的端口DP（DestinationPort）。（7）協(xié)議標(biāo)志PF（ProtocolFlags）。（8）最后一項(xiàng)是注釋（Comment）。6.3防火墻技術(shù)包過濾技術(shù)

2.包過濾規(guī)則的制定過程（1）確定安全需求及安全目標(biāo)，明確什么是應(yīng)該和不應(yīng)該被允許的，然后制定合適的安全策略。（2）必須正式規(guī)定允許的包類型、包字段的邏輯表達(dá)。（3）必須用防火墻支持的語法重寫表達(dá)式。6.3防火墻技術(shù)包過濾技術(shù)3.包過濾操作過程（1）包過濾規(guī)則必須被存儲作為包過濾設(shè)備的端口上。（2）當(dāng)數(shù)據(jù)包在端口到達(dá)時(shí)，包頭被提取。同時(shí)包過濾設(shè)備檢查IP，TCP，UDP等包頭中的域。（3）包過濾規(guī)則以特定的次序被存儲，每一規(guī)則按照被存儲的次序作用于包。（4）如果一條規(guī)則阻止傳輸，包就被棄掉。（5）如果一條規(guī)則允許傳輸，包就被通過。（6）如果一個(gè)包不滿足任意規(guī)則，它就被棄掉。6.3防火墻技術(shù)代理（ApplicationProxy）服務(wù)技術(shù)應(yīng)用代理型防火墻工作在OSI應(yīng)用層。其特點(diǎn)是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流。在代理型防火墻技術(shù)的發(fā)展過程中，經(jīng)歷了兩個(gè)不同的版本：第一代應(yīng)用網(wǎng)關(guān)型代理防火墻；第二代自適應(yīng)代理防火墻。6.3防火墻技術(shù)圖6.5代理型防火墻結(jié)構(gòu)示意圖6.3防火墻技術(shù)第一代應(yīng)用網(wǎng)關(guān)（ApplicationGateway）型防火墻：通過代理（Proxy）技術(shù)參與到一個(gè)TCP連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過該防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。圖6.6第一代應(yīng)用網(wǎng)關(guān)防火墻工作層次結(jié)構(gòu)6.3防火墻技術(shù)第二代自適應(yīng)代理（Adaptiveproxy）型防火墻：結(jié)合代理類型防火墻的安全性和包過濾防火墻的高速度等優(yōu)點(diǎn)，在不損失安全性的基礎(chǔ)之上將代理型防火墻的性能提高10倍以上?；疽兀鹤赃m應(yīng)代理服務(wù)器（AdaptiveProxyServer）與動態(tài)包過濾器（DynamicPacketfilter）。圖6.7第二代自適應(yīng)代理防火墻工作層次結(jié)構(gòu)6.3防火墻技術(shù)代理服務(wù)技術(shù)在Intranet中設(shè)置了一個(gè)代理服務(wù)器，將外部網(wǎng)(Internet)與內(nèi)部網(wǎng)之間的連接分為兩段:從Internet上的主機(jī)引到代理服務(wù)器；由代理服務(wù)器連到內(nèi)部網(wǎng)中的某一個(gè)主機(jī)(服務(wù)器)。當(dāng)主機(jī)請求訪問Intranet的某個(gè)應(yīng)用服務(wù)器時(shí)，該請求總被送到代理服務(wù)器，并在其中通過安全檢查后，再由代理服務(wù)器與內(nèi)部網(wǎng)中的應(yīng)用服務(wù)器建立鏈接。

所有Internet上的主機(jī)對內(nèi)部網(wǎng)中應(yīng)用服務(wù)器的訪問，都被送到代理服務(wù)器，由后者去代替在Internet上的相應(yīng)主機(jī)，對Intranet的應(yīng)用服務(wù)器進(jìn)行訪問。這樣就把Internet主機(jī)對Intranet應(yīng)用服務(wù)器的訪問，置于代理服務(wù)器的安全控制之下，從而使訪問者無法了解到Intranet的結(jié)構(gòu)和運(yùn)行情況。6.3防火墻技術(shù)狀態(tài)檢測技術(shù)狀態(tài)檢測技術(shù)是包過濾技術(shù)的延伸，使用各種狀態(tài)表（statetables）來追蹤活躍的TCP會話。由用戶定義的訪問控制列表（ACL）決定允許建立哪些會話（session），只有與活躍會話相關(guān)聯(lián)的數(shù)據(jù)才能穿過防火墻。6.3防火墻技術(shù)狀態(tài)檢測技術(shù)狀態(tài)檢測技術(shù)防火墻的工作過程：

(1)防火墻檢查數(shù)據(jù)包是否是一個(gè)已經(jīng)建立并且正在使用的通信流的一部分。

(2)根據(jù)所使用的協(xié)議，決定對數(shù)據(jù)包的檢查程度。

(3)如果數(shù)據(jù)包和連接表的各項(xiàng)都不匹配，那么防火墻就會檢測數(shù)據(jù)包是否與它所配置的規(guī)則集相匹配。

(4)在數(shù)據(jù)包檢測后，防火墻就會將該數(shù)據(jù)包轉(zhuǎn)發(fā)到它的目的地址，并且防火墻會在其連接表中為此次對話創(chuàng)建或者更新一個(gè)連接項(xiàng)，防火墻將使用這個(gè)連接項(xiàng)對返回的數(shù)據(jù)包進(jìn)行校驗(yàn)。

(5)防火墻通常對TCP包中被設(shè)置的FIN位進(jìn)行檢測或者通過使用計(jì)時(shí)器來決定何時(shí)從連接表中刪除某連接項(xiàng)。6.3防火墻技術(shù)NAT技術(shù)（NetworkAddressTranslation,NAT）IETF標(biāo)準(zhǔn)中的一項(xiàng)技術(shù)，一種把內(nèi)部私有IP地址翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。靜態(tài)NAT（StaticNAT）永久映射為某一外部地址動態(tài)NAT（PooledNAT）臨時(shí)外部地址網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Port-LevelNAT）映射的時(shí)候增加了端口號6.3防火墻技術(shù)NAT技術(shù)優(yōu)點(diǎn)對外隱藏IP資源共享充分利用包過濾防火墻機(jī)制NAT技術(shù)缺點(diǎn)不能處理嵌入式IP地址或端口不能從公網(wǎng)訪問內(nèi)部網(wǎng)絡(luò)服務(wù)地址轉(zhuǎn)換將增加交換延遲會導(dǎo)致某些應(yīng)用程序無法正常運(yùn)行6.4防火墻的體系結(jié)構(gòu)堡壘主機(jī)體系結(jié)構(gòu)堡壘主機(jī)是防火墻最基本的構(gòu)件。它一般作用在網(wǎng)絡(luò)層（IP層），按照一定的安全策略，對進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行分析和限制，實(shí)現(xiàn)報(bào)文過濾功能。該防火墻優(yōu)點(diǎn)在于速度快等，但安全性能差。6.4防火墻的體系結(jié)構(gòu)雙宿主主機(jī)體系結(jié)構(gòu)雙宿主主機(jī)的防火墻系統(tǒng)由一臺裝有兩張網(wǎng)卡的堡壘主機(jī)構(gòu)成。堡壘機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。內(nèi)外網(wǎng)絡(luò)之間的IP數(shù)據(jù)流被雙宿主主機(jī)完全切斷。用堡壘機(jī)取代路由器執(zhí)行安全控制功能。圖6.8雙宿主主機(jī)防火墻結(jié)構(gòu)示意圖6.4防火墻的體系結(jié)構(gòu)雙宿主主機(jī)的實(shí)現(xiàn)方案：應(yīng)用層數(shù)據(jù)共享，用戶直接登錄到雙宿主主機(jī)圖6.9雙宿主主機(jī)結(jié)構(gòu)防火墻（應(yīng)用層數(shù)據(jù)共享）6.4防火墻的體系結(jié)構(gòu)應(yīng)用層代理服務(wù)，在雙宿主機(jī)上運(yùn)行代理服務(wù)器雙宿主主機(jī)結(jié)構(gòu)是由一臺同時(shí)連接在內(nèi)外部網(wǎng)絡(luò)的雙宿主主機(jī)提供安全保障的。圖6.10雙宿主主機(jī)結(jié)構(gòu)防火墻（應(yīng)用層代理服務(wù)）6.4防火墻的體系結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)

堡壘機(jī)與內(nèi)部網(wǎng)相連，用篩選路由器連接到外部網(wǎng)上，篩選路由器作為第一道防線，堡壘機(jī)作為第二道防線。這確保了內(nèi)部網(wǎng)絡(luò)不受未被授權(quán)的外部用戶的攻擊。該防火墻系統(tǒng)提供的安全等級比前面兩種防火墻系統(tǒng)要高，主要用于企業(yè)小型或中型網(wǎng)絡(luò)。6.4防火墻的體系結(jié)構(gòu)圖6.12屏蔽主機(jī)防火墻轉(zhuǎn)發(fā)數(shù)據(jù)包過程6.4防火墻的體系結(jié)構(gòu)屏蔽子網(wǎng)體系結(jié)構(gòu)

屏蔽子網(wǎng)結(jié)構(gòu)就是在屏蔽主機(jī)結(jié)構(gòu)中再增加一層邊界網(wǎng)絡(luò)（DMZ）的安全機(jī)制，使得內(nèi)部網(wǎng)與外部網(wǎng)之間完全隔斷。圖6.13屏蔽子網(wǎng)防火墻結(jié)構(gòu)示意圖6.4防火墻的體系結(jié)構(gòu)防火墻的結(jié)構(gòu)組合策略

多堡壘主機(jī)合并內(nèi)、外部路由器合并堡壘主機(jī)與外部路由器合并堡壘主機(jī)與內(nèi)部路由器

6.5防火墻的部署防火墻的設(shè)計(jì)原則

保持設(shè)計(jì)的簡單性安排事故計(jì)劃防火墻的選購原則第一要素：防火墻的基本功能第二要素：企業(yè)的特殊要求第三要素：與用戶網(wǎng)絡(luò)結(jié)合6.5防火墻的部署常見防火墻產(chǎn)品CheckpointFirewall-1Sonicwall系列防火墻NetScreenFirewallAlkatelInternetDevices系列防火墻北京天融信公司網(wǎng)絡(luò)衛(wèi)士防火墻NAIGauntlet防火墻Comodo防火墻6.5防火墻的部署Comodo防火墻6.6防火墻技術(shù)的發(fā)展趨勢防火墻包過濾技術(shù)發(fā)展趨勢身份認(rèn)證技術(shù)多級過濾技術(shù)防病毒技術(shù)防火墻的體系結(jié)構(gòu)發(fā)展趨勢硬件+軟件=靈活防火墻的系統(tǒng)管理發(fā)展趨勢

首先是集中式管理，分布式和分層的安全結(jié)構(gòu)是將來的趨勢。強(qiáng)大的審計(jì)功能和自動日志分析功能。網(wǎng)絡(luò)安全產(chǎn)品的系統(tǒng)化。6.7Windows防火墻在Windows操作系統(tǒng)中內(nèi)置了一個(gè)稱為ICF的防火墻，ICF是一個(gè)基于包的防火墻，可以不響應(yīng)Ping命令，可以禁止外部程序?qū)δ愕挠?jì)算機(jī)進(jìn)行端口掃描，拋棄所有沒有請求的IP包。

ICF原理：通過保存一個(gè)通信表格，記錄所有自本機(jī)發(fā)出的目的IP地址、端口、服務(wù)等來達(dá)到保護(hù)本機(jī)的目的。當(dāng)一個(gè)IP數(shù)據(jù)包進(jìn)入本機(jī)時(shí)，ICF會檢查這個(gè)表格，看到達(dá)的這個(gè)IP數(shù)據(jù)包是不是本機(jī)所請求的，如果是就讓它通過，否則就拋棄這個(gè)IP數(shù)據(jù)包。本章教學(xué)要求（1）了解防火墻的概念；（2）掌握防火墻的主要功能和分類方法；

（3）掌握包過濾防火強(qiáng)、代理型防火墻、狀態(tài)檢測防火墻和NAT技術(shù)的原理（4）掌握防火墻的幾種體系結(jié)構(gòu)；（5）了解Windows防火墻；（6）了解常見防火墻的部署和使用方法。計(jì)算機(jī)信息安全技術(shù)第七章入侵檢測技術(shù)目錄7.1入侵檢測技術(shù)概述7.2入侵檢測系統(tǒng)的特點(diǎn)和分類7.3入侵檢測的技術(shù)模型7.4分布式入侵檢測7.5入侵防護(hù)系統(tǒng)7.6常用入侵檢測系統(tǒng)介紹7.7入侵檢測技術(shù)的存在的問題與發(fā)展趨勢7.1入侵檢測技術(shù)概述防火墻是所有保護(hù)網(wǎng)絡(luò)的方法中最能普遍接受的方法，能阻擋外部入侵者，但對內(nèi)部攻擊無能為力；防火墻不能防止通向站點(diǎn)的后門；不提供對內(nèi)部的保護(hù)；無法防范數(shù)據(jù)驅(qū)動型的攻擊；不能防止用戶由Internet上下載被病毒感染的計(jì)算機(jī)程序或?qū)⒃擃惓绦蚋皆陔娮余]件上傳輸。

入侵檢測是防火墻的合理補(bǔ)充，它幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。7.1入侵檢測技術(shù)概述入侵?對信息系統(tǒng)的非授權(quán)訪問及（或）未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作入侵檢測?通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)進(jìn)行信息收集并對其進(jìn)行分析，發(fā)現(xiàn)是否存在違反安全策略的行為或遭到攻擊的跡象。入侵檢測系統(tǒng)（IDS）?用于輔助進(jìn)行入侵檢測或者獨(dú)立進(jìn)行入侵檢測的自動化工具7.1入侵檢測技術(shù)概述入侵檢測系統(tǒng)（IDS）由入侵檢測的軟件與硬件組合而成，被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。這些都通過它執(zhí)行以下任務(wù)來實(shí)現(xiàn)：

1）監(jiān)視、分析用戶及系統(tǒng)活動。

2）系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)。

3）識別反映已知進(jìn)攻的活動模式并向相關(guān)人士報(bào)警。

4）異常行為模式的統(tǒng)計(jì)分析。

5）評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。

6）操作系統(tǒng)的審計(jì)跟蹤管理，并識別用戶違反安全策略的行為。7.1入侵檢測技術(shù)概述入侵檢測系統(tǒng)的作用?監(jiān)控網(wǎng)絡(luò)和系統(tǒng)?發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象?實(shí)時(shí)報(bào)警?主動響應(yīng)?審計(jì)跟蹤形象地說，它就是網(wǎng)絡(luò)攝像機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時(shí)它也是智能攝像機(jī)，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝像機(jī)，能夠穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)容。它還不僅僅只是攝像機(jī)，還包括保安員的攝像機(jī).7.1入侵檢測技術(shù)概述7.1入侵檢測技術(shù)概述入侵檢測技術(shù)的發(fā)展JamesP.Anderson在1980年發(fā)表的《ComputerSecurityThreatMonitoringandSurveillance》作為入侵檢測概念的最早起源。7.1入侵檢測技術(shù)概述1986年DorothyDenning等人在論文AnIntrusionDetectionModel中給出了一個(gè)入侵檢測的抽象模型IDES（入侵檢測專家系統(tǒng)），并在1988年開發(fā)出IDES系統(tǒng)。圖7.1IDES系統(tǒng)模型7.1入侵檢測技術(shù)概述1990年Herberlein等人開發(fā)出了第一個(gè)真正意義上的入侵檢測系統(tǒng)NSM（NetworkSecurityMonitor）。上世紀(jì)90年代中期，商業(yè)入侵檢測產(chǎn)品初現(xiàn)端倪，1994年出現(xiàn)了第一臺入侵檢測產(chǎn)品：ASIM。1997年，Cisco將網(wǎng)絡(luò)入侵檢測集成到其路由器設(shè)備，入侵檢測系統(tǒng)正式進(jìn)入主流網(wǎng)絡(luò)安全產(chǎn)品階段。2001～2003年之間，蠕蟲病毒廣泛傳播，造就了入侵檢測的廣泛推廣。7.1入侵檢測技術(shù)概述入侵檢測的目的：識別入侵者；識別入侵行為；檢測和監(jiān)視已成功的安全突破；為對抗措施即時(shí)提供重要信息。7.2入侵檢測系統(tǒng)的特點(diǎn)與分類入侵檢測系統(tǒng)的特點(diǎn)入侵檢測系統(tǒng)的基本結(jié)構(gòu)入侵檢測系統(tǒng)分類7.2.1入侵檢測系統(tǒng)的特點(diǎn)入侵檢測系統(tǒng)的功能要求:實(shí)時(shí)性要求可擴(kuò)展性要求適應(yīng)性要求安全性與可用性要求有效性要求7.2.2入侵檢測系統(tǒng)的基本結(jié)構(gòu)入侵檢測系統(tǒng)的基本過程入侵檢測系統(tǒng)還包括界面處理，配置管理等模塊。7.2.2入侵檢測系統(tǒng)的基本結(jié)構(gòu)信息收集模塊信息收集模塊的作用為系統(tǒng)提供檢測的數(shù)據(jù)。數(shù)據(jù)內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。數(shù)據(jù)來源系統(tǒng)和網(wǎng)絡(luò)日志文件目錄和文件中的不期望的改變網(wǎng)絡(luò)流量程序執(zhí)行中的異常行為7.2.2入侵檢測系統(tǒng)的基本結(jié)構(gòu)信息收集模塊入侵檢測很大程度上依賴于收集信息的可靠性和正確性要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯誤的信息7.2.2入侵檢測系統(tǒng)的基本結(jié)構(gòu)數(shù)據(jù)分析模塊對上述四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，通過技術(shù)手段進(jìn)行分析。模式匹配優(yōu)點(diǎn)：技術(shù)成熟，減少系統(tǒng)負(fù)擔(dān)缺點(diǎn)：需要不斷升級，不能檢測未知統(tǒng)計(jì)分析優(yōu)點(diǎn)：可以檢測未知的入侵缺點(diǎn)：誤報(bào)和漏報(bào)比較高完整性分析優(yōu)點(diǎn)：能發(fā)現(xiàn)所有的入侵行為缺點(diǎn)：用于批處理方式實(shí)現(xiàn)，不能用于實(shí)時(shí)響應(yīng)7.2.2入侵檢測系統(tǒng)的基本結(jié)構(gòu)事件響應(yīng)模塊事件響應(yīng)模塊的作用在于警告與反應(yīng)，這實(shí)際上與PPDR模型的R有所重疊。7.2.2入侵檢測系統(tǒng)的基本結(jié)構(gòu)入侵檢測系統(tǒng)的結(jié)構(gòu)

7.2.2入侵檢測系統(tǒng)的基本結(jié)構(gòu)引擎的工作流程

引擎的主要功能：原始數(shù)據(jù)讀取、數(shù)據(jù)分析、產(chǎn)生事件、策略匹配、事件處理、通信等功能7.2.3入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)的分類基于主機(jī)的入侵檢測系統(tǒng)（HIDS）

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）分布式入侵檢測系統(tǒng)（DIDS）7.2.3入侵檢測系統(tǒng)的分類1.基于主機(jī)的入侵檢測系統(tǒng)（HIDS）基于主機(jī)的IDS安裝在被保護(hù)的主機(jī)上，保護(hù)運(yùn)行關(guān)鍵應(yīng)用的服務(wù)器。通過監(jiān)視與分析主機(jī)的審計(jì)記錄和日志文件來檢測入侵行為。InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartnersHost-based入侵檢測HackerHost-basedIDSHost-basedIDSInternet基于主機(jī)入侵檢測系統(tǒng)工作原理網(wǎng)絡(luò)服務(wù)器1客戶端網(wǎng)絡(luò)服務(wù)器2X檢測內(nèi)容：

系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日志、安全審記、應(yīng)用日志HIDSXHIDS7.2.3入侵檢測系統(tǒng)的分類1.基于主機(jī)的入侵檢測系統(tǒng)（HIDS）優(yōu)點(diǎn)：能夠校驗(yàn)出攻擊是成功還是失?。豢墒固囟ǖ南到y(tǒng)行為受到嚴(yán)密監(jiān)控等。缺點(diǎn)：它會占用主機(jī)的資源HIDS的安全性受到宿主操作系統(tǒng)的限制。HIDS的數(shù)據(jù)源受到審計(jì)系統(tǒng)限制。被木馬化的系統(tǒng)內(nèi)核能夠騙過HIDS。維護(hù)/升級不方便。7.2.3入侵檢測系統(tǒng)的分類2.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）基于網(wǎng)絡(luò)的IDS一般安裝在需要保護(hù)的網(wǎng)段中，利用網(wǎng)絡(luò)偵聽技術(shù)實(shí)時(shí)監(jiān)視網(wǎng)段中傳輸?shù)母鞣N數(shù)據(jù)包，對這些數(shù)據(jù)包的內(nèi)容、源地址、目的地址等進(jìn)行分析和檢測。如果發(fā)現(xiàn)入侵行為或可疑事件，入侵檢測系統(tǒng)就會發(fā)出警報(bào)甚至切斷網(wǎng)絡(luò)連接。

InternetDesktopsWebServersTelecommutersCustomersServersNetworkBranchOfficePartnersNIDSNetwork-basedIDSNetwork-basedIDSNetwork-basedIDS7.2.3入侵檢測系統(tǒng)的分類NIDS工作模型7.2.3入侵檢測系統(tǒng)的分類InternetNIDS基于網(wǎng)絡(luò)入侵檢測系統(tǒng)工作原理網(wǎng)絡(luò)服務(wù)器1數(shù)據(jù)包=包頭信息+有效數(shù)據(jù)部分客戶端網(wǎng)絡(luò)服務(wù)器2X檢測內(nèi)容：

包頭信息+有效數(shù)據(jù)部分7.2.3入侵檢測系統(tǒng)的分類2.基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）優(yōu)點(diǎn)：

(1)網(wǎng)絡(luò)IDS系統(tǒng)單獨(dú)架設(shè)，不占用其它計(jì)算機(jī)系統(tǒng)的任何資源；(2)網(wǎng)絡(luò)IDS系統(tǒng)是一個(gè)獨(dú)立的網(wǎng)絡(luò)設(shè)備，可以做到對黑客透明，因此其本身的安全性高；(3)它既可以用于實(shí)時(shí)監(jiān)測系統(tǒng)，也是記錄審計(jì)系統(tǒng)，可以做到實(shí)時(shí)保護(hù)，事后分析取證；(4)可與防火墻的聯(lián)動，對攻擊預(yù)警，有效地阻止非法入侵和破壞。缺點(diǎn)：

(1)不適合交換環(huán)境和高速環(huán)境(2)不能處理加密數(shù)據(jù)(3)系統(tǒng)相關(guān)的脆弱性7.2.3入侵檢測系統(tǒng)的分類3.分布式入侵檢測系統(tǒng)（DIDS）典型的DIDS是管理端/傳感器結(jié)構(gòu)。NIDS作為傳感器放置在網(wǎng)絡(luò)的各個(gè)地方，并向中央管理平臺匯報(bào)情況。對DIDS來說，傳感器可以使用NIDS、HIDS，或者同時(shí)使用，而且傳感器有的工作在混雜模式，有的工作在非混雜模式。7.3入侵檢測的技術(shù)模型入侵檢測的技術(shù)模型最早的入侵檢測模型由DorothyDenning在1986年提出。這個(gè)模型與具體系統(tǒng)和具體輸入無關(guān)，對此后的實(shí)用系統(tǒng)都很有借鑒價(jià)值。

事件產(chǎn)生器行為特征模塊規(guī)則模塊審計(jì)記錄/網(wǎng)絡(luò)數(shù)據(jù)包等特征表更新規(guī)則更新7.3入侵檢測的技術(shù)模型基于異常檢測的入侵檢測入侵和濫用行為與正常的行為存在嚴(yán)重的差異，通過檢查差異就可以檢測入侵。優(yōu)點(diǎn):不需要保存各種攻擊特征的數(shù)據(jù)庫，隨著統(tǒng)計(jì)數(shù)據(jù)的增加，檢測的準(zhǔn)確性會越來越高，可能還會檢測到一些未知的攻擊。缺點(diǎn)：由于用戶的行為有很大的不確定性，很難對其行為確定正常范圍，因此門限值的確定也比較困難，出錯的概率比較大。只能說明系統(tǒng)發(fā)生了異常的情況，并不能指出系統(tǒng)遭受了什么樣的攻擊，這給系統(tǒng)管理員采取應(yīng)對措施帶來了一定困難。異常檢測中常用的方法有：量化分析、統(tǒng)計(jì)分析和神經(jīng)網(wǎng)絡(luò)等。用于異常入侵檢測的技術(shù)1．量化分析檢測門限檢測啟發(fā)式門限檢測目標(biāo)完整性檢查2.統(tǒng)計(jì)分析方法基于行為模式組成的統(tǒng)計(jì)知識庫--偏離

其正常的行為認(rèn)為是入侵7.3入侵檢測的技術(shù)模型用于異常入侵檢測的技術(shù)3．神經(jīng)網(wǎng)絡(luò)參考?xì)v史數(shù)據(jù)進(jìn)行訓(xùn)練收集數(shù)據(jù)進(jìn)行預(yù)測7.3入侵檢測的技術(shù)模型7.3入侵檢測的技術(shù)模型基于誤用的入侵檢測

收集非正常操作的行為特征，通過監(jiān)測用戶的或系統(tǒng)行為，將收集到的數(shù)據(jù)與預(yù)先確定的特征知識庫模式比較。優(yōu)點(diǎn)：能迅速發(fā)現(xiàn)已知的攻擊，并指出攻擊的類型，便于采取應(yīng)對措施；可以根據(jù)自身情況選擇所要監(jiān)控的事件類型和數(shù)量；誤用檢測沒有浮點(diǎn)運(yùn)算，效率較高。缺點(diǎn)：它只能檢測數(shù)據(jù)庫中己有的攻擊，對未知的攻擊無能為力。誤用檢測中常用的方法有:簡單的模式匹配、專家系統(tǒng)和狀態(tài)轉(zhuǎn)移法。7.3入侵檢測的技術(shù)模型基于誤用的入侵檢測

1．模式匹配方法最為通用的一種檢測方式。優(yōu)點(diǎn)：原理簡單，擴(kuò)展性好，檢測效率高，配置和維護(hù)方便缺點(diǎn)：只適用于簡單的攻擊，誤報(bào)率高基于誤用的入侵檢測

2.專家系統(tǒng)根據(jù)知識庫的內(nèi)容對監(jiān)測數(shù)據(jù)進(jìn)行評估，判斷是否存在入侵優(yōu)點(diǎn)：簡單，易用缺點(diǎn)：效率低，只能檢測已知攻擊，規(guī)則庫維護(hù)麻煩7.3入侵檢測的技術(shù)模型基于誤用的入侵檢測

3．狀態(tài)轉(zhuǎn)移法優(yōu)化的模式匹配技術(shù)來進(jìn)行判斷，主要方法有狀態(tài)轉(zhuǎn)移分析和著色Petri網(wǎng)。狀態(tài)轉(zhuǎn)移分析用狀態(tài)轉(zhuǎn)移圖表示和檢測已知攻擊模式的無用檢測技術(shù)；著色Petri網(wǎng)將入侵表示成一個(gè)著色的Petri網(wǎng)，特征匹配過程由標(biāo)記的動作構(gòu)成，標(biāo)記在審計(jì)記錄的驅(qū)動下，從初始狀態(tài)向最終狀態(tài)逐步前進(jìn)。7.3入侵檢測的技術(shù)模型分布式入侵檢測優(yōu)勢檢測大范圍的攻擊行為提高檢測的準(zhǔn)確度提高檢測效率協(xié)調(diào)響應(yīng)措施7.4分布式入侵檢測分布式入侵檢測的實(shí)現(xiàn)Snortnet（KyrgyzRussianSlavic大學(xué)）Agent-Based分布式入侵檢測（Purdue大學(xué)）DIDS（加州大學(xué)戴維斯分校NSM）GrIDS（UCDavis）數(shù)據(jù)融合（TimmBass提出）7.4分布式入侵檢測防火墻：拒絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍允許某些流量通過，因此它對很多入侵攻擊無計(jì)可施。IDS：通過監(jiān)視網(wǎng)絡(luò)和系統(tǒng)資源，尋找違反安全策略的行為，并發(fā)出警報(bào)，因此IDS只能被動地檢測攻擊，而不能主動地把威脅阻止在網(wǎng)絡(luò)之外。7.5入侵防護(hù)系統(tǒng)防火墻不能滿足要求IDS不能滿足新網(wǎng)絡(luò)環(huán)境下對安全的需求。人們迫切需要找到一種主動入侵防護(hù)解決方案。7.5入侵防護(hù)系統(tǒng)入侵防防護(hù)系統(tǒng)(IPS:IntrusionPreventionSystem)則能提供主動性的防護(hù)，其設(shè)計(jì)旨在對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其直接進(jìn)入內(nèi)部網(wǎng)絡(luò)，而不是簡單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。7.4入侵防護(hù)系統(tǒng)入侵防護(hù)系統(tǒng)原理7.5入侵防護(hù)系統(tǒng)入侵防護(hù)系統(tǒng)關(guān)鍵技術(shù)主動防御技術(shù)防火墻與IPS聯(lián)動技術(shù)集成多種檢測技術(shù)硬件加速系統(tǒng)7.5入侵防護(hù)系統(tǒng)IPS系統(tǒng)分類基于主機(jī)的入侵防護(hù)系統(tǒng)(HIPS)基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)(NIPS)7.5入侵防護(hù)系統(tǒng)IPS系統(tǒng)分類基于主機(jī)的入侵防護(hù)系統(tǒng)(HIPS)7.5入侵防護(hù)系統(tǒng)IPS系統(tǒng)分類基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)(NIPS)7.5入侵防護(hù)系統(tǒng)入侵檢測系統(tǒng)IDS的核心價(jià)值在于通過對全網(wǎng)信息的收集、分析，了解信息系統(tǒng)的安全狀況，進(jìn)而指導(dǎo)信息系統(tǒng)安全建設(shè)目標(biāo)以及安全策略的確立和調(diào)整。入侵防御系統(tǒng)IPS的核心價(jià)值在于對數(shù)據(jù)的深度分析及安全策略的實(shí)施——對黑客行為的阻擊。入侵檢測系統(tǒng)需要部署在網(wǎng)絡(luò)內(nèi)部，監(jiān)控范圍可以覆蓋整個(gè)子網(wǎng)，包括來自外部的數(shù)據(jù)以及內(nèi)部終端之間傳輸?shù)臄?shù)據(jù)，入侵防御系統(tǒng)則必須部署在網(wǎng)絡(luò)邊界，抵御來自外部的入侵，對內(nèi)部攻擊行為無能為力。IPS可以理解為深度Firewall。7.6常用入侵檢測系統(tǒng)介紹SnortSnort系統(tǒng)是一個(gè)以開放源代碼（OpenSource）形式發(fā)行的網(wǎng)絡(luò)入侵檢測系統(tǒng)，由MartinRoesch編寫，并由遍布世界各地的眾多程序員共同維護(hù)和升級。Snort最初是設(shè)計(jì)給小網(wǎng)絡(luò)段使用的，常被稱為輕量級的入侵檢測系統(tǒng)?，F(xiàn)在Snort既可用于Unix/Linux平臺，也有適用于Windows操作系統(tǒng)的版本。

它具有很好的配置性和可移植性。擴(kuò)展性很好：基于規(guī)則的體系結(jié)構(gòu)使Snort非常靈活，設(shè)計(jì)者使其很容易插入和擴(kuò)充新的規(guī)則——就能對抗那些新出現(xiàn)的威脅。7.6常用入侵檢測系統(tǒng)介紹Snort的工作模式網(wǎng)絡(luò)嗅探分析儀（Sniffer）IP包日志記錄器網(wǎng)絡(luò)入侵檢測系統(tǒng)7.6常用入侵檢測系統(tǒng)介紹Snort的模塊結(jié)構(gòu)Snort在邏輯上可以分成多個(gè)模塊，這些模塊共同工作，來檢測特定的攻擊，并產(chǎn)生符合特定要求的輸出格式。圖7.6Snort模塊的組成及其相互關(guān)系7.6常用入侵檢測系統(tǒng)介紹Snort具有實(shí)時(shí)數(shù)據(jù)流量分析和日志IP網(wǎng)絡(luò)數(shù)據(jù)包的能力，能截獲網(wǎng)絡(luò)中的數(shù)據(jù)包并記錄數(shù)據(jù)包日志。Snort能夠?qū)Χ喾N協(xié)議進(jìn)行協(xié)議解析，對內(nèi)容進(jìn)行搜索和匹配。它能夠檢測多種方式的攻擊和探測。Snort的報(bào)警機(jī)制很豐富，有多種方式。利用XML插件，Snort可以使用SNML（SimpleNetworkMarkupLanguage，簡單網(wǎng)絡(luò)標(biāo)記語言），把日志存放到一個(gè)文件或者適時(shí)報(bào)警。7.6常用入侵檢測系統(tǒng)介紹構(gòu)建完整的Snort系統(tǒng)需要以下軟件，詳細(xì)安裝方法請參照網(wǎng)上相關(guān)資料。acid-0.9.6b23.tar.gz

基于php的入侵檢測數(shù)據(jù)庫分析控制臺adodb360.zipADOdb（ActiveDataObjectsDataBase）庫forPHPapache_2.0.46-win32-x86-no_s