文档介绍:会计学
1
入侵检测和入侵防御系统
目 录
入侵检测系统
1
主动响应与IPS
2
入侵防御讨论
3
第1页/共18页
传统上,企业网络一般采用防火墙作为安全的第一道防线,但随着攻击工具与手法的日趋复杂多样,单纯的防火墙策略已经无法满足对网络安全的进一步需要,网络的防卫必须采用一种纵深的、多样化的手段。
入侵检测系统是继防火墙之后,保护网络安全的第二道防线,它可以在网络受到攻击时,发出警报或者采取一定的干预措施,以保证网络的安全。
第2页/共18页
我们可以通过入侵检测系统(IDS)和监控时间日志两种方法就可以及时得到有关的网络安全事件。
第3页/共18页
入侵检测系统
入侵检测系统(IDS)是一种用来确定不需要的网络活动,并向有关人员发警报以便及时采取措施的检测系统。
注意:网络上不需要的活动不一定就是实际的入侵,可以是任何不想要的活动。
第4页/共18页
入侵检测系统
实现IDS最常见的方法是通过系统监控、检查指定链路上的所有流量,然后将流量通数据库中已知不需要检测的流量特征加以比较,这是基于特征的IDS。
还有一种是,IDS试图从实际网络数据构建“正常”通信量列表,然后标示任何与已建正常通信量列表不匹配的流量,这是基于异常检测的IDS。
第5页/共18页
入侵检测系统
入侵防御系统(IPS),它的功能强大,除了能够检测恶意行为外,还能够采取行动阻止恶意行为的危害。
第6页/共18页
入侵检测系统的配置
硬件需求
安装NIDS—它能识别恶意流量
添加P105页
图6-1
第7页/共18页
Linux系统上Snort配置
Snort是一种开放源代码、免费、跨平台的网络入侵保护和检测系统,它使用了一种规则驱动的语言,支持各种形式的插件、扩充和定制,具有实时数据流量分析、对IP网络数据包进行日志记录、以及对入侵进行探测的功能。
虽然Snort的功能非常强大,但其代码非常简洁,可移植性非常好。迄今为止数百万的下载量使得Snort成为使用最为广泛的入侵保护和检测系统,并且成为了事实上的行业标准。
第8页/共18页
Linux系统上Snort配置
Snort最主要的功能是对入侵进行检测,其工作方式是对抓取的数据包进行分析后,与特定的规则模式进行匹配,如果能匹配,则认为发生了入侵事件。
此时,执行snort命令时需要用“-c”选项指定入侵检测时所使用的配置文件。
Snort默认安装时,已经在/etc/snort目录提供了一个例子配置文件,。
第9页/共18页