文档介绍:TCSP--入侵检测技术原理
网络入侵的现状
深层防御体系及IDS的作用
IDS的分类方法学
IDS的结构
入侵检测的困惑
第四代入侵检测技术
入侵检测的新发展
内容提要
网络安全
work Security。Security和safety都译为“安全”,但二者其实是有区别的,safety更侧重物理实体上的安全。
网络安全领域的研究主要集中在计算机网络。
网络安全基本上是一个实践性的技术领域。
安全威胁来源
内部人员
特殊身份人员
外部个人和小组
(所谓黑客)
竞争对手和恐怖组织
敌对国家和军事组织
自然和不可抗力
网络安全范畴
网络安全范畴包括的要素:
数据:包括网络上传输的数据和端系统中的数据。
关系:网络作为交流的重要手段,涉及到通信各方信赖关系的建立与维护,信赖关系就意味着能力和数据访问权力的获取。
能力:包括网络系统的传输能力与端系统的能力。
网络安全范畴
网络安全包含基本方面:
数据保护:包括数据的机密性保护和完整性保护,这方面的理论比较完备(加密体制和算法)实现手段也比较完备。
(信赖)关系保护:包括身份鉴别与安全的建立、维护信赖关系。基本手段包括加密与协议的安全设计。理论比较完备,实现手段有一定漏洞。
能力保护:包括对网络系统的传输功能与端系统的处理功能的保护。这方面的理论基础基本上是实践经验的总结,运用的手段也基本上是试验性的。能力保护相关的工作也是入侵检测系统发挥作用之处。
PPDR模型
PPDR模型:策略(Policy)、防护(Protection)、检测(Detection)、响应(Response)这是一个螺旋上升的过程,如下图:
图一、PPDR模型示意图
PPDR模型
策略是这个模型的核心,在制定好策略之后,网络安全的其他几个方面就要围绕策略进行。
防护是第一步,它的基础是检测与响应的结果。具体包括:
安全规章的制定:在安全策略的基础上制定安全细则。
系统的安全配置:安装各种必要补丁,并进行仔细配置。
安全措施的采用:安装防火墙、IDS、VPN软件或设备等。
检测就是弥补防护对于攻击的滞后时间的必要手段。检测作用包括:
异常监视:发现系统的异常情况。如不正常的登陆。
模式发现:对已知的攻击模式进行发现。
响应就是发现攻击企图或者攻击之后,需要系统及时进行反应
报告:让管理员知道是否有入侵。
记录:记录入侵的各个细节以及系统的反应。
反应:进行相应的处理以阻止进一步的入侵。
恢复:清除入造成的影响,使系统恢复正常。
网络安全事件分类
互联网安全事件分类:
网页篡改
网络蠕虫
拒绝服务攻击
特罗伊木马
安全事件分类
网页篡改
非法篡改主页是指将网站中的主页更换为黑客所提供的网页。对计算机系统本身不会产生直接的损失,但对电子政务与电子商务等应用来说将被迫终止对外的服务。对政府网站而言,网页的篡改,尤其是含有政治攻击色彩的篡改,会对政府形象造成严重损害。针对网页的篡改,目前国内已有成熟的网页自动保护技术,使用网页自动恢复软件。