08-《網(wǎng)絡(luò)安全基礎(chǔ)》(課件)(3)-網(wǎng)絡(luò)攻擊與防御技術(shù)3-防火墻與入侵檢測(cè)

1、1 內(nèi)容提要 計(jì)算機(jī)網(wǎng)絡(luò)協(xié)議攻擊發(fā)展趨勢(shì)個(gè)人安全防范系統(tǒng)安全防御防火墻的基本概念，常見(jiàn)防火墻類型及如何使用規(guī)則集實(shí)現(xiàn)防火墻 入侵檢測(cè)系統(tǒng)的基本概念、入侵檢測(cè)的常用方法1、計(jì)算機(jī)網(wǎng)絡(luò)組成一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)該有三個(gè)主要的組成部分：若干個(gè)主機(jī)，它們向各用戶提供服務(wù)；一個(gè)通信子網(wǎng)，它由一些專用的結(jié)點(diǎn)交換機(jī)和連接這些結(jié)點(diǎn)的通信鏈路組成；一系列協(xié)議，為在主機(jī)之間或主機(jī)與子網(wǎng)之間的通信而用。城域網(wǎng)（MAN， Metropolitan Area Network ）城域網(wǎng)是在一個(gè)城市范圍內(nèi)所建立的計(jì)算機(jī)通信網(wǎng)。這是上世紀(jì)80年代末，在LAN的發(fā)展基礎(chǔ)上提出的，在技術(shù)上與LAN有許多相似之處。廣域網(wǎng)（WAN， Wi

2、de Area Network ）廣域網(wǎng)是在一個(gè)廣泛地理范圍內(nèi)所建立的計(jì)算機(jī)通信網(wǎng)，簡(jiǎn)稱WAN，其范圍可以超越城市和國(guó)家以至全球，因而對(duì)通信的要求及復(fù)雜性都比較高?；ヂ?lián)網(wǎng)（Internet,internetwork ）又稱因特網(wǎng)，是全球性的網(wǎng)，包括WAN、MAN、LAN等。6ISO/OSI參考模型TCP/IP協(xié)議體系計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)兩種體系結(jié)構(gòu)計(jì)算機(jī)網(wǎng)絡(luò)體系結(jié)構(gòu)：計(jì)算機(jī)網(wǎng)絡(luò)及其構(gòu)件所應(yīng)完成功能精確定義。體系結(jié)構(gòu)是抽象的，但實(shí)現(xiàn)則具體的，是真正運(yùn)行計(jì)算機(jī)硬件和軟件。ISO/OSI參考模型是網(wǎng)絡(luò)通信準(zhǔn)則主要模型。盡管存在其他模型，但大多數(shù)網(wǎng)絡(luò)供應(yīng)商都將他們的產(chǎn)品和OSI參考模型關(guān)聯(lián)起來(lái)。OSI網(wǎng)

3、絡(luò)體系結(jié)構(gòu)示意圖1.2 OSI參考模型及其安全81.2 OSI七層模型功能應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層1234567提供應(yīng)用程序接口處理數(shù)據(jù)格式、數(shù)據(jù)加密等建立、維護(hù)和管理會(huì)話建立主機(jī)端到端連接和數(shù)據(jù)傳輸路由選路和轉(zhuǎn)發(fā)提供介質(zhì)訪問(wèn)、鏈路管理等比特流傳輸2022/7/20OSI安全體系ISO/OSI安全體系由ISO7498-2定義，包括：五類安全服務(wù):認(rèn)證（鑒別）服務(wù)、訪問(wèn)控制服務(wù)、數(shù)據(jù)保密性服務(wù)、數(shù)據(jù)完整性服務(wù)和抗否認(rèn)性服務(wù)。 八大類安全機(jī)制:加密機(jī)制、數(shù)據(jù)簽名機(jī)制、訪問(wèn)控制機(jī)制、數(shù)據(jù)完整性機(jī)制、認(rèn)證機(jī)制、業(yè)務(wù)流填充機(jī)制、路由控制機(jī)制、公正機(jī)制。三類安全管理：系統(tǒng)安全管理、安

4、全管理服務(wù)和安全機(jī)制管理。安全層次9開(kāi)放系統(tǒng)互連安全體系結(jié)構(gòu)ISO 7498-2 1011TCP/IP參考模型TCP/IP參考模型在計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展史上具有里程牌的意義。基于TCP/IP的Internet已發(fā)展成為世界上最大的國(guó)際性計(jì)算機(jī)互連網(wǎng)絡(luò)。TCP/IP共有四層：應(yīng)用層、傳輸層、Internet層和通信子網(wǎng)層。TCP/IP網(wǎng)絡(luò)體系結(jié)構(gòu)如圖所示?；赥CP/IP協(xié)議的網(wǎng)絡(luò)體系結(jié)構(gòu)虛擬終端文件傳輸電子郵件WEB服務(wù)傳輸控制協(xié)議TCP用戶數(shù)據(jù)報(bào)協(xié)議UDP網(wǎng)絡(luò)層IP，互聯(lián)網(wǎng)控制協(xié)議ICMP，ARP電話網(wǎng)衛(wèi)星網(wǎng)無(wú)線網(wǎng)X.24網(wǎng)通信子網(wǎng)層應(yīng)用層傳輸層局域網(wǎng)12 互聯(lián)網(wǎng)各層協(xié)議之間的關(guān)系發(fā)送數(shù)據(jù):數(shù)據(jù)封

5、裝應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層dataTCP/UDP header 數(shù)據(jù)段IP header 數(shù)據(jù)包邏輯鏈路子層物理鏈路子層FCSLLCFCSMAC數(shù)據(jù)幀0 1 1 0 0 0 1 1 0 1 0 1Bit在發(fā)送數(shù)據(jù)的時(shí)候，就是一個(gè)封裝數(shù)據(jù)的過(guò)程.132022/7/20數(shù)據(jù)封裝應(yīng)用TCPIP以太網(wǎng)驅(qū)動(dòng)程序用戶數(shù)據(jù)用戶數(shù)據(jù)App頭TCP頭TCP頭IP頭TCP頭IP頭Eth頭Eth尾應(yīng)用數(shù)據(jù)(塊)TCP分節(jié)IP分組以太網(wǎng)幀以太網(wǎng)電纜發(fā)送方App頭App頭App頭用戶數(shù)據(jù)用戶數(shù)據(jù)用戶數(shù)據(jù)接收數(shù)據(jù):數(shù)據(jù)拆封0 1 1 0 0 0 1 1 0 1 0 1dataFCSTCPIPLL

6、CMAC在接收數(shù)據(jù)的時(shí)候，就是一個(gè)解封裝數(shù)據(jù)的過(guò)成.應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層邏輯鏈路子層物理鏈路子層數(shù)據(jù)段數(shù)據(jù)包數(shù)據(jù)幀Bit152022/7/20應(yīng)用數(shù)據(jù)（塊）數(shù)據(jù)解封應(yīng)用TCPIP以太網(wǎng)驅(qū)動(dòng)程序用戶數(shù)據(jù)用戶數(shù)據(jù)App頭TCP頭IP分組 Eth頭Eth尾以太網(wǎng)幀以太網(wǎng)電纜接收方IP頭TCP 分節(jié)IP分組TCP分節(jié)應(yīng)用數(shù)據(jù)(塊)應(yīng)用層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)接口層認(rèn)證服務(wù)訪問(wèn)控制數(shù)據(jù)完整性數(shù)據(jù)保密性不可抵賴性數(shù)據(jù)加密數(shù)字簽名訪問(wèn)控制數(shù)據(jù)完整性實(shí)體認(rèn)證流量填充路由控制安全機(jī)制TCP/IP參考模型安全服務(wù)TCP/IP安全體系IEEE 802標(biāo)準(zhǔn)公證機(jī)制2、攻擊發(fā)展趨勢(shì)3、個(gè)人信息安

7、全的防范技巧不輕易運(yùn)行不明真相的程序屏蔽小甜餅（Cookie ）信息不同的地方用不同的口令屏蔽ActiveX控件定期清除緩存、歷史記錄以及臨時(shí)文件夾中的內(nèi)容不隨意透露任何個(gè)人信息突遇莫名其妙的故障時(shí)要及時(shí)檢查系統(tǒng)信息對(duì)機(jī)密信息實(shí)施加密保護(hù)拒絕某些可能有威脅的站點(diǎn)對(duì)自己的訪問(wèn)加密重要的郵件在自己的計(jì)算機(jī)中安裝防火墻為客戶/服務(wù)器通信雙方提供身份認(rèn)證，建立安全信道盡量少在聊天室里或使用OICQ聊天3、個(gè)人信息安全的防范技巧4、防火墻 防火墻的本義原是指古代人們房屋之間修建的墻，這道墻可以防止火災(zāi)發(fā)生的時(shí)候蔓延到別的房屋。22 這里所說(shuō)的防火墻不是指為了防火而造的墻，而是指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之

8、間的一道防御系統(tǒng)。防火墻的定義在互聯(lián)網(wǎng)上，防火墻是一種非常有效的網(wǎng)絡(luò)安全系統(tǒng)，通過(guò)它可以隔離風(fēng)險(xiǎn)區(qū)域（Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò)）與安全區(qū)域（局域網(wǎng)）的連接，同時(shí)不會(huì)妨礙安全區(qū)域?qū)︼L(fēng)險(xiǎn)區(qū)域的訪問(wèn)。23 防火墻的功能 根據(jù)不同的需要，防火墻的功能有比較大差異，但是一般都包含以下三種基本功能。可以限制未授權(quán)的用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，過(guò)濾掉不安全的服務(wù)和非法用戶防止入侵者接近網(wǎng)絡(luò)防御設(shè)施限制內(nèi)部用戶訪問(wèn)特殊站點(diǎn)24 防火墻的功能 由于防火墻假設(shè)了網(wǎng)絡(luò)邊界和服務(wù)，因此適合于相對(duì)獨(dú)立的網(wǎng)絡(luò)，例如Intranet等種類相對(duì)集中的網(wǎng)絡(luò)。Internet上的Web網(wǎng)站中，超過(guò)三分之一的站點(diǎn)都是有某種防火墻保

9、護(hù)的，任何關(guān)鍵性的服務(wù)器，都應(yīng)該放在防火墻之后。25 防火墻的局限性 防火墻有以下三方面的局限：防火墻不能防范網(wǎng)絡(luò)內(nèi)部的攻擊。比如：防火墻無(wú)法禁止變節(jié)者或內(nèi)部間諜將敏感數(shù)據(jù)拷貝到軟盤(pán)上。防火墻也不能防范那些偽裝成超級(jí)用戶或詐稱新雇員的黑客們勸說(shuō)沒(méi)有防范心理的用戶公開(kāi)其口令，并授予其臨時(shí)的網(wǎng)絡(luò)訪問(wèn)權(quán)限。防火墻不能防止傳送己感染病毒的軟件或文件，不能期望防火墻去對(duì)每一個(gè)文件進(jìn)行掃描，查出潛在的病毒。26 防火墻的分類 常見(jiàn)的放火墻有三種類型： 1、分組過(guò)濾防火墻； 2、應(yīng)用代理防火墻； 3、狀態(tài)檢測(cè)防火墻。27 防火墻的分類 1、分組過(guò)濾（Packet Filtering）：作用在協(xié)議組的網(wǎng)絡(luò)層和

10、傳輸層，根據(jù)分組包頭源地址、目的地址和端口號(hào)、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)包通過(guò)，只有滿足過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地的出口端，其余的數(shù)據(jù)包則從數(shù)據(jù)流中丟棄。28 防火墻的分類 2、應(yīng)用代理（Application Proxy）：也叫應(yīng)用網(wǎng)關(guān)（Application Gateway），它作用在應(yīng)用層，其特點(diǎn)是完全“阻隔”網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)。29 防火墻的分類 3、狀態(tài)檢測(cè)（Status Detection）：直接對(duì)分組里的數(shù)據(jù)進(jìn)行處理，并且結(jié)合前后分組的數(shù)據(jù)進(jìn)行綜合判斷，然后決定是

11、否允許該數(shù)據(jù)包通過(guò)。30 分組過(guò)濾防火墻數(shù)據(jù)包過(guò)濾可以在網(wǎng)絡(luò)層截獲數(shù)據(jù)。使用一些規(guī)則來(lái)確定是否轉(zhuǎn)發(fā)或丟棄所各個(gè)數(shù)據(jù)包。通常情況下，如果規(guī)則中沒(méi)有明確允許指定數(shù)據(jù)包的出入，那么數(shù)據(jù)包將被丟棄 31 32 一個(gè)可靠的分組過(guò)濾防火墻依賴于規(guī)則集組序號(hào)動(dòng)作源IP目的IP源端口目的端口協(xié)議類型1允許*TCP2允許*20*TCP3禁止*201024TCP第一條規(guī)則：主機(jī)任何端口訪問(wèn)任何主機(jī)的任何端口，基于TCP協(xié)議的數(shù)據(jù)包都允許通過(guò)。第二條規(guī)則：任何主機(jī)的20端口訪問(wèn)主機(jī)的任何端口，基于TCP協(xié)議的數(shù)據(jù)包允許通過(guò)。第三條規(guī)則：任何主機(jī)的20端口訪問(wèn)主機(jī)小于1024的端口，如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通

12、過(guò)。用WinRoute創(chuàng)建包過(guò)濾規(guī)則 WinRoute目前應(yīng)用比較廣泛，既可以作為一個(gè)服務(wù)器的防火墻系統(tǒng)，也可以作為一個(gè)代理服務(wù)器軟件。目前比較常用的是WinRoute4.1，安裝文件如圖所示。33 34 用WinRoute禁用FTP訪問(wèn) FTP服務(wù)用TCP協(xié)議， FTP占用TCP的21端口，主機(jī)的IP地址是“09”，首先創(chuàng)建規(guī)則如表所示。組序號(hào)動(dòng)作源IP目的IP源端口目的端口協(xié)議類型1禁止*09*21TCP35 利用WinRoute建立訪問(wèn)規(guī)則，如圖所示。36 設(shè)置訪問(wèn)規(guī)則以后，再訪問(wèn)主機(jī)“09”的FTP服務(wù)，將遭到拒絕，如圖所示。37 訪問(wèn)違反了訪問(wèn)規(guī)則，會(huì)在主機(jī)的安全日志中記錄下來(lái)，如圖

13、所示。38 用WinRoute禁用HTTP訪問(wèn)HTTP服務(wù)用TCP協(xié)議，占用TCP協(xié)議的80端口，主機(jī)的IP地址是“09”，首先創(chuàng)建規(guī)則如表所示。組序號(hào)動(dòng)作源IP目的IP源端口目的端口協(xié)議類型1禁止*09*80TCP39 利用WinRoute建立訪問(wèn)規(guī)則，如圖所示。40 打開(kāi)本地的IE連接遠(yuǎn)程主機(jī)的HTTP服務(wù)，將遭到拒絕，如圖所示。41 訪問(wèn)違反了訪問(wèn)規(guī)則，所以在主機(jī)的安全日志中記錄下來(lái)，如圖所示。應(yīng)用代理防火墻 應(yīng)用代理（Application Proxy）是運(yùn)行在防火墻上的一種服務(wù)器程序，防火墻主機(jī)可以是一個(gè)具有兩個(gè)網(wǎng)絡(luò)接口的雙重宿主主機(jī)，也可以是一個(gè)堡壘主機(jī)。代理服務(wù)器被放置在內(nèi)部服務(wù)

14、器和外部服務(wù)器之間，用于轉(zhuǎn)接內(nèi)外主機(jī)之間的通信，它可以根據(jù)安全策略來(lái)決定是否為用戶進(jìn)行代理服務(wù)。代理服務(wù)器運(yùn)行在應(yīng)用層，因此又被稱為“應(yīng)用網(wǎng)關(guān)”。42 常見(jiàn)防火墻系統(tǒng)模型 常見(jiàn)防火墻系統(tǒng)一般按照四種模型構(gòu)建：篩選路由器模型單宿主堡壘主機(jī)（屏蔽主機(jī)防火墻）模型雙宿主堡壘主機(jī)模型（屏蔽防火墻系統(tǒng)模型）屏蔽子網(wǎng)模型。43 篩選路由器模型 篩選路由器模型是網(wǎng)絡(luò)的第一道防線，功能是實(shí)施包過(guò)濾。創(chuàng)建相應(yīng)的過(guò)濾策略時(shí)對(duì)工作人員的TCP/IP的知識(shí)有相當(dāng)?shù)囊?，如果篩選路由器被黑客攻破那么內(nèi)部網(wǎng)絡(luò)將變的十分的危險(xiǎn)。該防火墻不能夠隱藏你的內(nèi)部網(wǎng)絡(luò)的信息、不具備監(jiān)視和日志記錄功能。44 單宿主堡壘主機(jī)模型 單宿主

15、堡壘主機(jī)（屏蔽主機(jī)防火墻）模型由包過(guò)濾路由器和堡壘主機(jī)組成。該防火墻系統(tǒng)提供的安全等級(jí)比包過(guò)濾防火墻系統(tǒng)要高，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過(guò)濾）和應(yīng)用層安全（代理服務(wù)）。所以入侵者在破壞內(nèi)部網(wǎng)絡(luò)安全性之前，必須首先滲透兩種不同的安全系統(tǒng)。45 雙宿主堡壘主機(jī)模型 雙宿主機(jī)即一臺(tái)配有多個(gè)網(wǎng)絡(luò)接口的主機(jī)，它可以用來(lái)在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行尋址。雙宿主堡壘主機(jī)模型可以構(gòu)造更加安全的防火墻系統(tǒng)。雙宿主堡壘主機(jī)有兩種網(wǎng)絡(luò)接口但是主機(jī)在兩個(gè)端口之間直接轉(zhuǎn)發(fā)信息的功能被關(guān)掉了。在物理結(jié)構(gòu)上強(qiáng)行將所有去往內(nèi)部網(wǎng)絡(luò)的信息經(jīng)過(guò)堡壘主機(jī)。46 屏蔽子網(wǎng)模型屏蔽子網(wǎng)模型用了兩個(gè)包過(guò)濾路由器和一個(gè)堡壘主機(jī)。它是最安全

16、的防火墻系統(tǒng)之一，因?yàn)樵诙x了“中立區(qū)”(DMZ，Demilitarized Zone)網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。網(wǎng)絡(luò)管理員將堡壘主機(jī)、信息服務(wù)器、Modem組，以及其它公用服務(wù)器放在DMZ網(wǎng)絡(luò)中。如果黑客想突破該防火墻那么必須攻破以上三個(gè)單獨(dú)的設(shè)備。47 創(chuàng)建防火墻的步驟 成功的創(chuàng)建一個(gè)防火墻系統(tǒng)一般需要六步：第一步：制定安全策略，第二步：搭建安全體系結(jié)構(gòu)，第三步：制定規(guī)則次序，第四步：落實(shí)規(guī)則集，第五步：注意更換控制，第六步：做好審計(jì)工作。48 5、入侵檢測(cè)系統(tǒng) 入侵檢測(cè)系統(tǒng)IDS（Intrusion Detection System）指的是一種硬件或者軟件系統(tǒng)，該系統(tǒng)對(duì)系統(tǒng)資

17、源的非授權(quán)使用能夠做出及時(shí)的判斷、記錄和報(bào)警。 49 入侵檢測(cè)系統(tǒng)面臨的挑戰(zhàn)一個(gè)有效的入侵檢測(cè)系統(tǒng)應(yīng)限制誤報(bào)出現(xiàn)的次數(shù)，但同時(shí)又能有效截?fù)?。誤報(bào)是指被入侵檢測(cè)系統(tǒng)測(cè)報(bào)警的是正常及合法使用受保護(hù)網(wǎng)絡(luò)和計(jì)算機(jī)的訪問(wèn)。誤報(bào)是入侵檢測(cè)系統(tǒng)最頭疼的問(wèn)題，攻擊者可以而且往往是利用包的結(jié)構(gòu)偽造無(wú)威脅的“正?！奔倬瘓?bào)，而誘導(dǎo)沒(méi)有警覺(jué)性的管理員人把入侵檢測(cè)系統(tǒng)關(guān)掉。50 誤報(bào)沒(méi)有一個(gè)入侵檢測(cè)能無(wú)敵于誤報(bào)，因?yàn)闆](méi)有一個(gè)應(yīng)用系統(tǒng)不會(huì)發(fā)生錯(cuò)誤，原因主要有四個(gè)方面。1、缺乏共享數(shù)據(jù)的機(jī)制 2、缺乏集中協(xié)調(diào)的機(jī)制3、缺乏揣摩數(shù)據(jù)在一段時(shí)間內(nèi)變化的能力4、缺乏有效的跟蹤分析51 入侵檢測(cè)系統(tǒng)的類型和性能比較 根據(jù)入侵檢測(cè)的

18、信息來(lái)源不同，可以將入侵檢測(cè)系統(tǒng)分為兩類：基于主機(jī)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。52 入侵檢測(cè)系統(tǒng)的類型和性能比較 基于主機(jī)的入侵檢測(cè)系統(tǒng)：主要用于保護(hù)運(yùn)行關(guān)鍵應(yīng)用的服務(wù)器。它通過(guò)監(jiān)視與分析土機(jī)的審計(jì)記錄和日志文件：來(lái)檢測(cè)入侵。日志中包含發(fā)生在系統(tǒng)上的不尋常和不期望活動(dòng)的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過(guò)查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動(dòng)相應(yīng)的應(yīng)急響應(yīng)程序。53 入侵檢測(cè)系統(tǒng)的類型和性能比較 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)：主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，它監(jiān)聽(tīng)網(wǎng)絡(luò)上的所有分組來(lái)采集數(shù)據(jù)，分析可疑現(xiàn)象。54 入侵檢測(cè)的方法 目前入侵檢測(cè)方法有三

19、種分類依據(jù)：1、根據(jù)物理位置進(jìn)行分類。2、根據(jù)建模方法進(jìn)行分類。3、根據(jù)時(shí)間分析進(jìn)行分類。常用的方法有三種：靜態(tài)配置分析、異常性檢測(cè)方法和基于行為的檢測(cè)方法。55 靜態(tài)配置分析 靜態(tài)配置分析通過(guò)檢查系統(tǒng)的配置，諸如系統(tǒng)文件的內(nèi)容，來(lái)檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞。靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征（比如，系統(tǒng)配置信息）。 采用靜態(tài)分析方法主要有以下幾方面的原因：入侵者對(duì)系統(tǒng)攻擊時(shí)可能會(huì)留下痕跡，可通過(guò)檢查系統(tǒng)的狀態(tài)檢測(cè)出來(lái)。56 異常性檢測(cè)方法 異常性檢測(cè)技術(shù)分析異常特征，不需要操作系統(tǒng)及其安全性缺陷的專門知識(shí)的情況下，就可以檢測(cè)入侵者的方法。建立正常行為模式的特征輪廓比較困難。有經(jīng)驗(yàn)的入侵者還可

20、以通過(guò)緩慢地改變他的行為，改變用戶正常行為模式，使其入侵行為逐步變?yōu)楹戏?，避開(kāi)使用異常性檢測(cè)技術(shù)的的檢測(cè)。57 基于行為的檢測(cè)方法 基于行為的檢測(cè)方法通過(guò)檢測(cè)用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或者是間接地違背系統(tǒng)安全規(guī)則的行為，來(lái)檢測(cè)系統(tǒng)中的入侵活動(dòng)。 優(yōu)點(diǎn)：如果特征模式庫(kù)中包含一個(gè)已知入侵行為的特征模式，就可以保證系統(tǒng)在受到這種入侵行為攻擊時(shí)能夠把它檢測(cè)出來(lái)。58 案例: 檢測(cè)與端口關(guān)聯(lián)的應(yīng)用程序網(wǎng)絡(luò)入侵者都會(huì)連接到主機(jī)的某個(gè)非法端口，通過(guò)檢查出與端口關(guān)聯(lián)應(yīng)用程序，可以進(jìn)行入侵檢測(cè)，這種方法屬于靜態(tài)配置分析。59 利用工具軟件fport.exe可以檢查與每

21、一端口關(guān)聯(lián)的應(yīng)用程序。入侵檢測(cè)的步驟 入侵檢測(cè)系統(tǒng)的作用是實(shí)時(shí)地監(jiān)控計(jì)算機(jī)系統(tǒng)的活動(dòng)，發(fā)現(xiàn)可疑的攻擊行為，以避免攻擊的發(fā)生，或減少攻擊造成的危害。由此也劃分了入侵檢測(cè)的三個(gè)基本步驟：信息收集數(shù)據(jù)分析響應(yīng)。60 信息收集 入侵檢測(cè)的第一步就是信息收集，收集的內(nèi)容包括整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)中系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。 入侵檢測(cè)在很大程度上依賴于收集信息的可靠性、正確性和完備性。因此，要確保采集、報(bào)告這些信息的軟件工具的可靠性，這些軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，能夠防止被篡改而收集到錯(cuò)誤的信息。61 數(shù)據(jù)分析數(shù)據(jù)分析（Analysis Schemes）是入侵檢測(cè)系統(tǒng)的核心，它的效率高低直接決定了整個(gè)入侵檢測(cè)系統(tǒng)的性能。根據(jù)數(shù)據(jù)分析的不同方式可將入侵檢測(cè)系統(tǒng)分為異常入侵檢測(cè)與誤用入侵檢測(cè)兩類。 62 響應(yīng) 數(shù)據(jù)分析發(fā)現(xiàn)入侵跡象后，入侵檢測(cè)系統(tǒng)的下一步工作就是響應(yīng)。而響應(yīng)并不局限于對(duì)可疑的攻擊者。目前的入侵檢測(cè)系統(tǒng)一般采取下列響應(yīng)。1、將分析結(jié)果記錄在日志文件中，并產(chǎn)生相應(yīng)的報(bào)告。2、觸發(fā)警報(bào)：如在系統(tǒng)管理員的桌面上產(chǎn)生一個(gè)告警標(biāo)志位，向系統(tǒng)管理員發(fā)送傳呼或電子郵件等等。3、修改入侵檢測(cè)系統(tǒng)或目標(biāo)系統(tǒng)，如終止進(jìn)程、切斷攻擊者的網(wǎng)絡(luò)連接