入侵检测 .ppt

《入侵检测 .ppt》由会员分享，可在线阅读，更多相关《入侵检测 .ppt（43页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、入侵检测 现在学习的是第1页，共43页属于信息安全研究内容的一部分，属于网络防御研究范围。通过学习，熟悉： 入侵检测系统的构成；入侵检测系统的构成； 入侵检测技术原理、特点；入侵检测技术原理、特点； 入侵检测系统设计；入侵检测系统设计； 入侵检测系统评估标准；入侵检测系统评估标准；现在学习的是第2页，共43页章节安排（32学时）第第1章：章：概述（安全威胁、攻击行为、主动安全防御技术）概述（安全威胁、攻击行为、主动安全防御技术）第第2章：章：入侵检测系统基础知识（系统构成、分类、入侵检测系统基础知识（系统构成、分类、3种）种）第第3章：章：入侵检测系统主要技术（攻击防范、入侵检测、入入侵检测系

2、统主要技术（攻击防范、入侵检测、入侵响应、自动恢复、入侵取证）侵响应、自动恢复、入侵取证）第第4章：章：入侵检测标准（入侵检测标准（CIDF、IDWG草案）草案）第第5章：章：入侵检测系统架构与设计（用户需求设计、入侵检测系统架构与设计（用户需求设计、IDS各各功能模块设计、与其它网络安全产品的协同）功能模块设计、与其它网络安全产品的协同）第第6章：章：入侵检测系统评估（主要性能参数、评估标准）入侵检测系统评估（主要性能参数、评估标准）第第7章：章：Snort的配置与使用（安装配置、测试、实例）的配置与使用（安装配置、测试、实例）现在学习的是第3页，共43页人类社会的入侵检测人类社会的入侵检测

3、孙子兵法孙子兵法的的用间用间篇最早概述了间谍的性质和分类。篇最早概述了间谍的性质和分类。古训：害人之心不可有，防人之心不可无。古训：害人之心不可有，防人之心不可无。几个案例：几个案例：l 信陵君利用门客获取情报信陵君利用门客获取情报l 二战时苏德战争的爆发二战时苏德战争的爆发l 二战时美日战争的爆发二战时美日战争的爆发现在学习的是第4页，共43页网络信息系统的入侵检测网络信息系统的入侵检测现在学习的是第5页，共43页入侵检测入侵检测入侵（入侵（ Intrusion）: 企图进入或滥用计算机系统的行为。企图进入或滥用计算机系统的行为。入侵检测入侵检测（Intrusion Detection）：）

4、：对系统的运行状态进行监视，发现各种攻击企图、攻击行对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的为或者攻击结果，以保证系统资源的机密性、完整性机密性、完整性和和可可用性用性。入侵检测系统（入侵检测系统（Intrusion Detection System ）进行入侵检测的软件与硬件的组合便是入侵检测系统。进行入侵检测的软件与硬件的组合便是入侵检测系统。现在学习的是第6页，共43页第第1章概述章概述 1.1网络安全的主要威胁网络安全的主要威胁 1.2攻击行为分析攻击行为分析 1.3主动安全防御技术概述主动安全防御技术概述 现在学习的是第7页，共43页互联网存

5、在威胁的因素互联网存在威胁的因素互联网的开放互联网的开放性性系统本身缺系统本身缺陷陷安全威胁和攻安全威胁和攻击击+信息安全问题现在学习的是第8页，共43页信息社会的发展与挑战信息社会的发展与挑战信息过量，难以消化；信息过量，难以消化； 数据生产量远远超过数据分析能力，人们淹没在大量数据中，获得的知识却是贫数据生产量远远超过数据分析能力，人们淹没在大量数据中，获得的知识却是贫乏的。乏的。信息真假，难以辨识；信息真假，难以辨识；信息形式不一致，难以统一处理；信息形式不一致，难以统一处理；信息安全，难以保证。信息安全，难以保证。现在学习的是第9页，共43页信息系统威胁来自何方？信息系统威胁来自何方？

6、 环境和灾害因素：环境和灾害因素：温度、湿度、供电、火灾、水灾、地震、温度、湿度、供电、火灾、水灾、地震、静电、电磁场等静电、电磁场等；方案设计缺陷方案设计缺陷：方案设计者的安全理论与实践水平不够，方案设计者的安全理论与实践水平不够，设计出的方案存在安全隐患；设计出的方案存在安全隐患；系统安全漏洞系统安全漏洞：随着软件系统规模的增大，信息系统中的随着软件系统规模的增大，信息系统中的安全漏洞和安全漏洞和“后门后门”难免存在。难免存在。人为因素人为因素 无意（操作失误）无意（操作失误）有意（黑客、犯罪）有意（黑客、犯罪） 现在学习的是第10页，共43页 1.1网络安全的主要威胁网络安全的主要威胁

7、随着信息和网络技术广泛而深入地渗透到商业、金融、科研、教育、军事以及人们日常生活的各个领域网络和信息安全对人们生活和国家安全的影响越来越重要。 现在学习的是第11页，共43页目前网络安全的主要威胁目前网络安全的主要威胁 现在学习的是第12页，共43页金山毒霸全球反病毒监测中心发布的报告表明：病毒金山毒霸全球反病毒监测中心发布的报告表明：病毒的的“工业化工业化”入侵以及入侵以及“流程化流程化”攻击越来越明显。攻击越来越明显。 为为获取金钱获取金钱而制作了越来越多的恶意软件；而制作了越来越多的恶意软件； 黑客的攻击行为黑客的攻击行为组织性组织性更强；更强； 网上木马、间谍程序、恶意网站、网站仿冒、

8、僵尸网络网上木马、间谍程序、恶意网站、网站仿冒、僵尸网络等日趋泛滥等日趋泛滥; ; 以熊猫烧香、灰鸽子为代表的以熊猫烧香、灰鸽子为代表的恶性病毒恶性病毒频繁出现。频繁出现。 现在学习的是第13页，共43页20082008年，中国新增计算机病毒、木马数量呈爆炸式增长，年，中国新增计算机病毒、木马数量呈爆炸式增长，总数量已突破千万。病毒制造的模块化、专业化以及病毒总数量已突破千万。病毒制造的模块化、专业化以及病毒“运营运营”模式的互联网化成为病毒发展的模式的互联网化成为病毒发展的三大显著特征三大显著特征。现在学习的是第14页，共43页混合型威胁 (Red Code, Nimda)拒绝服务攻击(Ya

9、hoo!, eBay)发送大量邮件的病毒(Love Letter/Melissa)多变形病毒(Tequila)特洛伊木马病毒网络入侵70,00060,00050,00040,00030,00020,00010,000已知威胁的数量网络安全问题日益突出网络安全问题日益突出现在学习的是第15页，共43页1.1.1互联网已经进入木马互联网已经进入木马/病毒经济时代病毒经济时代网络游戏、网络游戏、QQ聊天、网上银行等互联网应用的账号直接聊天、网上银行等互联网应用的账号直接关系到用户在现实世界中的财产。网络游戏中的道具、装备，关系到用户在现实世界中的财产。网络游戏中的道具、装备，QQ中的中的Q币等虚拟物

10、品可进行网络交易，有较高币等虚拟物品可进行网络交易，有较高经济价值经济价值。 网络购物有两种模式：网络购物有两种模式：B2C、C2C 第第20次中国互联网络发展状况统计报告次中国互联网络发展状况统计报告，网民中有，网民中有69.8%在使用在使用即时通信软件即时通信软件（QQ和和MSN）；）；47%玩过玩过网络游网络游戏戏；20%使用使用网上银行网上银行和进行网上炒股。这几类互联网应用成和进行网上炒股。这几类互联网应用成为黑客、木马制作者等不法分子攻击的主要目标，目的就是为为黑客、木马制作者等不法分子攻击的主要目标，目的就是为了窃取网民的账号信息，从而获取了窃取网民的账号信息，从而获取经济利益经

11、济利益。现在学习的是第16页，共43页1.1.2 系统漏洞和缺陷令人防不胜防系统漏洞和缺陷令人防不胜防 漏洞：漏洞：指与安全相关的缺陷，能够被利用来做指与安全相关的缺陷，能够被利用来做“原本原本以为以为”不能做的事。漏洞是客观存在的，它是随软件和系不能做的事。漏洞是客观存在的，它是随软件和系统产生的，在一定程度上具有不可避免性。统产生的，在一定程度上具有不可避免性。 现在学习的是第17页，共43页网络威胁网络威胁：利用利用系统固有的漏洞、缺陷或系统配置及管理等系统固有的漏洞、缺陷或系统配置及管理等过程中的安全漏洞，穿透或过程中的安全漏洞，穿透或绕过绕过安全设施的防护，达到安全设施的防护，达到非

12、法访问非法访问直至控制系统的目的，并以此为跳板，继续直至控制系统的目的，并以此为跳板，继续攻击攻击其它系统。（隐其它系统。（隐通道攻击、特洛伊木马、口令猜测、缓冲区溢出）。通道攻击、特洛伊木马、口令猜测、缓冲区溢出）。 微软操作系统安全性的日益加强以及用户对漏洞警惕性的提微软操作系统安全性的日益加强以及用户对漏洞警惕性的提高；高；第三方软件第三方软件（操作系统本身及其自带的应用程序之外的应用（操作系统本身及其自带的应用程序之外的应用类软件）的漏洞越来越多地被病毒利用。类软件）的漏洞越来越多地被病毒利用。 第三方软件提供给第三方软件提供给IEIE的组件的组件上存在一些漏洞，在用户浏览网上存在一些

13、漏洞，在用户浏览网页过程中，通过漏洞下载木马病毒以入侵用户系统，进行远程控页过程中，通过漏洞下载木马病毒以入侵用户系统，进行远程控制、盗窃用户的账号和密码等。制、盗窃用户的账号和密码等。 现在学习的是第18页，共43页Internet先天不足：先天不足：开放性：开放性：网络的技术是全开放的，网络所面临的破坏和攻击可能是网络的技术是全开放的，网络所面临的破坏和攻击可能是多方面的。多方面的。国际性国际性：网络攻击不仅来自本地用户，还可来自：网络攻击不仅来自本地用户，还可来自InternetInternet上的任何上的任何一个机器。一个机器。自由：自由：网络最初对用户的使用并没有提供任何的技术约束，

14、用网络最初对用户的使用并没有提供任何的技术约束，用户可以自由地访问网络，用户只对自己的行为负责，而没有任户可以自由地访问网络，用户只对自己的行为负责，而没有任何的法律限制。何的法律限制。Internet的美妙之处在于你和每个人都能互相连接，Internet的可怕之处在于每个人都能和你互相连接。现在学习的是第19页，共43页TCP/IP协议也存在着缺陷：随着协议也存在着缺陷：随着Internet规模及用户群迅速扩大，在安全规模及用户群迅速扩大，在安全防范、服务质量、带宽和方便性等方面存在滞后和不适应性，而且人们对防范、服务质量、带宽和方便性等方面存在滞后和不适应性，而且人们对TCP/IP协议很熟

15、悉，就可以利用它的安全缺陷来实施网络攻击。协议很熟悉，就可以利用它的安全缺陷来实施网络攻击。应用层协议应用层协议TelnetTelnet、FTPFTP、SMTPSMTP等缺乏认证和保密导致否认、等缺乏认证和保密导致否认、拒绝等欺瞒行为；拒绝等欺瞒行为；IPIP层协议层协议也有许多安全缺陷也有许多安全缺陷, , 造成了地址假冒和地址欺骗；造成了地址假冒和地址欺骗；IPIP协议支持源路由方式，即源点可以指定信息包传送到目的协议支持源路由方式，即源点可以指定信息包传送到目的节点的中间路由，这就提供了源路由攻击的条件。节点的中间路由，这就提供了源路由攻击的条件。欺骗攻击、否认服务、拒绝服务、数据截取、

16、数据篡改现在学习的是第20页，共43页1.1.3社会工程学的攻击成为病毒入侵的重要途径社会工程学的攻击成为病毒入侵的重要途径（1 1）利用热点事件利用热点事件：搜索当下比较流行的信息或词语。：搜索当下比较流行的信息或词语。（2 2）利用用户对好友的信任）利用用户对好友的信任, ,通过通过即时聊天工具即时聊天工具传播病毒。传播病毒。（3 3）钓鱼网站钓鱼网站：模拟官方网站，引诱用户浏览或者下载钓：模拟官方网站，引诱用户浏览或者下载钓鱼网站的文件，或者在登录的过程中记录账号和密码。鱼网站的文件，或者在登录的过程中记录账号和密码。（4 4）捆绑软件捆绑软件：病毒感染或修改共享软件的安装包，或者：病毒

17、感染或修改共享软件的安装包，或者直接替换掉下载链接的文件。直接替换掉下载链接的文件。 （5 5）高流量带病毒链接高流量带病毒链接：流量高的网站可以卖钱挂病毒。：流量高的网站可以卖钱挂病毒。（6 6）江湖骗术江湖骗术：聊天群里出现的骗子，花言巧语诱使你接：聊天群里出现的骗子，花言巧语诱使你接受并打开对方发送的文件，以照片为典型。受并打开对方发送的文件，以照片为典型。 现在学习的是第21页，共43页1.1.4网络内部原因所引起的安全威胁网络内部原因所引起的安全威胁严格管理是使企业、组织及政府部门和用户免受网络安严格管理是使企业、组织及政府部门和用户免受网络安全问题威胁的重要措施，责权不明、安全管理

18、制度不健全及全问题威胁的重要措施，责权不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。缺乏可操作性等都可能引起管理安全的风险。（1 1）网络建设初期缺乏）网络建设初期缺乏前瞻性前瞻性，资金投入不够，各项基础性，资金投入不够，各项基础性管理工作相对较弱。管理工作相对较弱。（2 2）当网络受到安全威胁时（如内部人员的违规操作等），）当网络受到安全威胁时（如内部人员的违规操作等），无法进行无法进行实时的检测实时的检测、监控、报告与预警；、监控、报告与预警；（3 3）事故发生后，无法提供黑客攻击行为的追踪线索及破案）事故发生后，无法提供黑客攻击行为的追踪线索及破案依据，缺乏对网络的依

19、据，缺乏对网络的可控性与可审查性可控性与可审查性等措施。等措施。 现在学习的是第22页，共43页调查表明：当前网络安全的威胁调查表明：当前网络安全的威胁70%以上来自网络内部。以上来自网络内部。对于企事业等单位来说，网络内部原因和内部人员所造成的网对于企事业等单位来说，网络内部原因和内部人员所造成的网络安全问题是所面临的最大的威胁之一。络安全问题是所面临的最大的威胁之一。 （1 1）企业内部员工企业内部员工浏览与工作无关的网页、下载视频、频繁浏览与工作无关的网页、下载视频、频繁使用使用QQQQ、在线游戏，降低工作效率，占用大量的带宽资源，企、在线游戏，降低工作效率，占用大量的带宽资源，企业规章

20、制度的威慑力受到严峻挑战。业规章制度的威慑力受到严峻挑战。 （2 2）来自）来自外部的黑客攻击外部的黑客攻击及病毒干扰，威胁企业的内部机密。及病毒干扰，威胁企业的内部机密。 内网问题产生的原因是多方面的，目前控制内网的安全产品内网问题产生的原因是多方面的，目前控制内网的安全产品还较少。还较少。三分靠技术，七分靠管理，管理是根本，技术是手段。现在学习的是第23页，共43页 1.2攻击行为分析攻击行为分析入侵检测的主要目的是检测出各种各样的攻击及发现系统本身所存在的缺陷等。对网络攻击手段和行为的了解有助于对入侵检测技术的学习和理解，也有助于对入侵检测方法和系统的设计。 现在学习的是第24页，共43

21、页攻击的要素攻击的要素（1 1）攻击的主体）攻击的主体攻击者；攻击者；（2 2）攻击的客体）攻击的客体系统和网络，系统和网络存在的漏洞系统和网络，系统和网络存在的漏洞为攻击者提供了攻击的客观条件；为攻击者提供了攻击的客观条件；（3 3）攻击的过程）攻击的过程达成攻击的步骤和过程，是攻击的关达成攻击的步骤和过程，是攻击的关键环节，也是攻击发生效果的必要条件。键环节，也是攻击发生效果的必要条件。 2. 攻击过程攻击过程9 9个步骤：踩点、扫描、查点、获取访问权、权限提升、个步骤：踩点、扫描、查点、获取访问权、权限提升、窃取、掩盖踪迹、创建后门。窃取、掩盖踪迹、创建后门。现在学习的是第25页，共43

22、页现在学习的是第26页，共43页3. 攻击行为分类攻击行为分类（1）非结构化攻击非结构化攻击：指一类在小范围内、攻击能力较弱、不指一类在小范围内、攻击能力较弱、不能形成规模的攻击行为。能形成规模的攻击行为。特点：特点：由单个攻击者发起，攻击工具不复杂，破坏范围、深由单个攻击者发起，攻击工具不复杂，破坏范围、深度有限。度有限。（2）结构化攻击结构化攻击：在良好的计划组织条件下实施的攻击行为。在良好的计划组织条件下实施的攻击行为。特点：特点：攻击点及采用的技术多、隐蔽性好、危害较大。攻击点及采用的技术多、隐蔽性好、危害较大。协同攻击协同攻击：由多个攻击者采取分布方式，在统一策略指导下：由多个攻击者

23、采取分布方式，在统一策略指导下对同一标发起攻击和探测的行为，其攻击手段和步骤由统一对同一标发起攻击和探测的行为，其攻击手段和步骤由统一的攻击策略在各攻击者之间协调达到协同。的攻击策略在各攻击者之间协调达到协同。特点特点：威胁范围大，攻击技术全面，在攻击点、攻击软件上：威胁范围大，攻击技术全面，在攻击点、攻击软件上实现协同。实现协同。 现在学习的是第27页，共43页 1.3主动安全防御技术概述主动安全防御技术概述1.3.1主动安全防御的基本思想主动安全防御的基本思想含义含义：指由于某些机制的存在，使攻击者无法完成对目指由于某些机制的存在，使攻击者无法完成对目标的攻击，这些防御措施不仅是被动防御模

24、式，而是能够采标的攻击，这些防御措施不仅是被动防御模式，而是能够采取有效的措施避免攻击对系统的破坏，拖住攻击者，侦测或取有效的措施避免攻击对系统的破坏，拖住攻击者，侦测或反击攻击行为。反击攻击行为。 中心思想中心思想：是是控制控制和和反击反击，防御防御和和主动性主动性。防御突出了。防御突出了主体与客体、访问与被访问之间的关联，主动性强调了安全主体与客体、访问与被访问之间的关联，主动性强调了安全动态性的本质，静态、被动的防护体系无法有效完成动态安动态性的本质，静态、被动的防护体系无法有效完成动态安全的保障。全的保障。 （防火墙与（防火墙与IDS）现在学习的是第28页，共43页1.3.2常见的主动

25、防御技术常见的主动防御技术1. 初级主动防御技术初级主动防御技术 隐患扫描、网络安全漏洞扫描技术，布防传统的入侵检隐患扫描、网络安全漏洞扫描技术，布防传统的入侵检测系统等。测系统等。模拟黑客的行为，搜寻网络、系统所存在的隐患和安全模拟黑客的行为，搜寻网络、系统所存在的隐患和安全漏洞，对局域网、漏洞，对局域网、WebWeb站点、主机操作系统等进行扫描站点、主机操作系统等进行扫描，使管理员能及时了解存在的危险，采取相应防范措施，使管理员能及时了解存在的危险，采取相应防范措施，降低系统的安全风险。，降低系统的安全风险。优点：优点：能够事先对系统的安全隐患进行排除，在攻击者攻击系统之前能够事先对系统的

26、安全隐患进行排除，在攻击者攻击系统之前为系统打上漏洞补丁并加强对弱点区域的检测。为系统打上漏洞补丁并加强对弱点区域的检测。 不足：不足：现有的攻击手法变得更加智能化，发现漏洞的速度也越来越现有的攻击手法变得更加智能化，发现漏洞的速度也越来越快，再加上管理员的偶尔疏忽，很容易使初级主动防御技术变得无快，再加上管理员的偶尔疏忽，很容易使初级主动防御技术变得无效。效。现在学习的是第29页，共43页中级主动防御技术中级主动防御技术采用联动方式，如防火墙与防病毒、入侵检测、日志处采用联动方式，如防火墙与防病毒、入侵检测、日志处理等实现联动。理等实现联动。传统的包过滤防火墙技术是基于第三层的路由访问控制，

27、传统的包过滤防火墙技术是基于第三层的路由访问控制，是串联在网络中的，主要起过滤作用。入侵检测系统则通过是串联在网络中的，主要起过滤作用。入侵检测系统则通过网络监控和审核跟踪来评估系统所面临的危险，是并联在网网络监控和审核跟踪来评估系统所面临的危险，是并联在网络中的。络中的。 防火墙与入侵检测技术融合在一起，构成主动、实时响防火墙与入侵检测技术融合在一起，构成主动、实时响应的入侵防御系统。应的入侵防御系统。 现在学习的是第30页，共43页现在学习的是第31页，共43页解决之道解决之道IDS与防火墙的与防火墙的配合配合使用使用,达到最佳的防护效果达到最佳的防护效果监控室监控室=控制中心控制中心保安

28、保安=防火墙防火墙摄像机摄像机=探测引擎探测引擎现在学习的是第32页，共43页原理：原理：当检测出攻击数据包时，当检测出攻击数据包时，IDSIDS将攻击者的信息反馈将攻击者的信息反馈给防火墙。防火墙动态生成新的规则，并对发现的攻击及时给防火墙。防火墙动态生成新的规则，并对发现的攻击及时采取措施，对系统进行快速恢复，使防护和监控能够互联互采取措施，对系统进行快速恢复，使防护和监控能够互联互动、互动互访。动、互动互访。 优点：优点：防火墙用于防御，防火墙用于防御，IDSIDS用于检测突破防火墙的入侵。用于检测突破防火墙的入侵。在很大程度上提高了网络的安全性，具有主动防御功能。在很大程度上提高了网络

29、的安全性，具有主动防御功能。 现在学习的是第33页，共43页不足不足：（1 1）防火墙只实现了粗粒度的访问控制，且对于内部的非）防火墙只实现了粗粒度的访问控制，且对于内部的非法网络行为无能为力。法网络行为无能为力。（2 2）IDSIDS只能检测已知的攻击，不能检测未知的只能检测已知的攻击，不能检测未知的“瞬时攻瞬时攻击击”，而且不能阻止任何非法行为。，而且不能阻止任何非法行为。（3 3）只能通过响应机制报告防火墙，由防火墙来阻断攻击。）只能通过响应机制报告防火墙，由防火墙来阻断攻击。（4 4）IDSIDS与防火墙之间的联动能力十分有限，这跟各产品与防火墙之间的联动能力十分有限，这跟各产品分属不

30、同厂家，标准不一有关。分属不同厂家，标准不一有关。（5 5）由于）由于IDSIDS的误报率很高，致使任何一种误报都将阻断的误报率很高，致使任何一种误报都将阻断网络，造成网络处于中断状态。网络，造成网络处于中断状态。 同一个系统，同样的需求。有两个设计：总的代码行数差不多。设计(1)有10个类，设计(2)有50个类。设计(1)中平均每个类包含的代码行数比设计(2)多大约5倍。设计(1)是粗粒度的，设计(2)是细粒度的。(1)设计中对象粒度平均是(2)中对象粒度的5倍。粒度粗一些，在实现重用时有更大的自由度。现在学习的是第34页，共43页3. 高级主动防御技术高级主动防御技术采用的技术：取证、入侵

31、诱骗、自动恢复、主动响应等。采用的技术：取证、入侵诱骗、自动恢复、主动响应等。1) 取证取证计算机取证计算机取证：使用软件和工具，按照一些预先定义的程序全面使用软件和工具，按照一些预先定义的程序全面检查计算机系统，以提取和保护有关计算机犯罪证据的过程。检查计算机系统，以提取和保护有关计算机犯罪证据的过程。目的目的：为安全防护提供了取证和事后分析的依据。为安全防护提供了取证和事后分析的依据。计算机取证时，第一件要做的事是冻结计算机系统，不给犯罪分子破坏证据提供机会。（封锁现场） 取证技术包括取证技术包括静态取证技术静态取证技术和和动态取证技术。动态取证技术。 现在学习的是第35页，共43页静态取

32、证技术：静态取证技术：在已经遭受入侵的情况下，运用各种技术在已经遭受入侵的情况下，运用各种技术手段进行分析取证工作，在入侵后对数据进行确认、提取、分手段进行分析取证工作，在入侵后对数据进行确认、提取、分析，抽取出有效证据。（现在普遍采用）析，抽取出有效证据。（现在普遍采用）基于此思想：数据克隆工具、数据分析工具和数据恢复工具。如如GuidanceSoftwareGuidanceSoftware的的EncaseEncase，用，用磁盘镜像工具磁盘镜像工具对目标系统磁对目标系统磁盘驱动中的所有数据进行镜像备份。用盘驱动中的所有数据进行镜像备份。用取证工具取证工具收集相关的电收集相关的电子证据，对系

33、统的日期和时间进行记录归档，对可能作为证据子证据，对系统的日期和时间进行记录归档，对可能作为证据的数据通过加密手段发送给取证服务器进行分析。在对收集来的数据通过加密手段发送给取证服务器进行分析。在对收集来的电子证据产生疑问时，可用镜像备份的数据恢复到系统的原的电子证据产生疑问时，可用镜像备份的数据恢复到系统的原始状态，作为分析数据的原始参考数据，使得分析的结果具有始状态，作为分析数据的原始参考数据，使得分析的结果具有可信性。可信性。 现在学习的是第36页，共43页动态取证技术：动态取证技术：是计算机取证的发展趋势，它是在受保护是计算机取证的发展趋势，它是在受保护的计算机上事先的计算机上事先安装

34、代理安装代理，当攻击者入侵时，对系统及文，当攻击者入侵时，对系统及文件的操作行为，系统和代理会产生相应的件的操作行为，系统和代理会产生相应的日志文件日志文件加以记加以记录。利用文件系统的特征，结合相关工具，尽可能真实地录。利用文件系统的特征，结合相关工具，尽可能真实地恢复这些文件信息，将这些日志文件恢复这些文件信息，将这些日志文件传到取证机传到取证机上加以备上加以备份保存作为入侵证据。份保存作为入侵证据。 现在学习的是第37页，共43页2)入侵诱骗入侵诱骗入侵诱骗研究的是如何入侵诱骗研究的是如何设计设计一个严格控制的欺骗环境一个严格控制的欺骗环境（真实的、模拟的网络和主机），（真实的、模拟的网

35、络和主机），诱骗诱骗入侵者对其进行入侵者对其进行攻攻击击或在检测出对实际系统的攻击行为后，将攻击或在检测出对实际系统的攻击行为后，将攻击重定向重定向到到该严格控制的环境中，该严格控制的环境中，收集收集入侵者的入侵信息，借以入侵者的入侵信息，借以观察观察入侵者的行为，入侵者的行为，记录记录其活动，以便其活动，以便分析分析入侵者的水平、目入侵者的水平、目的、所用工具和入侵手段等，并为入侵响应以及随后可能的、所用工具和入侵手段等，并为入侵响应以及随后可能进行的对入侵者的法律制裁进行的对入侵者的法律制裁提供证据提供证据。优点优点：既能既能有效保护有效保护系统免受攻击，又能使攻击者认为攻系统免受攻击，又

36、能使攻击者认为攻击已经成功而击已经成功而继续继续他的攻击行为，他的攻击行为，浪费浪费其时间和精力。其时间和精力。入侵诱骗技术：蜜罐技术和蜜网技术。入侵诱骗技术：蜜罐技术和蜜网技术。 现在学习的是第38页，共43页蜜罐技术蜜罐技术n两种形式：两种形式：真实系统蜜罐：真实系统蜜罐：真实真实运行的系统，带有可入侵的漏洞，能记录运行的系统，带有可入侵的漏洞，能记录最真实的入侵信息。最真实的入侵信息。伪装系统蜜罐：伪装系统蜜罐：运行于真实系统上的运行于真实系统上的仿真仿真程序，伪造出漏洞，漏程序，伪造出漏洞，漏洞入侵对系统本身无损坏。洞入侵对系统本身无损坏。构成了黑客构成了黑客诱捕网络体系结构诱捕网络体

37、系结构，包含一个或多个蜜罐，提供多，包含一个或多个蜜罐，提供多种工具来完成对攻击信息的采集和分析。种工具来完成对攻击信息的采集和分析。蜜网技术蜜网技术现在学习的是第39页，共43页3)自动恢复自动恢复不需要人工干扰不需要人工干扰的情况下，可自己根据事先的备份和事先的情况下，可自己根据事先的备份和事先设置好的流程设置好的流程恢复恢复被破坏的系统。被破坏的系统。4)主动响应主动响应主动响应是指当入侵发生后系统能够主动响应是指当入侵发生后系统能够主动主动对其进行反击，对其进行反击，以使系统自动以使系统自动恢复恢复到正常状态。到正常状态。优点：优点：立即立即对攻击进行反击，大大对攻击进行反击，大大减少

38、减少了漏洞被发现后系统了漏洞被发现后系统暴露的时间，有效暴露的时间，有效保护保护网络网络/系统的安全。系统的安全。 现在学习的是第40页，共43页入侵防御系统入侵防御系统（IPS）融合了）融合了被动性被动性的访问控制技术和多的访问控制技术和多种高级种高级主动防御主动防御技术的分析检测技术。它基于技术的分析检测技术。它基于PDRR等动态网等动态网络安全模型，在整个网络安全防护体系中将防护、检测、响络安全模型，在整个网络安全防护体系中将防护、检测、响应融为一体，使网络防护向动态防护、纵深防护、整体防护应融为一体，使网络防护向动态防护、纵深防护、整体防护的目标前进。的目标前进。现在学习的是第41页，

39、共43页IPS综合了综合了防火墙防火墙和和IDS两种功能是两种功能是串连串连在网络中的，既起过滤在网络中的，既起过滤阻断功能，又起入侵检测的作用。阻断功能，又起入侵检测的作用。优点优点：其更高的适应性、主动性、智能性和实时性能够为主机：其更高的适应性、主动性、智能性和实时性能够为主机和网络的安全提供更为可靠的安全保障。和网络的安全提供更为可靠的安全保障。现在学习的是第42页，共43页主动防御技术还可分为三类主动防御技术还可分为三类认证与授权加密与完整性保护对抗与响应+相互结合，形成安全技术保障框架主动抵御主体对客体安全主动抵御主体对客体安全性的侵犯，并将后果减至性的侵犯，并将后果减至最小最小对访问过程的主动对访问过程的主动控制控制主动避免主、客体间主动避免主、客体间信息交换被破坏信息交换被破坏现在学习的是第43页，共43页