6安全管理.pptVIP

6.4.3 入侵检测系统 入侵检测系统是实时网络违规自动识别和响应系统。它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方，通过实时截获网络数据流，能够识别、记录入侵和破坏性代码流，寻找网络违规模式和未授权的网络访问尝试。 当发现网络违规模式和末授权的网络访问时，入侵检测系统能够根据系统安全策略做出反应，包括实时报警、事件登录、自动阻断通信连接或执行用户自定义的安全策略等。 6.4.3 入侵检测系统 1、实时入侵检测的要求 当网络入侵实时检测用在防火墙时，必须解决的问题是防火墙中总有大量的网络数据流动，对这些数据全部进行记录是不可能的。因此，必须做到对数据的即时分析。 防火墙得到的是一个个独立的TCP网络活动的情况，而有些攻击手段是由几个并发或一定次序的网络活动共同构成的。为了对这种攻击手段进行检测，必须在防火墙内维护一个针对各个主机所有网络活动的数据库，即实现基于主机的安全策略，其中包括： 6.4.3 入侵检测系统 （1）状态跟踪引擎：跟踪每一个网络活动的状态，当数据包到来时，自动将其重组和拼接。 （2）快速字符串匹配和分解引擎：统一设立一个关键字识别引擎。它采用快速的多字串匹配算法，从网络活动中识别出命令等，作为基于规则的入侵检测的输入。 （3）基于统计的协议识别：与传统的安全手段不同，检测系统不是根据协议的端口号，而是根据统计信息从通信过程中直接判断是属于那种协议。 6.4.3 入侵检测系统 （4）基于统计的入侵检测：完成基于统计的入侵检测。 （5）基于规则的入侵检测：根据入侵检测规则库，完成规则的入侵检测。 （6）综合判别：根据基于统计和基于规则的入侵检测结果，最终判断入侵是否发生并判断入侵的类型。 这几部分的有机组合，构成了完整的实时入侵检测系统。而入侵检测也仅仅是完整的安全系统的一个基本环节。 6.4.3 入侵检测系统 2、入侵检测系统的分类 按照入侵检测方式，可以将入侵检测系统分为基于主机和基于网络的两类系统，它们在技术上是互补的。 基于主机的系统：代理软件被安装在一台被监控的服务器上，代理软件跟踪记录这台服务器上的非授权访问企图或其它恶意行为； 基于网络的系统中：代理软件被安装在局域网网段或防火墙后，来监视和分析网络传输流，实施基于网络的检测，同时，在特定的敏感主机上增加代理是一个可以考虑的策略。 6.4.3 入侵检测系统 1）基于主机的系统 基于主机的系统即在每个要保护的主机上运行一个代理程序。代理程序可以根据它们所识别的攻击特征来识别遇到的问题。 基于主机的方法有以下好处： （1）性能价格比高 （2）更加细腻 （3）视野集中 （4）易于用户剪裁 （5）对网络流量不敏感 6.4.3 入侵检测系统 2）基于网络的系统 基于网络的系统通过连接在网络上的站点捕获网上的包，并分析其是否具有己知的攻击模式，以此来判别是否为入侵者。 基于网络的检测有以下好处： （1）侦测速度快 （2）隐蔽性好 （3）视野更宽 （4）较少的检测器 （5）占资源少 6.4.3 入侵检测系统 基于主机的入侵检测软件可以提供比基于网络的工具更好的应用层安全性，因为主机软件可以检测到失败的访问企图，它可以监视用户访问文件或目录的次数。 不过，将代理软件加载到众多服务器和桌面上是一项费用高且耗时的工作。此外，一旦发现软件有新的问题，代理软件必须随之进行升级。 基于网络的软件在部署时相当容易。但是，它也有弱点。一个弱点是它会发出虚假的威胁警报。另一个不足是这类软件一般没有集成到较大型的网络管理系统中。 6.4.3 入侵检测系统 3、入侵检测系统的数据源 入侵检测系统中用于分析检测的信息主要来源于系统主机的日志记录、网络数据包、应用程序的日志数据以及来自其它入侵检测系统或系统监控系统的报警信息。 1）主机数据源 审计数据是收集一个给定机器用户活动信息的唯一方法。 要求基于主机的入侵检测系统必须在攻击者接管机器并暗中破坏系统审计数据或入侵检测系统之前完成对主机数据源的分析、产生报警并采取相应的措施。 6.4.3 入侵检测系统 2）网络数据源