《信息安全原理》-第4章信息系统安全监控.ppt

第4章 信息系统安全监控 从安全性的角度看，所有试图破坏系统安全性的行为都称为攻击，入侵就是成功的攻击。当一次入侵是成功的时候，一次入侵就发生了。或着说，系统藉以保障安全的第一道防线已经被攻破了。所以，只从防御的角度被动地构筑安全系统是不够的。 安全监控是从一种积极的防御措施。它通过对系统中所发生的现象的记录，分析系统出现了什么异常，以便采取相应的对策。 本章结构 4.1 入侵检测系统概述 4.1 入侵检测系统概述 入侵检测（Intrusion Detection System, IDS）就是一种主动安全保护技术。入侵检测像雷达警戒一样，在不影响网络性能的前提下，对网络进行警戒、监控，从计算机网络的若干关键点收集信息，通过分析这些信息，看看网络中是否有违反安全策略的行为和遭到攻击的迹象，从而扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。 4.1.1 入侵检测与入侵检测系统 相关概念 入侵检测系统的主要功能 4.1.2 实时入侵检测和事后入侵检测 实时入侵检测 事后入侵检测 4.1.3 入侵检测系统模型 1. IDES模型 IDES模型的改进 2. DIDS模型 4.1.4 入侵检测系统的优点及其局限 1. 优点 2. 局限 4.2 入侵检测系统的基本结构 4.2.1 信息收集 1. 数据收集的内容 （1）主机和网络日志文件 2.入侵检测系统的数据收集机制 （2）分布式与集中式数据收集机制 （4）外部探测器和内部探测器 4.2.2 数据分析 数据分析是IDS的核心，它的功能就是对从数据源提供的系统运行状态和活动记录进行同步、整理、组织、分类以及各种类型的细致分析，提取其中包含的系统活动特征或模式，用于对正常和异常行为的判断。 入侵检测系统的数据分析技术依检测目标和数据属性，分为异常发现技术和模式发现技术两大类。最近几年还出现了一些通用的技术。下面分别介绍。 1.异常发现技术 异常发现技术分类 2.模式发现技术 常用的模式发现技术 3.混合检测 4.2.3 入侵检测系统的特征库 IDS要有效地捕捉入侵行为，必须拥有一贯强大的入侵特征（signature）数据库，这就如同公安部门必须拥有健全的罪犯信息库一样。 IDS中的特征就是指用于判别通讯信息种类的样板数据，通常分为多种，以下是一些典型情况及其识别方法： IDS中特征的典型情况及其识别方法： 4.2.4 响应 早期的入侵检测系统的研究和设计，把主要精力放在对系统的监控和分析上，而把响应的工作交给用户完成。现在的入侵检测系统都提供有响应模块，并提供主动响应和被动响应两种响应方式。一个好的入侵检测系统应该让用户能够裁减定制其响应机制，以符合特定的需求环境。 1.主动响应 4.3 入侵检测系统的实现 4.3.1 入侵检测系统的设置 4.3.2 入侵检测系统的部署 入侵检测器是入侵检测系统的核心。入侵检测器部署的位置，直接影响入侵检测系统的工作性能。在规划一个入侵检测系统时，首先要考虑入侵检测器的部署位置。显然，在基于网络的入侵检测系统中和在基于主机的入侵检测系统中，部署的策略不同。 1.在基于网络的入侵检测系统中部署入侵检测器 （1）DMZ区 2.在基于主机的入侵检测系统中部署入侵检测器 4.3.3 报警策略 检测到入侵行为需要报警。具体报警的内容和方式，需要根据整个网络的环境和安全需要确定。例如： 4.3.4 入侵检测产品的选择 1.购买入侵检测系统考虑的基本因素 4.4 入侵检测系统的标准化 为了提高IDS产品、组件及与其他安全产品之间的互操作性和互用性，美国国防高级研究计划暑（DARPA）和互联网工程任务组（IETF）的入侵检测工作组（IDWG）发起制定了一系列建议草案，从体系结构、API、通讯机制、语言格式等方面规范IDS的标准。 4.4.1 公共入侵检测框架 CIDF（Common Intrusion Detection Framework，公共入侵检测框架）是 DARPA从1997年3月就开始制定的一套规范，最早由加州大学戴维斯分校安全实验室主持起草工作。它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议，使各种IDS可以协同工作，实现各IDS之间的组件重用，被作为构建分布式IDS的基础。 CIDF的规格文档主要包括四部分：IDS的通信机制、体系结构、CISL（Common Intrusion Specification Language，通用入侵描述语言）和应用编程接口API。 1.CIDF的通信机制 （2）CIDF的通信机制的功能及其实现 2.CIDF的体系结构 （1）事件产生器 3.CISL 4.CIDF的程序接口 4.4.2 IDWG的标准化工作 1999年6月，IDWG就入