第9章 入侵检测系统.pptVIP

《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年 第九章 内容概要 9.1 基本概念 9.2 网检和机检 9.3 特征检测 9.4 统计分析 9.5 行为推理 9.6 诱饵系统 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年 诱饵系统 定义: 用设备，系统，目录或文件作为诱饵，引诱攻击者，使真正重要的主机和系统免于攻击并收集入侵者行为 帮助用户找到敌人 牺牲自己，保全真正主机系统不受攻击 IDS = 守卫 Decoy System = 蜜罐 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年 诱饵系统种类 1990开发出来 连在局域网内的主机，有真正的 IP 地址 需要与操作系统进行高层互动并且用相当的精力去维护 1990’s后期，软件技术逐渐成熟， 容易配置 需要低层互动 常用的虚拟诱饵系统Honeyd, KFSensor, CyberCop Sting … 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年 互动层次 低层互动： 运行诱饵主机的服务端程序只能往主机的硬盘上写入信息 中层互动： 运行诱饵主机的服务端程序只能往主机的硬盘上读出和写入信息 高层互动： 运行诱饵主机的服务端程序可以和主机的操作系统互动，并通过操作系统与主机硬盘和其他系统资源互动 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年 诱饵系统的功能和刻画 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年 Honeyd 时并行运行虚拟IP协议集和的软件引擎 在网络层上建构虚拟诱饵系统提供了结构简易的框架 能够模拟标准网络服务在不同的虚拟主机系统上运行不同的操作系统 能监测并清除蠕虫， 分散入侵者注意力，组织垃圾邮件的传播 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年 Honeyd 结构示意图 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年 Honeyd 个性化引擎 A block diagram of Honeyd architecture 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年 其他系统 MWCollect 计划 Honeynet计划 Honeywall CDROM Sebek 高层互动分析工具包 (HIHAT) HoneyBow 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年 第9章 入侵检测系统 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年 第9章 内容概要 9.1 基本概念 9.2 网检和机检 9.3 特征检测 9.4 统计分析 9.5 行为推理 9.6 诱饵系统 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年 入侵检测系统基本概念 什么是入侵? 例如，入侵者获取Alice的用户名和密码来假冒 Alice 入侵者为黑客，获取合法用户登录信息并且假冒他们 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年 观测 (始于1980’s中期) 入侵者行为与合法用户具有不同的行为 这些行为可以通过定量的方法测量出来 入侵检测: 尽快的识别出已发生或正在发生的入侵者行为 收集入侵证据 常用手段: 检测不正常行为 怎样构造一个自动检测工具去发现这些入侵行为? ? 入侵检测系统(IDS) 入侵检测系统基本概念 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年 基本方法 设立系统日志并分析之 如果日志文件较小，可以手动完成。但是如果日志文件很大，可能需要复杂的工具 基于通过跟踪用户用户使用主机行为和上网行为构造用户表征 网检(NBD) 机检(HBD) 二者结合 (混检) 《计算机网络安全的理论与实践（第2版）》. 【美】王杰, 高等教育出版社, 2011年 基本方法 安全审查 分析日志常指审查 两种审查 安全表征实例：静态配置信息 动态事件: 动态用户事件 参数 值 登录密码 最小长度(字节) 有效期 (天) 过期警告(天) 8 90 14 登录阶段 允许登录失败的次数 下一次允许登录时间间隔 (秒) 登录后什么也不做保持登录的时间(小时) 3 20