入侵检测技术 教学课件 作者 曹元大 IDS1.pptVIP

第1章 入侵检测概述 概述: 网络安全基本概念 入侵检测的产生与发展 入侵检测的基本概念 网络安全的实质 保障系统中的人、设备、设施、软件、数据以及各种供给品等要素避免各种偶然的或人为的破坏或攻击，使它们发挥正常，保障系统能安全可靠地工作 。 为了提高网络安全性，需要从多个层次和环节入手，分别分析应用系统、宿主机、操作系统、数据库管理系统、网络管理系统、子网、分布式计算机系统和全网中的弱点，采取措施加以防范。 网络系统的安全对策与入侵检测 近年来，尽管对计算机安全的研究取得了很大进展，但安全计算机系统的实现和维护仍然非常困难，因为我们无法确保系统的安全性达到某一确定的安全级别。 入侵检测是最近10余年发展起来的一种动态的监控、预防或抵御系统入侵行为的安全机制。主要通过监控网络、系统的状态、行为以及系统的使用情况，来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。 网络安全的P2DR模型与入侵检测 Policy（安全策略） Protection（防护） Detection（检测） Response（响应） 入侵检测的早期研究 1980年，James Anderson在技术报告中指出，审计记录可以用于识别计算机误用。他提出了入侵尝试（intrusion attempt）或威胁（threat）的概念，并将其定义为：潜在、有预谋的未经授权访问信息、操作信息，致使系统不可靠或无法使用的企图。 1983年，SRI用统计方法分析IBM大型机的SMF记录。 总的来说，由于80年代初期网络还没有今天这样普遍和复杂，网络之间也没有完全连通，因此关于入侵检测的研究主要是基于主机的事件日志分析。而且由于入侵行为在当时是相当少见的，因此入侵检测在早期并没有受到人们的重视。 主机IDS研究 1986年，SRI的Dorothy E. Denning首次将入侵检测的概念作为一种计算机系统安全防御措施提出，并且建立了一个独立于系统、程序应用环境和系统脆弱性的通用入侵检测系统模型。 1988年，SRI开始开发IDES（Intrusion Detection Expert System）原型系统，它是一个实时入侵检测系统。 从1992年到1995年，SRI加强优化IDES，在以太网的环境下实现了产品化的NIDES。 1988年，Los Alamos国家实验室的Tracor Applied Sciences和Haystack Laboratories采用异常检测和基于Signature的检测，开发了Haystack系统。 1989年，Los Alamos国家实验室的Hank Vaccaro为NCSC和DOE开发了WS系统。 1989年，PRC公司开发了ISOA。 网络IDS研究 1990年出现的NSM（Network Security Monitor，网络安全监视器），是UCD（Carlifornia大学的Davis分校）设计的面向局域网的IDS。 1994年，美国空军密码支持中心的一群研究人员创建了一个健壮的网络入侵检测系统ASIM。 1996年，UCD（Carlifornia大学的Davis分校）的Computer Security实验室，以开发广域网上的入侵检测系统为目的，开发了GrIDS。 1997年，Cisco公司兼并了Wheelgroup，并开始将网络入侵检测整合到Cisco路由器中。 从1996年到1999年，SRI开始EMERALD的研究，它是NIDES的后继者。 主机和网络IDS的集成 分布式入侵检测系统（DIDS）最早试图把基于主机的方法和网络监视方法集成在一起。 DIDS的最初概念是采用集中式控制技术，向DIDS中心控制器发报告。 入侵检测的概念 入侵：是指任何试图危及计算机资源的完整性、机密性或可用性的行为。 入侵检测：对入侵行为的发觉。它通过从计算机网络或系统中的若干关键点收集信息，并对这些信息进行分析，从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测系统：进行入侵检测的软件与硬件的组合便是入侵检测系统（简称IDS）。 入侵检测的作用 监控、分析用户和系统的活动 审计系统的配置和弱点 评估关键系统和数据文件的完整性 识别攻击的活动模式 对异常活动进行统计分析 对操作系统进行审计跟踪管理，识别违反政策的用户活动 入侵检测的优点 提高信息安全构造的其他部分的完整性 提高系统的监控 从入口点到出口点跟踪用户的活动 识别和汇报数据文件的变化 侦测系统配置错误并纠正他们 识别特殊攻击类型，并向管理人员发出警报，进行防御 入侵检测的缺点 不能弥补差的认证机制 如果没有人的干预，不能管理攻击调查 不能知道安全策略的内容