入侵检测技术 教学课件 作者 曹元大 IDS3.pptVIP

第3章 入侵检测系统 入侵检测系统: 入侵检测系统的基本模型 入侵检测系统的工作模式 入侵检测系统的分类 入侵检测系统的构架 入侵检测系统的部署 入侵检测系统 进行入侵检测的软件与硬件的组合便是入侵检测系统。 入侵检测系统的主要功能包括：监视、分析用户及系统的活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；对异常行为模式进行统计分析；对重要系统和数据文件的完整性进行评估；对操作系统进行审计跟踪管理；识别用户违反安全策略的行为。 入侵检测系统的建立依赖于入侵检测技术的发展，而入侵检测技术的价值最终要通过实用的入侵检测系统来检验。 入侵检测系统的基本模型 通用入侵检测模型（Denning模型） 层次化入侵检测模型（IDM） 管理式入侵检测模型（SNMP-IDSM） 通用入侵检测模型 IDM模型 第一层：数据 第二层：事件 第三层：主体 第四层：上下文 第五层：威胁 第六层：安全状态 SNMP-IDSM模型 入侵检测系统的工作模式 入侵检测系统的分类 根据目标系统的类型： 基于主机（Host-Based）的入侵检测系统。通常，基于主机的入侵检测系统可监测系统、事件和操作系统下的安全记录以及系统记录。当有文件发生变化时，入侵检测系统将新的记录条目与攻击标记相比较，看它们是否匹配。如果匹配，系统就会向管理员报警，以采取措施。 基于网络（Network-Based）的入侵检测系统。基于网络的入侵检测系统使用原始网络数据包作为数据源。基于网络的入侵检测系统通常利用一个运行在混杂模式下的网络适配器来实时监视并分析通过网络的所有通信业务。 入侵检测系统的分类 根据入侵检测系统分析的数据来源 ： 主机系统日志 原始的网络数据包 应用程序的日志 防火墙报警日志 其它入侵检测系统的报警信息 入侵检测系统的分类 根据入侵检测分析方法 ： 异常入侵检测系统。异常入侵检测系统利用被监控系统正常行为的信息作为检测系统中入侵行为和异常活动的依据。 误用入侵检测系统。误用入侵检测系统根据已知入侵攻击的信息（知识、模式等）来检测系统中的入侵和攻击。 入侵检测系统的分类 根据检测系统对入侵攻击的响应方式 ： 主动的入侵检测系统。主动的入侵检测系统在检测出入侵后，可自动地对目标系统中的漏洞采取修补、强制可疑用户（可能的入侵者）退出系统以及关闭相关服务等对策和响应措施。 被动的入侵检测系统。被动的入侵检测系统在检测出对系统的入侵攻击后只是产生报警信息通知系统安全管理员，至于之后的处理工作则由系统管理员来完成。 入侵检测系统的分类 根据系统各个模块运行的分布方式 ： 集中式入侵检测系统。系统的各个模块包括数据的收集与分析以及响应都集中在一台主机上运行，这种方式适用于网络环境比较简单的情况。 分布式入侵检测系统。系统的各个模块分布在网络中不同的计算机、设备上，一般来说分布性主要体现在数据收集模块上，如果网络环境比较复杂、数据量比较大，那么数据分析模块也会分布，一般是按照层次性的原则进行组织的。 入侵检测系统的构架 入侵检测系统的部署 对于入侵检测系统来说，其类型不同、应用环境不同，部署方案也就会有所差别。对于基于主机的入侵检测系统来说，它一般是用于保护关键主机或服务器，因此只要将它部署到这些关键主机或服务器中即可。但是对于基于网络的入侵检测系统来说，根据网络环境的不同，其部署方案也就会有所不同。 网络中没有部署防火墙时 网络中部署防火墙时 小结 入侵检测系统的基本模型 入侵检测系统的工作模式 入侵检测系统的分类 入侵检测系统的构架 入侵检测系统的部署 *入侵检测系统 第3章 入侵检测系统 曹元大主编，人民邮电出版社，2007年 历史简档 更新 提取规则 审计记录 计时器 主体 活动 规则集 处理 引擎 异常 记录 活动 简档 规则设计和更新 建立 学习 新活动简档 I D S A I D S B 从IDS事件MIB中进行SNMP Get操作 端口扫描事件与用户异常行为事件 向脚本MIB实施SNMP Set操作 SNMP通知 主 机 A 主 机 B 管理者 代理 代理 代理 … … * * *入侵检测系统