第9章入侵检测技术.docVIP

本文由javoldon贡献 ppt文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 第9章 入侵检测技术 9.1 入侵检测的基本原理 9.2 网络入侵技术 9.3 应用实例 9.1 入侵检测的基本原理 本节内容 9.1.1 9.1.2 9.1.3 入侵检测的基本原理 入侵检测系统的分类 入侵检测系统的发展方向 9.1.1 入侵检测的基本原理 1. 入侵检测产品的现状 入侵检测系统IDS(Intrusion Detect System)分为两种：主机 入侵检测系统(HIDS)和网络入侵检测系统(NIDS)。主机入侵检测系 统分析对象为主机审计日志，所以需要在主机上安装入侵检测软件， 针对不同的系统、不同的版本需安装不同的主机引擎，安装配置较 为复杂，同时对系统的运行和稳定性造成影响，目前在国内应用较 少。网络入侵监测分析对象为网络数据流，只需安装在网络的监听 端口上，对网络的运行无任何影响，目前国内使用较为广泛。本章 介绍的是当前广泛使用的网络入侵监测系统。 2.入侵检测系统的作用 我们知道，防火墙是Internet网络上最有效的安全保护屏障， 防火墙在网络安全中起到大门警卫的作用，对进出的数据依照预先 设定的规则进行匹配，符合规则的就予以放行，起到访问控制的作 用，是网络安全的第一道闸门。但防火墙的功能也有局限性，防火 墙只能对进出网络的数据进行分析，对网络内部发生的事件完全无 能为力。 同时，由于防火墙处于网关的位置，不可能对进出攻击作太多 判断，否则会严重影响网络性能。如果把防火墙比作大门警卫的话， 入侵检测就是网络中不间断的摄像机，入侵检测通过旁路监听的方 式不间断的收取网络数据，对网络的运行和性能无任何影响，同时 判断其中是否含有攻击的企图，通过各种手段向管理员报警。 IDS是主动保护自己免受攻击的一种网络安全技术。IDS对网络 或系统上的可疑行为做出相应的反应，及时切断入侵源，保护现场 并通过各种途径通知网络管理员，增大保障系统安全。 3.入侵检测系统的工作流程 入侵检测系统由数据收集、数据提取、数据分析、事件处理等几个部份组成。 (1) 数据收集 入侵检测的第一步是数据收集，内容包括系统、网络运行、数据及用户活动的状态和 行为，而且，需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集数 据。入侵检测很大程度上依赖于收集数据的准确性与可靠性，因此，必须使用精确的软件 来报告这些信息，因为黑客经常替换软件以搞混和移走这些数据，例如替换被程序调用的 子程序、库和其它工具。数据的收集主要来源以下几个方面：系统和网络日志文件、目录 和文件不期望的改变、程序不期望的行为、物理形式的入侵数据。 (2)数据提取 从收集到的数据中提取有用的数据，以供数据分析之用。 (3)数据分析 对收集到的有关系统、网络运行、数据及用户活动的状态和行为等数据通过三种技术 手段进行分析：模块匹配、统计分析和完整性分析。 (4)结果处理 记录入侵事件，同时采取报警、中断连接等措施。 9.1.2 入侵检测系统的分类 入侵检测系统(IDS)可以分成3类：基于主机型(Host Based) 入侵检测系统、基于网 络型(Network Based) 入侵检测系统和基于代理型(Agent Based) 入侵检测系统。 1. 基于主机的入侵检测系统 基于主机的入侵检测系统通常以系统日志、应用程序日志等审计记录文件作为数据源。 它是通过比较这些审计记录文件的记录与攻击签名(Attack Signature，指用一种特定的 方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配，检测系统向系统管理员发 出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件，并可对入侵事 件及时做出反应。它还可针对不同操作系统的特点判断应用层的入侵事件。基于主机的 IDS有着明显的优点： 适合于加密和交换环境； 可实时的检测和响应； 不需要额外的硬件。 基于主机的入侵检测系统对系统内在的结构却没有任何约束，同时可以利用操作系统 本身提供的功能，并结合异常检测分析，更能准确的报告攻击行为。 基于主机的入侵检测系统存在的不足之处在于：会占用主机的系统资源，增加系统负 荷，而且针对不同的操作平台必须开发出不同的程序，另外所需配置的数量众多。 2. 基于网络的入侵检测系统 基于网络的入侵检测系统把原始的网络数据包作为数据源。利用 网络适配器来实时地监视并分析通过网络进行传输的所有通信业务。 它的攻击识别模块进行攻击签名识别的方法有：模式、表达式或字节 码匹配；频率或阈值比较；次要事件的相关性处理；统计异常检测。 一旦检测到攻击，IDS的