第八章入侵检测系统.pptVIP

知识回顾 防火墙的局限性？ 削弱了网络的功能 信息受阻 增大了网络开销 并非万无一失 防外不防内 第八章 入侵检测系统 8.1 概 述 IDS存在与发展的必然性 网络安全本身的复杂性，被动式的防御方式显得力不从心。 有关防火墙 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 并非所有威胁均来自防火墙外部 入侵很容易 入侵教程随处可见 各种攻击唾手可得 8.1 概 述 入侵检测有关概念 入侵(Intrusion) 是指系统发生的任何违反安全策略的事件，包括对系统资源的非法访问、恶意攻击、探测系统漏洞和攻击准备等对网络系统造成危害的各种行为。 入侵检测(Intrusion Detection) 是指通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现或识别企图入侵、正在进行的入侵或已经发生的入侵的技术。 入侵检测系统(IDS) 用于进行入侵检测的自动化工具，是入侵检测的软件与硬件的组合。 8.1 概 述 入侵检测的起源 从审计技术发展而来 1980年，James P. Anderson的《计算机安全威胁监控与监视》 第一次详细阐述了入侵检测的概念 计算机系统威胁分类：外部渗透、内部渗透和不法行为 提出了利用审计跟踪数据监视入侵活动的思想 这份报告被公认为是入侵检测的开山之作。 8.1 概 述 入侵检测的起源 1984年到1986年，乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型——IDES（入侵检测专家系统） 1990年，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM (Network Security Monitor) 第一次直接将网络数据流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机。 两大阵营正式形成：基于网络的IDS和基于主机的IDS 8.1 概 述 入侵检测的起源 1988年之后，美国开展对分布式入侵检测系统(DIDS)的研究，将基于主机和基于网络的检测方法集成到一起。 DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。 从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。 8.1 概 述 IDS的工作模式 从系统的不同环节收集信息 分析该信息，试图寻找入侵活动的特征 自动对检测到的行为作出响应 记录并报告检测过程及结果 8.1 概 述 IDS的通用模型 事件产生器 事件分析器 事件数据库 响应单元 8.1 概 述 IDS的通用模型 事件产生器 负责收集、采集各种原始数据， 且将其转换为事件，向系统的其 他部分提供此事件。 收集内容：系统、网络数据及用户活动的状态和行为。 不同关键点的信息：系统或网络的日志文件、网络流量、系统目录和文件的异常变化、程序执行中的异常行为 注意：首先要保证用来检测网络系统的软件的完整性，特别是IDS本身的坚固性。 8.1 概 述 IDS的通用模型 事件分析器 接收事件信息，对其进行分析， 判断是否为入侵行为或异常现象， 最后将判断的结果转变为告警信息。 分析方法 模式匹配（与已知的攻击进行比较） 统计分析（确定对象的异常行为） 完整性分析（常用于事后分析） 8.1 概 述 IDS的通用模型 事件数据库 存放各种中间和最终数据的地方 从事件产生器或事件分析器接收 数据，一般会将数据进行较长时 间的保存，以便于今后的关联分 析等。 8.1 概 述 IDS的通用模型 响应单元 根据告警信息作出反应， 是IDS中的主动武器 可作出 强烈反应：切断连接、改变文件属性等 简单的报警：给管理员发送短信等。 8.1 概 述 IDS的基本工作原理 8.1 概 述 检测IDS性能的两个关键参数 误报（false positive） 实际无害的事件却被IDS检测为攻击事件 漏报（false negative） 一个攻击事件未被IDS检测到或被分析人员认为是无害的 8.1 概 述 入侵检测系统分类 根据其采用的分析方法（检测原理） 根据数据来源 根据体系结构 根据系统的工作方式 8.1 概 述 入侵检测系统分类 根据其采用的分析方法（检测原理）可分为 异常检测（Anomaly Detection） 假设入侵行为与正常行为不同 对正常行为用定量的方式加以描述，当用户活动与正常行为有重大偏离时即被认为是入侵。 利用统计的分析方法 误用检测（Misuse Detection） 假设所有入侵行为和手段都能表达为一种模式或特征，又称特征检测 利用特征匹配的方法 异常检测 前提 入侵是异常活动的子集 用户