第14章 入侵检测技术.pptVIP

第14章 入侵检测技术 对付网络入侵，只有防火墙是不够的。 防火墙只是试图抵挡网络入侵者，很难去发现入侵的企图和成功的入侵。 这就需要一种新的技术—入侵检测技术。 入侵检测技术能发现网络入侵者的入侵行为和入侵企图，及时向用户发出警报，将入侵消灭在成功之前。 Web 信息系统的登录日志, 成功和不成功的登录都包括在日志信息里. 通过分析不成功的原因作出判断. 14.1 入侵检测系统概述 安全技术有：身份认证与识别、访问控制机制、加密技术、防火墙技术等。 这些技术都把注意力集中在系统的自身加固和防护上，属于静态的安全防御技术，对于网络环境下日新月异的攻击手段缺乏主动的反应。 自适应网络安全技术（动态安全技术）和动态安全模型应运而生。 入侵检测作为动态安全技术的核心技术之一，是防火墙的合理补充. 入侵检测帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性，是安全防御体系的一个重要组成部分。 入侵检测（Intrusion Detection），顾名思义，即是发觉入侵行为。 它在计算机网络或计算机系统中的若干关键点收集信息，通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System，简称 IDS）。 入侵检测系统需要更多的智能，它必须能将得到的数据进行分析，并得出有用的结果。 早期的 IDS 模型设计用来监控单一服务器，是基于主机的入侵检测系统；近期的更多模型则集中用于监控通过网络互联的多个服务器。 14.1 入侵检测系统概述 入侵检测系统的任务和作用是： (1)监视、分析用户及系统活动； (2)对系统弱点的审计； (3)识别和反应已知进攻的活动模式并向相关人士报警； (4)异常行为模式的统计分析； (5)评估重要系统和数据文件的完整性； (6)操作系统的审计跟踪管理，识别用户违反安全策略的行为。 入侵检测系统有两个指标。 一是漏报率，指攻击事件没有被IDS检测到，与其相对的是检出率； 二是误报率，指把正常事件识别为攻击并报警。 误报率与检出率成正比例关系。 14.2 入侵检测系统结构 入侵检测系统的 CIDF 模型 CIDF 模型是由 CIDF（Common Intrusion Detection Framework）工作组提出的。 CIDF专门从事对入侵检测系统（IDS）进行标准化的研究机构。 它主要研究的是入侵检测系统的通用结构、入侵检测系统各组件间的通信接口问题、通用入侵描述语言（Common Intrusion Specification Language，CISL）以及不同入侵检测系统间通信问题等关于入侵检测的规范化问题。 14.2 入侵检测系统结构 入侵检测系统的 CIDF 模型 IETF 的入侵检测系统模型 Denning 的通用入侵检测系统模型 14.3 入侵检测系统类型 按数据来源的分类 由于入侵检测是个典型的数据处理过程，因而数据采集是其首当其冲的第一步。 同时，针对不同的数据类型，所采用的分析机理也是不一样的。 根据入侵检测系统输入数据的来源来看，它可分为：基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统。 1.基于主机的(Host-Based)入侵检测系统 基于主机的入侵检测系统(HIDS)通常以系统日志、应用程序日志等审计记录文件作为数据源。 它是通过比较这些审计记录文件的记录与攻击签名(一种特定的方式来表示已知的攻击模式)，以发现它们是否匹配。 如果匹配，检测系统就向系统管理员发出入侵报警并采取相应的行动。 基于主机的 IDS 可以精确地判断入侵事件，并可对入侵事件作出立即反应。 该系统具有明显的优点： (1) 能够确定攻击是否成功 (2) 非常适合于加密和交换环境 (3) 近实时的检测和响应 (4) 不需要额外的硬件 (5) 可监视特定的系统行为 2.基于网络的(Network-Based)入侵检测系统 以原始的网络数据包作为数据源。 它是利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务的。其攻击识别模块在进行攻击签名识别时常用的技术有： ● 模式、表达式或字节码的匹配； ● 频率或阈值的比较； ● 事件相关性处理； ● 异常统计检测。 一旦检测到攻击，IDS 的响应模块通过通知、报警以及中断连接等方式来对攻击行为作出反应。 较之于基于主机的 IDS，它有着自身明显的优势： 攻击者转移证据更困难 实时检测和应答 能够检测到未成功的攻击企图 操作系统无关性 较低的成本 当然，对于基于网络的 IDS 来讲，同样有着一定的不足： 它只能监视通过本网段的活动