入侵检测系统(IDS)及应用.pptVIP

2002年12月31日 雪茗斋2002年终总结大会 继往开来 开拓奋进 第8章 入侵检测系统（IDS）及应用 8.1 入侵检测系统技术 8.2 入侵检测系统产品选型原则与产品介绍 8.1 入侵检测系统技术 一、 入侵检测系统概述 二、 入侵检测技术分类 三、 入侵检测模型 一、 入侵检测系统概述 1、入侵及入侵检测系统的概念 “入侵”（Intrusion）是个广义的概念，是指企图对计算机系统造成危害的行为。入侵企图或威胁可以被定义为未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用，或者是指有关试图破坏资源的完整性、机密性及可用性的活动。 入侵分为六种类型： ①尝试性闯入（Attempted break-in） ②伪装攻击（Masquerade attack） ③安全控制系统渗透（Penetration of the security control system） ④泄露（Leakage） ⑤拒绝服务（Denial of service） ⑥恶意使用（Malicious use） 入侵检测（Intrusion Detection），顾名思义，便是对入侵行为的发觉。它通过对计算机系统、或计算机网络中的若干关键部位收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为。入侵检测的内容包括：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。 入侵检测系统（Intrusion Detection System,简称IDS）是进行入侵检测的软件与硬件的组合，事实上入侵检测系统就是“计算机和网络为防止网络小偷安装的警报系统”。 2、入侵检测系统的工作过程 IDS处理过程： 数据采集阶段 数据处理及过滤阶段 入侵分析及检测阶段 报告以及响应阶段 入侵检测系统的三个组成部分： 感应器（Sensor） 分析器(Analyzer) 管理器(Manager) 3、入侵检测系统的分类 （1）根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统 （2）根据检测系统对入侵行为的响应方式分为主动检测系统和被动检测系统 （3）根据工作方式分为在线检测系统和离线检测系统 4、入侵检测系统的作用 （1）监测并分析系统和用户的活动,查找非法用户和合法用户的越权操作。 （2）核查系统配置和漏洞,并提示管理员修补漏洞。 （3）评估系统关键资源和数据文件的完整性。 （4）识别已知的攻击行为，并向管理人员发出警告。 （5）对异常行为进行统计分析以发现入侵行为的规律。 （6）操作系统日志管理和审计跟踪管理，并识别违反安全策略的用户活动。 5、入侵检测系统与防火墙的比较 二、 入侵检测技术分类 入侵检测技术通过对入侵行为的过程与特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应，主要包括特征检测、异常检测、协议分析。 1．基于标识的特征检测(signature-based)技术 基于标识的特征检测(signature-based)技术我们又称为误用检测，它首先定义违背安全策略事件的特征，然后根据这些特征来检测主体活动，如果主体活动具有这些特征，可以认为该主题活动是入侵行为。 2.基于异常情况的检测技术 异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。通过检测系统的行为或使用情况的变化来完成。 3．协议分析 协议分析技术是新一代IDS系统探测攻击手法的主要技术，也是目前比较流行的检测技术。它利用网络协议的高度规则性并结合高速数据包捕捉、协议分析和命令解析，以快速探测攻击的存在。 三、 入侵检测模型 通用入侵检测模型（Denning模型） 主体(subjects)：在目标系统上活动的实体，如用户、计算机操作系统的进程、网络的服务连接等。 对象(Objects)：系统资源，如文件、设备、命令、网络服务端接口等。 审计记录是指主体（subject）对客体（object）的实施操作时，系统产生的数据，如用户注册、命令执行和文件访问等。 活动简档(Activity Profile)：在IDES模型中用活动简档来保存主体正常活动的有关信息，并使用随机变量（metrics）和统计模型来定量描述观测到主体对客体的行为活动特征。 异常记录(Anomaly Records)：由Event，Time-stamp，Profile组成。用以表示异常事件的发生情况。 活动规则（Activity Rules）：活动规则指的是异常记录产生时系统应采取的措施。 8.2 入侵检测系统产品选型原则与产品介绍 一、 IDS产品选型概述 二、 IDS产品性能指标 三、 IDS使用 一