第11章 入侵检测.pptVIP

11.1 入侵检测原理与技术 入侵检测(Intrusion Detection) 是对入侵行为的发觉，入侵检测系统(IDS)从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。并在不影响网络性能的情况下，对网络进行检测，提供对内部攻击、外部攻击和误操作的实时保护。 入侵检测技术是动态安全技术的最核心技术之一，它是防火墙的合理补充，被认为是防火墙的第二道安全防线。 入侵检测技术能够： ●帮助系统主动对付网络攻击； ●扩展了系统管理员的安全管理能力（包括安全审计、安全监视和检测、入侵识别、入侵取证和响应）； ●提高了信息安全基础结构的完整性。 11.1.1 入侵检测的起源 1980年 Anderson提出入侵检测的概念； 1987年Denning提出了一种通用的入侵检测模型，它独立于任何特殊的系统、应用环境、系统脆弱性和入侵种类，并由IDES原形系统实现。 1990年后，分布式入侵检测系统(DIDS)产生，它试图将基于主机和网络监视的方法集成在一起，解决了两大难题： 大型网络环境中跟踪网络用户和文件； 从发生在系统不同的抽象层次的事件中发现相关数据或事件。 1. 相关术语 虚警(错报)：检测系统在检测时，把系统的正常行为判为入侵行为被称为虚警。相应地，所出现虚警的概率称为系统的虚警率。 漏警(漏报)：检测系统在检测时，没有能够正确的识别某些入侵行为，因而没有报警现象被称为漏警。相应地，所出现的漏警的概率被称为系统的漏警率。 2. IDS的主要职责和任务 IDS系统主要有两大职责：实时检测和安全审计。 ●监视、分析用户及系统活动； ●系统构造和弱点的审计； ●识别反映已知进攻的活动模式并报警； ●异常行为模式的统计分析； ●评估重要系统和数据文件的完整性； ●对操作系统的审计追踪管理，并识别用户违反安全策略的行为。 3. 一个成功的IDS应具有的功能 ●及时反映网络系统的任何变更； ●为网络安全策略的制订提供指南； ●管理简单、容易配置； ●入侵检测的规模能根据网络威胁、系统构造和安全需求的改变而改变； ●能及时对入侵行为做出响应，包括切断网络连接、记录事件和报警等。 11.1.2 入侵检测系统的需求特性 一个成功的IDS要满足以下要求： ⑴实时性要求； ⑵可扩展性要求； ⑶适应性要求； ⑷安全性与可用性要求； ⑸有效性要求。 11.1.3 入侵检测原理 IDS是根据入侵行为与正常访问行为的差别来识别入侵行为，根据识别采用的原理，可以分为异常检测、误用检测和特征检测三种。 1. 异常检测 异常检测系统通过运行在系统或应用层的监控程序监控用户的行为，将当前主体的活动情况和用户轮廓进行比较。 用户轮廓通常定义为各种行为参数及其阈值的集合，用于描述正常行为范围。当用户活动与正常行为有重大偏离时即被认为是入侵。 2. 误用检测 进行误用检测的前提是所有的入侵行为都有可被检测到的特征。误用检测系统提供攻击特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。 如果正常的用户行为与入侵特征相匹配?错报; 如果没有特征能与某种新的攻击行为匹配?漏报。 此模式降低错报率，但增加了漏报率，因为攻击特征的细微变化，就会使错误检测无能为力。 3. 特征检测 特征检测关注的是系统本身的行为，它定义系统行为轮廓，并将系统行为与轮廓进行比较，对未指明为正常行为的事件定义为入侵。 入侵检测系统通常同时采用两种以上的方法实现。 11.1.4 入侵检测分类 按控制方式分类 ⑴集中式控制 ⑵与网络管理工具相结合 按具体的检测方法分类 ⑴基于行为的检测（异常检测） ⑵基于知识的检测（误用检测） 按检测系统所分析的原始数据分类 ⑴来自系统日志的检测 ⑵来自网络数据包的检测 按系统运行特性分类 ⑴实时检测 ⑵周期性检测 按检测到入侵行为后是否采取相应措施分类 ⑴主动型 ⑵被动型 按系统的工作方式分类 ⑴离线检测 ⑵在线检测 按检测的监控位置(对象)分类 ⑴基于主机的入侵检测系统（HIDS） ⑵基于网络的入侵检测系统（NIDS） ⑶分布式的入侵检测系统 1. 基于主机的入侵检测系统（HIDS） HIDS为早期的入侵检测系统结构，如图11-1所示。其检测目标主要是主机系统和系统本地用户。 检测原理：在每一个需要保护的主机（端系统）上运行代理程序，根据主机的审计数据和系统的日志发现可疑事件，从而实现监控。如图11-2所示。 HIDS的优势： ⑴能够精确地判断入侵行为，并及时响应； ⑵监控主机上特定用户活动、系统运行情况； ⑶能够检测到NIDS无法检测的攻击； ⑷适用加密和交换的环境； ⑸检测和响应接近实时性； ⑹没有带宽的限制、不需要额外的硬件设备