第07讲 入侵检测技术.pptVIP

计算机网络与信息安全技术 第7讲 入侵检测技术 基本内容 防火墙是网络系统的第一道安全闸门，但一般网络系统必须对外开放一些应用端口，如20、21、80、110等，这时防火墙的不足就会充分体现出来。为此我们必须借助更深入的防护技术来实施保护，本节介绍其中的一种方法——入侵检测技术。 基本术语 攻击 ? 攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取/破坏/篡改目标系统的数据或访问权限 事件 ? 在攻击过程中发生的可以识别的行动或行动造成的后果；在入侵检测系统中，事件常常具有一系列属性和详细的描述信息可供用户查看。 ? CIDF 将入侵检测系统需要分析的数据统称为事件（event） 基本术语 入侵 ? 对信息系统的非授权访问及（或）未经许可在信息系统中进行操作 入侵检测 ? 对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程 入侵检测系统（IDS） ? 用于辅助进行入侵检测或者独立进行入侵检测的自动化工具 入侵检测系统概述 为什么需要入侵检测系统？ 入侵检测系统是防火墙之后的第二道防线； 关于防火墙 网络边界的设备 自身可以被攻破 对某些攻击保护很弱、粗粒度检测：无法防范数据驱动型的攻击，不能防止用户由Internet上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输 不是所有的威胁来自防火墙外部：防火墙不能防止通向站点的后门，不提供对网络内部的保护 入侵检测系统概述 入侵很容易 入侵教程随处可见 各种工具唾手可得 入侵检测是防火墙的合理补充，它帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。 入侵检测 入侵检测（Intrusion Detection）是一种动态的网络检测技术，是对入侵行为的检测。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到攻击的迹象。 主要用于识别对计算机和网络资源的恶意使用行为，包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象，则应当做出适当的反应。对于正在进行的网络攻击，则采取适当的方法来阻断攻击（与防火墙联动），以减少系统损失。对于已经发生的网络攻击，则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹，作为增强网络系统安全性和追究入侵者法律责任的依据。 入侵检测系统 入侵检测系统（IDS）由执行入侵检测的软件与硬件组合而成，被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现： 1）监视、分析用户及系统活动。 2）系统构造和弱点的审计。 3）识别反映已知进攻的活动模式并向相关人士报警。 4）异常行为模式的统计分析。 5）评估重要系统和数据文件的完整性。 6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 入侵检测系统的作用 监控网络和系统 发现入侵企图或异常现象 实时报警 主动响应 审计跟踪 入侵检测的发展历程 1980年，概念的诞生 1984～1986年，模型的发展 1990年，形成网络IDS和主机IDS两大阵营 九十年代后至今，百家争鸣、繁荣昌盛 入侵检测的原理与技术 入侵检测的实现方式与技术分类： 1、入侵检测系统根据数据包来源的不同，针对不同的检测对象，一般地可分为网络型、主机型，也可是这两种类型的混合应用。 ?基于网络的入侵检测系统（NIDS） ?基于主机的入侵检测系统（HIDS） ?混合型入侵检测系统（Hybrid IDS） 2、入侵检测系统也可按照检测方式的不同来区分： ?异常检测（Anomaly detection） ?误用检测（Misuse detection） 网络入侵检测系统(NIDS) 安装在被保护的网段中 混杂模式监听 分析网段中所有的数据包 实时检测和响应 操作系统无关性 不会增加网络中主机的负载，但需要性能优越的网络处理平台 网络入侵检测系统(NIDS) 主机入侵检测系统（HIDS） 安装于被保护的主机中 主要分析主机内部活动： 系统日志审计 系统调用 系统关键文件完整性保护 本机网络数据的检测 占用一定的系统资源 入侵检测的原理与技术 IDS的基本结构 无论IDS系统是网络型的还是主机型的，从功能上看，都可分为两大部分：探测引擎和控制中心。前者用于读取原始数据和产生事件；后者用于显示和分析事件以及策略定制等工作。 入侵检测的原理与技术 IDS的基本结构 入侵检测的原理与技术 IDS的基本结构 控制中心的主要功能为：通信、事件读取、事件显示、策略定制、日志分析、系统帮助等。 入侵检测的原理与技术 IDS采用的技术