新计算机网络安全 教学课件 鲁立 1_ 08.pptVIP

第8章 入侵检测系统 本章要点 ? 入侵检测系统模型、工作过程。 ? 入侵检测系统分类和工作原理。 ? 基于主机的入侵检测系统和基于网络的入侵检测系统部署。 ? 入侵防护系统相关概念。 8.1 入侵检测概述 8.1.1 入侵检测的概念及功能 在网络安全技术中，入侵是指进入计算机系统对系统资源进行非授权访问和使用的行为，监控入侵行为称为入侵检测。入侵检测技术是为保护系统资源不被泄露、篡改和破坏而设计的一种网络安全防御技术。 一个完善的入侵检测系统应该具备以下的功能。 ???能实时监测分析用户、主机系统的行为活动。 ???能审计系统配置的弱点，评估关键系统资源与重要数据的完整性。 ???能检测识别已知进攻行为，自动发送警报，自动采取相应防御措施。 ???能审计、跟踪、管理主机系统，统计、分析异常行为活动，记录事件日志。 8.1.2 入侵检测系统模型 CIDF阐述了一个IDS的通用模型，它将入侵检测系统需要分析的数据统称为事件，以下为模型组件及功能。 ???事件产生器：事件检测器，获得事件并向系统其他部分提供事件。 ???事件分析器：分析获得的事件，产生分析结果。 ???响应单元：对分析结果做出反应。 ???事件数据库：存储各种中间和最终事件。 8.1.3 入侵检测工作过程 入侵检测的工作过程一般分为3个步骤： （1）信息采集 （2）信息分析 （3）结果处理 8.2 入侵检测系统的分类 8.2.1 根据检测对象划分 1．基于主机型 该类型的入侵检测系统主要针对保护主机安全而设计，在被保护主机中安装嗅探功能的执行程序，使其成为一个基于主机型的入侵检测系统，这是一种软件检测系统。 它通过监视、分析主机操作系统的事件日志、应用程序日志、系统和端口调用、安全审计记录来检测入侵，从而保护所在主机的系统安全。 2．基于网络型 该类型的入侵检测系统主要针对保护网络而设计，由遍及在网络中的多个网络适配器组成，这些设置为混杂模式，用于嗅探网络中传输的数据包，这是一种硬件检测系统。 它通过在共享网段上侦听、采集传输的数据包，分析数据包中的可疑现象，保护整个网段的安全。 3．混合型 由于基于主机和基于网络的入侵检测系统有各自的缺陷，单独使用任何一种类型建立的防御体系都存在不足，混合型入侵检测综合了这两种类型的优点，它既能嗅探网络中的攻击信息，又能分析系统日志中的异常情况，能更加全面地检测针对主机和网络的入侵行为，让攻击行为无处藏身。 8.2.2 根据检测技术划分 1．异常检测 该类型的入侵检测系统根据正常主体的活动，建立正常活动的“活动简档”，由于入侵行为异于当前正常的主体活动，当检测到某活动与“活动简档”的统计规律相违背时，即可认为该活动有“入侵”行为的嫌疑。异常检测技术的关键工作是根据正常的主体活动来描述和构建正常活动档案库，它能检测出未知行为，并具有简单的学习功能。 2．特征模式检测 该类型的入侵检测系统根据入侵活动的规律建立入侵特征模式，并将当前的主体活动与特征模式进行比较，以此来判断是否存在入侵行为，这与异常检测技术原理正好相反。特征模式检测技术的关键是建立入侵活动特征模式的表示形式，且要能够辨别入侵活动和正常活动的区别。 该技术仅能检测使用固定特征模式的入侵而非其他任何经过轻微变换后的攻击行为，导致了它的检测准确度不高，另外该技术对系统资源消耗较大，检测速度较慢。 3．协议分析检测 该类型的入侵检测系统利用网络协议的高度规则性快速探测入侵活动的存在，它的引擎中包含70多个不同的命令解析器，能完整解析各类协议，详细分析各种用户命令并辨认出每个特征串的含义。 该技术具有检测速度快、性能高、误报率低、资源消耗低等特点，并能同时检测已知和未知的入侵活动。 8.2.3 根据工作方式划分 1．离线检测系统 该类型的入侵检测系统是非实时工作的检测系统，在系统正常运行时根据用户的操作活动来记录审计事件，由网管人员定期或不定期地分析这些之前记录的审计事件，并根据历史审计记录判断是否存在可能的入侵活动，如果发现存在着入侵活动就立即断开连接，并记录入侵证据和修复数据。该检测方法不具有实时性，入侵活动的检测灵敏度较低。 2．在线检测系统 该类型的入侵检测系统是实时联机工作的检测系统，它能实时检测网络连接过程中的入侵行为。在工作过程中，该系统实时分析网络数据包，实时分析主机审计记录，根据用户的历史行为模型、专家知识、神经网络模型等对用户当前的行为实时进行判断，一旦发现有入侵迹象立即断开有害连接，并搜集证据，实施数据恢复。整个检测过程循环进行，保证能及时发现入侵活动，并快速作出响应，入侵活动的检测灵敏度较高。 8.3 入侵检测系统部署 8.3.1 基于主机的入侵检测系统部署 基于主机的入侵检测系统运行在特