入侵检测技术火龙果.pptVIP

* 基于主机的入侵防御 基于主机的入侵防御（HIPS）通过在服务器等主机上安装代理程序来防止对主机的入侵和攻击，保护服务器免受外部入侵或攻击。HIPS可以根据自定义的安全策略以及分析学习机制来阻断对服务器等主机发起的恶意入侵，HIPS可以阻断缓冲区溢出、更改登录口令、改写动态链接库以及其他试图获得操作系统入侵权的行为，加强了系统整体的安全性。 IPS的分类: * 基于网络的入侵防护 基于网络的入侵防护（NIPS）通过检测流经的网络流量，提供对网络系统的安全保护。与IDS的并联方式不同，由于IPS采用串联方式，所以一旦检测出入侵行为或攻击数据流，NIPS就可以去除整个网络会话。另外，由于IPS以串联方式接入整个网络的进出口处，所以NIPS的性能也影响着整体网络的性能，NIPS有可能成为整个网络的瓶颈。 * 应用入侵防护 应用入侵防护（AIP）是NIPS产品的一个特例，它把NIPS扩展成为位于应用服务器之前的网络设备，为应用服务器提供更安全的保护。AIP被设计成一种高性能的设备，配置在特定的网络链路上，以确保用户遵守已设定好的安全策略，保护服务器的安全。而NIPS工作在网络上，直接对数据包进行检测和阻断，与具体的服务器或主机的操作系统平台无关。 * 第6章 入侵检测技术 * 入侵检测的定义 美国NSTAC（国家安全通信委员会）的IDSG（Intrusion Detection Sub-Group) ： 入侵（ Intrusion ）：对信息系统的非授权访问及（或）未经许可在信息系统中进行操作。 入侵检测（Intrusion Detection ）：对（网络）系统的运行状态进行监视，对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。 概述 * ICSA.net国家计算机安全协会(ICSA) : 入侵检测系统: 该系统从多种计算机系统及网络中搜集信息，再从这些信息中分析入侵及误用特征。 入侵：由系统外部发起的攻击 误用：由系统内部发起的攻击 概述 * 入侵检测系统的特点 ? 进行入侵检测的软件与硬件的组合便是入侵检测系统 （IDS， Intrusion Detection System ） ? 一个完善的入侵检测系统的特点： – 经济性、 – 时效性 – 安全性 – 可扩展性 概述 * 典型IDS技术 实时 入侵检测 漏洞 扫描 评估 加固 概述 * IDS基本结构 入侵检测是监测计算机网络和系统以发现违反 安全策略事件的过程。简单地说，入侵检测系 统包括三个功能部件： （1）信息收集 （2）信息分析 （3）结果处理 * 信息收集 ? 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。 ? 需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，尽可能扩大检测范围 ?入侵检测很大程度上依赖于收集信息的可靠性和正确性。 IDS基本结构 * 信息收集的来源 进行入侵检测的系统叫做主机，被检测的系统或网络叫做目标机。数据来源可分为四类： 来自主机的 – 基于主机的监测收集通常在操作系统层的来自计算机内部的数据，包括操作系统审计跟踪信息和系统日志 ? 来自网络的 – 检测收集网络的数据 ? 来自应用程序的 – 监测收集来自运行着的应用程序的数据，包括应用程序事件日志和其它存储在应用程序内部的数据 ? 来自目标机的 – 使用散列函数来检测对系统对象的修改。 IDS基本结构 * 信息分析 ? 模式匹配（误用检测） ? 统计分析（异常检测） ? 完整性分析，往往用于事后分析 IDS基本结构 * 模式匹配 ? 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。 ? 一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。 IDS基本结构 * 统计分析 ? 统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。 ? 测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生 完整性分析 ? 完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被安装木马的应用程序方面特别有效。 IDS基本结构 * 入侵检测的分类（1） ? 按照数据来源： – 基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机。 – 基