防火墙和入侵检测(八)入侵检测技术发展趋势.pptVIP

第八章入侵检测技术的发展趋势 攻击技术的发展趋势 入侵检测技术的发展趋势 攻击技术的发展趋势 攻击行为的复杂化和综合化 入侵者不再单纯地使用某一种手段对系统进行攻击，而是同时采用多种手段。入侵者通常综合地使用多种嗅探方法尽量全面地获得用户系统的服务和结构特性，随后根据获得的信息有针对性地采用多种渗透和攻击方法，最大限度地确保入侵行为的成功实施。多种攻击行为往往掩盖了入侵者的真实目的，使得系统难于进行分析和判断。 攻击技术的发展趋势 攻击行为的扩大化 随着计算机技术的普及，针对主机或者网络的攻击行为再也不是只能由一小撮高手才能进行的游戏，任何感兴趣的人都可以通过非常容易获得的各种攻击工具完成针对目标系统的入侵，而且这种行为往往造成目标系统的严重损失。很多恶意的或者心存不满的人甚至相互敌对的国家都已经认识到了这一点，这几年层出不穷的计算机安全案件以及数次国家间的战争行动都证明了计算机系统攻击行为的巨大破坏力。 攻击技术的发展趋势 攻击行为的隐秘性 其实保证攻击行为的隐秘性是攻击技术的一个经典话题，简单说就是如何使得受害者不能找到罪犯。随着计算机技术研究的不断深入，人们对计算机系统本身以及网络与协议的特性的认识越来越深刻，有更多的隐秘手段应用到了攻击技术中。诸如间隔探测、乱序探测、系统权限跃迁以及嵌套式入侵等多种方法都已经被广泛地使用，并且其操作的执行也愈加细致和精确，因此也就更加难于被发现和跟踪。 攻击技术的发展趋势 对防护系统的攻击 以往的攻击行为都是直接针对用户系统的资源和数据进行的，攻击操作都选择小心地避开用户系统的安全防护措施，因此操作上多有掣肘，难于达到攻击的目的。现在出现了攻击用户系统安全防护措施的趋势——攻击者对安全防护措施进行试探和分析，获取安全防护措施的特性知识和漏洞信息，进而采取有针对性的操作使得防护措施失效或被旁路。其根本目的还是为了更容易且有效地获取用户系统的资源和数据。 攻击技术的发展趋势 攻击行为的网络化 单独的攻击主机的能力毕竟是有限的。而且受制于其所处的网络位置和连接特性，很多时候不能更好地执行攻击操作。此外，单独的攻击主机由于目标确定，也容易被用户系统的安全防护措施跟踪识别。网络化的攻击行为可以充分利用网络上多台傀儡主机的特点和能力，在短时间内执行很高强度的攻击操作，使得目标系统难于应对。而且真正的攻击者淹没在多台次傀儡主机的攻击行为之中，非常难于发现。此外，目标系统的安全防护措施穷于应付突如其来的攻击操作，无法付出更多的精力去跟踪识别谁是真正的入侵者。 入侵检测系统的设计考虑 用户需求分析 检测功能需求 足够的检测功能 发生在外部的针对本地网络的攻击行为进行有效检测，以期发现潜在的外部威胁 以网络入侵检测技术为主 在某些安全保护等级要求高的内部网络环境中，需对内部网络中用户的异常活动进行检测 主机入侵检测技术比较适用 难点：如何将非法操作和一定范围内的合法操作区分开来 跟踪任何用户对系统内关键对象和资源的访问情况，并建立正常访问的行为模式。 检测内部用户用来获取更高授权时所利用的常见漏洞发掘过程。 入侵检测系统的设计考虑 用户需求分析 响应需求 对所检测的异常行为进行响应 是否有可能被攻击者用来实施拒绝服务攻击 具体的响应需求 确认用户实施恶意攻击行为后，自动注销用户帐号 调查过程中，暂停用户帐号或降低用户的权限等级并限制访问范围 入侵检测系统的设计考虑 用户需求分析 操作需求 后台操作 不需要人力干预，代理和传感器需要自动收集各种数据，发送到某个代理点进行集聚处理 可能存在的风险：没有人的及时参与，系统的性能指标可能逐步降低并导致部件故障和系统崩溃 按需操作 系统提供安全管理员在特定时候进行各种按需任务的操作能力 通常与后台操作结合起来 预定操作 在设定的时间内或按照设定的频率，传送各个检测部件的统计信息和报表信息 每天集中对各个系统部件进行维护，包括修改规则配置、重新应用审计策略等 入侵检测系统的设计考虑 用户需求分析 操作需求 实时操作 全天候操作 针对大型的网络基础设施不间断的实时的进行威胁检测