信息安全与技术课件06(清华大学).pptVIP

信息安全与技术 清华大学出版社 第6章 入侵检测技术 传统上，企业网络一般采用防火墙作为安全的第一道防线，但随着攻击工具与手法的日趋复杂多样，单纯的防火墙策略已经无法满足对网络安全的进一步需要，网络的防卫必须采用一种纵深的、多样化的手段。入侵检测系统是继防火墙之后，保护网络安全的第二道防线，它可以在网络受到攻击时，发出警报或者采取一定的干预措施，以保证网络的安全。 6.1 入侵检测的概念 6.1.1 入侵检测系统功能及工作过程 6.1.2 入侵检测技术的分类 6.1.3 入侵检测系统的性能指标 6.1.1 入侵检测系统功能及工作过程 入侵是指任何企图危及资源的完整性、机密性和可用性的活动。入侵检测（Intrusion Detection），顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测技术是为保证计算机系统和计算机网络系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。 入侵检测系统（Intrusion Detection System,简称IDS）是进行入侵检测的软件与硬件的组合。该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。 6.1.1 入侵检测系统功能及工作过程 入侵检测系统的主要功能有： 实时检测：监控和分析用户和系统活动，实时地监视、分析网络中所有的数据包；发现并实时处理所捕获的数据包，识别活动模式以反应已知攻击。 安全审计：对系统记录的网络事件进行统计分析；发现异常现象；得出系统的安全状态，找出所需要的证据 主动响应：主动切断连接或与防火墙联动，调用其他程序处理 评估统计：评估关键系统和数据文件的完整性，统计分析异常活动模式 6.1.2 入侵检测技术的分类 入侵检测按技术可以分为特征检测（Signature-based detection）和异常检测（Anomaly detection）。 按监测对象可以分为基于主机入侵检测 ( HIDS )和基于网络入侵检测 ( NIDS )。 6.1.2 入侵检测技术的分类 特征检测 特征检测是收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。特征检测可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。 特征检测的难点是如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来，采取的主要方法是模式匹配。 6.1.2 入侵检测技术的分类 异常检测 异常检测是总结正常操作应该具有的特征，建立主体正常活动的“活动简档”，当用户活动状况与“活动简档”相比，有重大偏离时即被认为该活动可能是“入侵”行为。 异常检测的技术难点是异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。常用方法是概率统计。 6.1.2 入侵检测技术的分类 基于主机的入侵检测 基于主机的入侵检测产品（HIDS）主要用于保护运行关键应用的服务器或被重点检测的主机之上。主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律)，入侵检测系统就会采取相应措施。 主机入侵检测的优点主要表现在以下方面： 入侵行为分析能力 误报率要低 复杂性小，性能价格比高 网络通信要求低 主机入侵检测的缺点主要变现在以下几个方面。 影响保护目标 服务器依赖性 全面布署代价大 不能监控网络上的情况 6.1.2 入侵检测技术的分类 基于网络入侵检测 网络入侵检测是大多数入侵检测厂商采用的产品形式。通过捕获和分析网络包来探测攻击。网络入侵检测可以在网段或者交换机上进行监听，来检测对连接在网段上的多个主机有影响的网络通讯，从而保护那些主机。 网络入侵检测优点表现在以下几个方面: 网络通信检测能力 无需改变主机配置和性能 布署风险小，独立性和操作系统无关性 定制设备，安装简单 网络入侵检测缺点表现在以下几个方面: 不能检测不同网段的网络包 很难检测复杂的需要大量计算的攻击 协同工作能力弱 难以处理加密的会话 6.1.3 入侵检测系统的性能指标 网络入侵检测系统的性能指标主要包括3类，即准确性指标、效率指标和系统指标。 准确性指标 准确性指标在很大程度上取决于测试时采用的样本集和测试环境。样本集和测试环境不同，准确性也不相同。主要包括三个指标，即检测率、误报率和漏报率。 检测率是指被监视网络在受到入侵攻击时，