密码学入侵检测分析.pptVIP

《网络信息安全》教程第九章 入侵检测分析 石 鉴 南开大学信息管理与信息系统系 e-mail:shih@ 入侵检测技术IDS 1、定义： 入侵检测是通过从计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到入侵的迹象的一种安全技术。 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力。（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击外部攻击和误操作的实时保护。 入侵检测也是保障系统动态安全的核心技 术之一。 IDS通常执行以下任务： . 监视、分析用户及系统活动； . 系统构造和弱点的审计； . 识别反映已知进攻的活动模式并报警； . 异常行为模式的统计分析； . 评估重要系统和数据文件的完整性； . 操作系统的审计跟踪管理，并识别用户； 违反安全策略的行为； 传统安全防范技术的不足： .传统的操作系统加固技术和防火墙隔离 技术，等都是静态安全防御技术对网络 环境下日新月异的攻击手段缺乏主动的 反应； .入侵检测技术通过对入侵行为的过程与 特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应； 2 IDS的分类 2.1 基于网络的IDS 基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击，IDS应答模块通过通知、报警以及中断连接等方式来对攻击作出反应。 基于网络的入侵检测系统的主要优点有： （1） 成本低 （2） 攻击者转移证据很困难 (3) 实时检测和应答。一旦发生恶意访问或攻击，基于网络的IDS检测可以随时发现它们因此能够更快地作出反应从而，将入侵活动对系统的破坏减到最低。 (4)能够检测未成功的攻击企图。 (5)操作系统独立。基于网络的IDS并不依赖主机的操 作系统作为检测资源，而基于主机的系统需要特定的 操作系统才能发挥作用。 2.2 .基于主机的IDS 基于主机的IDS的主要优势有： .(1)非常适用于加密和交换环境； .(2)接近实时的检测和应答； .(3)不需要额外的硬件； 2.3 两种入侵检测技术的比较 .基于网络的IDS可以研究负载的内容，查找特定攻击中使用的命令或语法。这类攻击可以被实时检查包序列的IDS迅速识别，而基于主机的系统无法看到负载， 因此也无法识别嵌入式的负载攻击。 2.4 两种类型IDS的结合 .在新一代的入侵检测系统中，将把现在 的基于网络和基于主机这两种检测技术 很好地集成起来，提供集成化的攻击签 名、检测、报告和事件关联功能。 3. 深入了解入侵检测技术 3.1 信息收集 入侵检测利用的信息一般来自以下四个方面： .系统和网络日志文件 .目录和文件中的不期望的改变 .程序执行中的不期望行为 .物理形式的入侵信息 3.1.1.系统和网络日志文件 3.1.2.目录和文件中非正常的改变 3.1.3.程序执行中的不期望行为 3.1.4. 物理形式的入侵信息 3.2 信号分析 对上述四类收集到的有关系统、网络、 数据及用户活动的状态和行为等信息， 一般通过三种技术手段进行分析：模式 匹配、统计分析和完整性分析。其中前 两种方法用于实时的入侵检测，而完整 性分析则用于事后分析。 3.2.1. 模式匹配 模式匹配就是将收集到的信息与已知 的网络入侵和系统误用模式数据库进行 比较，从而发现违背安全策略的行为。 该过程可以很简单（如通过字符串匹配 以寻找一个简单的条目或指令），也可 以很复杂（如利用正规的数学表达式来 表示安全状态的变化）。 一般来讲，一种进攻模式可以用一个过程 （如执行一条指令）或一个输出（如获得权限） 来表示。该方法的一大优点是：只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是该方法存在的弱点是，需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。 3.2.2.统计分析 统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。 3.2.3 完整性分析 完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。 典型产品 ISS RealSecure(WinNT) Axent Netproler(WinNT) Cisco NetRanger(Uni