第6章 入侵检测.pptVIP

第6章 入侵检测 本章要点: 入侵检测概述 入侵检测系统的分类 入侵检测的基本组成 入侵检测产品及选购原则 IDS入侵检测系统中国IT认证实验室/www/special/ciwids.asp 本章教学目标 掌握入侵检测的相关概念和分类 掌握入侵检测的基本组成 了解入侵检测产品及选购原则 （1）尽可能靠近攻击源：网络边界 （ 2）尽可能靠近受保护资源：网络主机、局域网中枢、服务器群、广域网核心 入侵检测系统的主要功能有 　　 　　a.监测并分析用户和系统的活动； 　　 　　b.核查系统配置和漏洞； 　　 　　c.评估系统关键资源和数据文件的完整性； 　　 　　d.识别已知的攻击行为； 　　 　　e.统计分析异常行为； 　　 　　f.操作系统日志管理，并识别违反安全策略的用户活动。 硬件防火墙、硬件防毒墙和硬件入侵检测的产品有什么区别 ? 硬件防火墙:其原理是把软件防火墙嵌入在硬件中，一般的软件安全厂商所提供的硬件放火墙便是在硬件服务器厂商定制硬件，然后再把linux系统与自己的软件系统嵌入。在兼容性方面也是硬件防火墙更胜一筹，其实软件防火墙与硬件防火墙的主要区别就在于硬件。 软件防火墙只有包过滤得功能，硬件防火墙中可能还有除软件防火墙以外的其他功能，例如CF（内容过滤）IDS（入侵侦测）IPS（入侵防护）以及VPN等等的功能. 硬件防毒墙:也就是安装了专业防毒软件的硬件设备; 硬件入侵检测（Intrusion Detection）是指通过硬件设备对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测系统分类(三) 按数据来源分: 基于主机的入侵检测系统(HIDS) 基于网络的入侵检测系统(NIDS) 分布式入侵检测系统(DIDS) 分布式入侵检测系统 管理端/探测器结构. 入侵检测系统功能图 1.数据采集子系统 内容包括系统、网络、数据及用户活动的状态和行为，在计算机网络系统中的若干不同关键点收集信息。 信息来源： 系统和网络日志文件 目录和文件中的不期望的改变 程序执行中的不期望行为 物理形式的入侵信息 2.数据分析子系统 特征库匹配、基于统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。 特征库匹配 特征库匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令)，也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲，一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。 该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。 统计分析方法 首先给信息对象(如用户、连接、文件、目录和设备等)创建一个统计描述，统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。 例如，统计分析可能标识一个不正常行为，因为它发现一个在晚八点至早六点不登录的账户却在凌晨两点试图登录，或者针对某一特定站点的数据流量异常增大等。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。 完整性分析 主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数(例如MD5)，能识别极其微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其他对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。 3.控制台子系统 负责向网络管理员汇报各种网络违规行为，管理员对一些恶意行为采取行动． 主要的任务： 管理数据采集中心； 根据安全策略进行一系列的响