第7章(IDS)摘要.pptVIP

7.5入侵检测系统概述 防火墙的缺陷怎么办？ 防火墙就像一道门，它可以阻止一类人群的进入，但无法阻止同一类人群中的破坏分子，不能阻止内部的破坏分子；访问控制系统可以阻止低级权限的用户做越权工作，但无法保证高级权限的用户做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限 安全的必要手段之一：入侵检测系统 7.5 入侵检测系统概述 入侵检测（Intrusion Detection），是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是IDS（Intrusion Detection System）。 入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。 IDS系统 IDS系统（实时入侵检测) 优点 对重要服务的攻击企图能及时发现 能进行系统受攻击程度的量化 对攻击进行一定的取证 弥补防火墙的不足 缺点 一般无法防止未知的攻击 不正确的使用等于无用 误报和漏报 入侵检测系统的主要功能 监测并分析用户和系统的活动； 核查系统配置和漏洞； 评估系统关键资源和数据文件的完整性； 识别已知的攻击行为； 统计分析异常行为； 操作系统日志管理，并识别违反安全策略的用户活动 入侵检测系统（IDS）的通用模型 事件产生器（Event generators） 事件分析器（Event analyzers） 响应单元（Response units） 事件数据库（Event databases） IDS的分类 入侵检测系统分为主机型和网络型两种 主机型IDS是安装在服务器或PC机上软件，监测到达主机的网络信息流； 网络型IDS一般配置在网络入口处（路由器）、或网络核心交换处（核心交换路由）监测网络上的信息流。 IDS的工作原理 1．网络IDS 网络IDS是网络上的一个监听设备（或一个专用主机），通过监听网络上的所有报文，根据协议进行分析，并报告网络中的入侵者或非法使用者信息，担负着保护整个网段的任务。 网络IDS系统 网络IDS系统主要有两大职责： 一是实时监测，实时地监视、分析网络中所有的数据报文，发现并实时处理所捕获的数据报文； 二是安全审计，IDS系统对记录的网络事件进行统计分析，发现其中的异常现象，得出系统的安全状态，找出所需要的证据。 目前网络IDS常用的分析方法分为两大类：基于知识的数据模式判断方法和基于行为的行为判断方法。前者大量用于商业IDS系统，后者多用于研究系统。 基于数据模式判断IDS 根据数据模式判断的IDS，首先通过分析总结建立网络中非法使用者（入侵者）的工作方法，即数据模型，并将网络中读取的数据进行比较，匹配成功的就报告事件，原理如图 基于行为准则判断的IDS 统计行为判断是根据上面模式匹配的事件，在进行统计分析时，根据已知非法行为的规则，判断出非法行为。 异常行为判断是根据平时统计的各种信息，得出正常网络行为准则，当遇到违背这种准则的事件发生时，报告非法行为事件。显然，异常行为判断方法能够发现未知的网络非法行为，但系统必须具有正常规则统计和自我学习功能。 网络IDS企业内部典型安装 IDS阻断入侵示意图 2．主机IDS 主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以包括其他资源（如网络、文件、进程），从所在的主机收集信息进行分析，通过查询、监听当前系统的各种资源的使用、运行状态，发现系统资源被非法使用和修改的事件，并进行上报和处理。主机型入侵检测系统保护的一般是所在的系统。 主机IDS监测方式 通过截获本系统的网络数据 通过扫描、监听本地磁盘文件操作 通过轮询等方式监听系统的进程及其参数 通过查询系统各种日志文件，包括监测日志文件的内容和状态 1．IDS逻辑结构 从功能上可以分为两大部分：引擎和控制中心。前者用于读取原始数据和产生事件，后者用于显示和分析事件以及策略定制等 IDS引擎的主要功能 读取原始数据、分析数据、产生事件、策略匹配、事件处理、通信等功能，IDS工作过程如图 IDS控制中心的主要功能 IDS部署结构 IDS的体系结构按照引擎和控制中心的分布，可以分为单机和分布式两种 单机结构IDS引擎和控制中心在一个系统之上，不能远距离操作，只能在现场进行操作。分布式结构IDS引擎和控制中心分布在不同系统之上，通过网络通信，可以远距离查看和操作。目前的大多数IDS系统都是分布式的。 IDS部署结构（续） 根据控制中心的结构不同，IDS又可以分为单级和多级控制结构。单级结构控制中心直接控制探测引擎，不能控制其他的子控制中心。多