网络安全22入侵检测系统教案.pptVIP

吕延庆 mailto:yanqlv@ Network Security Privacy 引言 计算机安全的三大中心目标是： 保密性(Confidentiality)、完整性(Integrity)、可用性(Availability) 其中比较突出的技术有： 身份认证与识别，访问控制机制，加密技术，防火墙技术 自适应网络安全技术(动态安全技术)和动态安全模型应运而生。典型的就是P2DR模型(如图11-1所示)。 入侵检测是 动态安全技术的核心技术之一 是防火墙的合理补充 是安全防御体系的一个重要组成部分 入侵检测的发展简史 最早可追溯到1980年，James P. Anderson在一份技术报告中提出审计记录可用于检测计算机误用行为的思想，这可谓是入侵检测的开创性的先河。 Dorothy E. Denning在1987年的一篇论文[3]中提出了实时入侵检测系统模型 L. Todd Heberlien在1990年提出的NSM(Network Security Monitor) 是入侵检测发展史上又一个具有重要意义的里程碑。 IDS的作用 已知的网络安全系统(防火墙、安全评估系统、加密、身份认证)众多，为什么还要入侵检测系统？ 关于防火墙 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 入侵很容易 入侵教程随处可见 各种工具唾手可得 一个国产入侵检测系统：系统规则库的选择界面 入侵检测基本原理 入侵检测的基本概念 入侵? 企图破坏资源的完整性、保密性、可用性的任何行为，也指违背系统安全策略的任何事件。 入侵行为不仅仅是指来自外部的攻击，同时内部用户的未授权行为也是一个重要的方面 从入侵策略的角度来看，入侵可分为企图进入、冒充其它合法用户、成功闯入、合法用户的泄漏、拒绝服务以及恶意使用等几个方面。 检测? 通过从计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象，同时做出响应。 信息源是指包含有最原始的入侵行为信息的数据 主要是网络、系统的审计数据或原始的网络数据包 数据预处理是指将其转化为检测模型所接受的数据格式包括对冗余信息的去除，即数据简约 是入侵检测研究领域的关键，也是难点之一 检测模型是指根据各种检测算法建立起来的检测分析模型 它的输入一般是经过数据预处理后的数据，输出为对数据属性的判断结果 数据属性一般是针对数据中包含的入侵信息的断言 检测结果即检测模型输出的结果 由于单一的检测模型的检测率不理想，往往需要利用多个检测模型进行并行分析处理，然后对这些检测结果进行数据融合处理，以达到满意的效果。 安全策略是指根据安全需求设置的策略。 响应处理主要是指综合安全策略和检测结果所作出的响应过程 包括产生检测报告、通知管理员、断开网络连接或更改防火墙的配置等积极的防御措施 3 入侵检测系统分类 入侵检测系统的分类有多种，这里主要介绍两种： 一种是根据入侵检测系统的输入数据来源的分类 基于主机的入侵检测系统（HIDS） 基于网络的入侵检测系统（NIDS） 一种是根据入侵检测系统所采用的技术的分类 异常检测(Anomaly Detection) 误用检测(Misuse Detection) 3.1 按数据来源的分类 输入数据的来源来看，它可分为： 基于主机的入侵检测系统 基于网络的入侵检测系统。 1．基于主机的(Host-Based)入侵检测系统 基于主机的入侵检测系统(HIDS)通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计记录文件的记录与攻击签名(Attack Signature，指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配，检测系统就向系统管理员发出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件，并可对入侵事件作出立即反应。它还可针对不同操作系统的特点判断出应用层的入侵事件。 HIDS的优点和不足 早期的入侵检测系统大多都是基于主机的IDS，作为入侵检测系统的一大重要类型，它具有着明显的优点： 1) 能够确定攻击是否成功 2) 非常适合于加密和交换环境 3) 近实时的检测和响应 4) 不需要额外的硬件 5) 可监视特定的系统行为 基于主机的IDS也存在一些不足：会占用主机的系统资源，增加系统负荷，而且针对不同的操作系统必须开发出不同的应用程序，另外，所需配置的IDS数量众多。但是对系统内在的结构没有任何的约束，同时可以利用操作系统本身提供的功能，并结合异常检测分析