第5章 入侵检测.pptVIP

第五章 入侵检测系统 李 剑 北京邮电大学信息安全中心 E-mail: securitydoctor@163.com 010目 录 一. 入侵检测概述 二. 入侵检测技术 三. IDS的标准化 四. 入侵检测的发展 入侵检测 入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和防火墙和路由器配合工作。 入侵监测系统(IDS，Intrusion Detection System)与系统扫描器(System Scanner)不同。系统扫描器是根据攻击特征数据库来扫描系统漏洞的，它更关注配置上的漏洞而不是当前进出主机的流量。在遭受攻击的主机上，即使正在运行着扫描程序，也无法识别这种攻击。IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。网络扫描器检测主机上先前设置的漏洞，而IDS监视和记录网络流量。如果在同一台主机上运行IDS和扫描器，配置合理的IDS会发出许多报警。 5.1 入侵检测概述 入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。它可以防止或减轻上述的网络威胁。 5.1.1 为什么需要入侵检测系统 政府、银行、大企业等机构都有自己的内网资源。企业经常在防火墙系统上投入大量的资金，在因特网入口处部署防火墙系统来保证安全， 依赖防火墙建立网络的组织往往是“外紧内松”，无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性，从外面看似非常安全，但内部缺乏必要的安全措施。据统计，全球80%以上的入侵来自于内部。由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于企业内部人员所做的攻击，防火墙形同虚设。 入侵检测是对防火墙及其有益的补充，入侵检测系统能使在入侵攻击对系统发生危害前检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。 5.1.1 为什么需要入侵检测系统 对防火墙和入侵检测系统的联系有一个经典的比喻：防火墙相当于一个把门的门卫，对于所有进出大门的人员进行审核，只有符合安全要求的人，就是那些有入门许可证的人才可以进、出大门； 门卫可以防止小偷进入大楼，但不能保证小偷100%地被拒之门外,而且对于那些本身就在大门内部的，以及那些具备入门证的、以合法身份进入了大门的人，是否做好事也无法监控，这时候就需要依靠入侵检测系统来进行审计和控制,及时发现异常情况并发出警告。 5.1.2 入侵检测的概念 　本文中的“入侵”是个广义的概念，不仅包括被发起攻击的人（如恶意的黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问（Denial of Service）等对计算机系统造成危害的行为。 　　入侵检测，顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能简化管理员的工作，保证网络安全的运行。 5.1.2 入侵检测的概念 由于入侵检测系统的市场在近几年中飞速发展，许多公司投入到这一领域上来。除了国外的ISS、axent、NFR、思科(Cisco)等公司外，国内也有数家公司（如启明星辰、中联绿盟、中科网威等）推出了自己相应的产品。但就目前而言，入侵检测系统还缺乏相应的标准。 目前，试图对IDS进行标准化的工作有两个组织：IETF的IDWF (Intrusion Detection Working Group)和CIDF (Common Intrusion Detection Framework)，但进展非常缓慢，尚没有被广泛接收的标准出台。 5.1.3 入侵检测的历史 从实验室原型研究到推出商业化产品、走向市场并获得广泛认同，入侵检测系统已经走过了二十多年的风雨坎坷路。 　1. 概念的诞生 1980年4月，James P. Anderson为美国空军做了一份题为《计算机安全威胁监控与监视》（Computer Security Threat Monitoring and Surveillance