第8章 系统入侵检测与防御.pptVIP

入侵检测的定义 入侵检测的概念最早由Anderson在1980年提出，是指对入侵行为的发觉，并对此做出反应的过程。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。 入侵检测系统主要功能 （1）监视并分析用户和系统的活动。 （2）检查系统配置和漏洞。 （3）识别已知的攻击行为并报警。 （4）异常行为模式的统计分析。 （5）评估系统关键资源和数据文件的完整性。 （6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 基于主机的入侵检测系统 基于主机的入侵检测系统（Host-based Intrusion Detection System）为早期的入侵检测系统结构，其检测的目标主要是主机系统和系统本地用户。检测原理是根据主机的审计数据和系统的日志发现可疑事件，检测系统可以运行在被检测的主机或单独的主机上，基本过程如图8.1所示。 基于主机的入侵检测系统的弱点 （1）主机入侵检测系统安装在我们需要保护的设备上，如当一个数据库服务器要保护时，就要在服务器本身上安装入侵检测系统。这会降低应用系统的效率。此外，它也会带来一些额外的安全问题，安装了主机入侵检测系统后，将本不允许安全管理员有权力访问的服务器变成他可以访问的了。 （2）主机的审计信息弱点，如易受攻击，入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。 （3）主机入侵检测系统依赖于服务器固有的日志与监视能力，且只能对服务器的特定的用户、应用程序执行动作、日志进行检测，所能检测到的攻击类型受到限制。 （4）主机入侵检测系统除了监测自身的主机以外，根本不监测网络上的情况，不能通过分析主机审计记录来检测网络攻击（如域名欺骗、端口扫描等）。 （5）全面部署主机入侵检测系统代价较大，企业中很难将所有主机用主机入侵检测系统保护，只能选择部分主机保护。那些未安装主机入侵检测系统的机器将成为保护的盲点，入侵者可利用这些机器达到攻击目标。 基于网络的入侵检测系统 随着计算机网络技术的发展，单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。从而人们提出了基于网络入侵检测系统体系结构，这种检测系统根据网络流量、单台或多台主机的审计数据检测入侵。基于网络的入侵检测系统（NIDS）放置在比较重要的网段内，不停地监视网段中的各种数据包。对每一个数据包进行特征分析。如果数据包与系统内置的某些规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接。目前，大部分入侵检测系统是基于网络的。 基于网络的入侵检测系统 图8.2中的探测器由过滤器、网络接口引擎器以及过滤规则决策器构成，探测器的功能是按一定的规则从网络上获取与安全事件相关的数据包，然后传递给分析引擎器进行安全分析判断。分析引擎器将从探侧器上接收到的包结合网络安全数据库进行分析，把分析的结果传递给配置构造器。配置构造器按分析引擎器的结果构造出探测器所需要的配置规则。 基于网络的入侵检测系统的优点 （1）平台无关性。 （2）成本低、配置简单。 （3）检测的攻击标记标识较多。 （4）实时性的检测和响应。 基于网络入侵检测系统的缺点 （1）不适用于交换的网络环境。 （2）网络入侵检测系统不适用于加密的网络环境。 （3）网络入侵检测系统为了性能目标通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。 （4）网络流量较大时，处理能力有限。 混合型入侵检测系统 基于主机的IDS和基于网络的IDS各有优缺点，且具有互补性。基于网络的IDS能够独立于主机，不影响主机性能，并且监控范围广，能够客观地反映网络活动，特别是能够监视到系统审计的盲区;而基于主机的IDS能够更加精确地监视系统中的各种活动，不会因为网络流量的增加而放弃对网络行为的监视，并且可以用于加密环境。因此，为了克服两者的不足造成防御体系的不全面，20世纪90年代以后，许多大型的分布式入侵检测系统都是混合型的入侵检测系统。混合型入侵检测系统集基于主机的IDS和基于网络的IDS的优点于一身，即可以发现网络中的攻击信息，也可以从系统日志中发现异常情况，从而大大提高了入侵检测系统的功能。 入侵响应 被动响应入侵检测系统 被动响应系统只会发出告警通知，将发生的异常情况报告给管理员，本身并不试图降低所造成的破坏，更不会主动地对攻击者采取反击行动，而由管理员决定是否采取下一步行