网络信息安全课件Netsec资料.pptVIP

* 入侵检测技术 误用检测(misuse detection) 也称为基于特征的检测(signature-based detection) 建立起已知攻击的特征库 判别当前行为活动是否符合已知的攻击特征 异常检测(anomaly detection) 也称为基于行为的检测(behavior-based detection) 首先建立起系统的正常模式轮廓 若实时获得的系统或用户的轮廓值与正常值的差异超出指定的阈值，就进行入侵报警 误用检测 目前研究工作比较多，并且已经进入实用 建立起已有攻击的模式特征库 难点在于：如何做到动态更新，自适应 常用技术 基于简单规则的模式匹配技术 基于专家系统的检测技术 基于状态转换分析的检测技术 攻击特征提取 专家提取 自动提取方法(研究热点) IDS 工作原理－模式匹配 单模式匹配 KMP算法 Knuth-Morris-Pratt BM算法 Boyer-Moore 多模式匹配 AC算法 Aho-Corasick 基于FSA(有限状态机)，对文本串扫描一次就可以找出匹配的所有模式 正则表达式的匹配 正则表达式能够用来描述符合某类句法规则的字符串集，支持描述更为广泛的负载特征，这使得其能够广泛应用于入侵检测/入侵防御、病毒检测、协议识别等系统中。 构造正则表达式对应的自动机来解决正则表达式的匹配问题是流行的技术解决手段 基于NFA的技术易于实现，占用状态存储空间较少，但匹配速度较慢。 基于DFA的技术具有较快的匹配速度，但会引发状态数量呈指数增加。 异常检测 比较符合安全的概念，但是实现难度较大 正常模式的知识库难以建立 难以明确划分正常模式和异常模式 常用技术 统计方法 预测模式 神经网络 入侵检测系统的种类 基于网络的入侵检测系统(NIDS) IDS可以放在防火墙或者网关的后面，以网络嗅探器的形式捕获所有的对内对外的数据包 基于网络的入侵检测系统结构示意图 基于审计的入侵检测系统结构示意图 基于主机的入侵检测系统(HIDS) 安全操作系统必须具备一定的审计功能，并记录相应的安全性日志 基于内核 从操作系统的内核接收数据 基于应用 从正在运行的应用程序中收集数据 分布式入侵检测系统(DIDS) 分布式入侵检测系统结构示意图 入侵检测系统的部署位置 当实际使用检测系统时，首先面临的问题就是决定应该在系统的什么位置安装检测和分析入侵行为用的感应器Sensor或检测引擎Engine。 对于基于主机的IDS，一般来说直接将检测代理安装在受监控的主机系统上。 对于基于网络的IDS，情况稍微复杂 IDS的布局 Firewall Router Switch-1 Switch-2 Servers Network IDS Server Internet 1 2 3 4 ① 检测所有通信，可由Fw阻断 ② 检测所有通信，但已无法阻断 ③检测交换机1的通信 ④检测网段2所有通信 网络入侵防御系统IPS IDS与IPS IDS: 旁路监听，只起到Detection机制 侧重低漏报率，造成误报率较高 对使用者技术水平要求较高，应急响应及时 IPS:内联模式，实时处置数据包 侧重低误报率（对正常业务不造成影响） 高效的处理性能 即插即用，无需使用者参与 1．Snort概述 Snort是一个轻量级网络入侵检测系统，具有实时数据流分析和日志IP 网络数据包的功能，能够进行协议分析和内容搜索匹配，能够检测不同的攻击方式并对攻击进行实时报警。此外Snort 是一个跨平台、开放源代码的免费软件，所以Snort还具有很好的扩展性和可移植性。 2．Snort的结构 Snort主要包括四个模块：数据包嗅探器、预处理器、检测引擎和报警输出模块。 入侵检测系统实例Snort 入侵检测系统实例Snort 基本工作流程 数据包嗅探器 预处理器 检测引擎 报警/日志输出 下面分别介绍数据包嗅探器、预处理器、检测引擎、报警/日志输出各个组成模块的工作原理。 （1）数据包嗅探器模块 （2）预处理器模块 （3）检测引擎模块 （4）报警/日志输出模块 数据包嗅探器模块主要用来实现网络数据包捕获和解析的功能。将捕获的网络数据包按照TCP/IP协议族的不同层次进行解析。 预处理模块针对可疑行为检查包或者修改包以便检测引擎能对其正确解释，还可以对网络流进行标准化，以便检测引擎能够准确匹配特征。 检测引擎模块是入侵检测系统实现的核心，当数据包从预处理器送过来后，检测引擎依据预先设置的规则检查数据包，一旦发现数据包中的内容和某条规则相匹配，就通知报警模块。 检测引擎检查后的Snort数据需要以某种方式输出。 入侵检测系统实例Snort 3．Snort的规则结构