入侵检测系统及应用论文.ppt

入侵检测系统及应用 本章介绍的入侵检测系统是对防火墙极其有益的补充，能对非法入侵行为进行全面的监测和防护。在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击；在入侵攻击过程中，能减少入侵攻击所造成的损失；在被入侵攻击后，收集入侵攻击的相关信息，增强系统的防范能力，避免系统再次受到入侵。本章重点如下: 什么是入侵检测系统及主要类型 主要入侵检测技 主要入侵检测模型及各自特点 入侵检测技术的未来发展方向 入侵检测原理 主要入侵检测系统的应用 4.1 入侵检测系统（IDS）基础 入侵检测系统（IDS，Intrusion Detection Systems）是目前预防黑客攻击应用最为广泛的技术之一。 4.1.1 入侵检测系统概述 入侵检测（Intrusion Detection，ID）就是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（IDS）。  入侵检测系统通常包含3个必要的功能组件：信息来源、分析引擎和响应组件。目前，IDS策略按检测范围分为十二大类，其中包含了1400余种入侵规则，包括TCP、UDP、ICMP、IPX、HTTP、FTP、Telnet、SMTP、NFS、rsh、DNS、POP2、POP3、IMAP、TFTP、Finger、SSL、NETBIOS等协议类型。 本节详细内容参见书本P126页。 4.1.2 主要入侵检测技术 入侵检测系统中最核心的问题是数据分析技术，包括对原始数据的同步、整理、组织、分类以及各种类型的细致分析，提取其中所包含的系统活动特征或模式，用于对正常和异常行为的判断。采用哪种数据分析技术，将直接决定系统的检测能力和效果。 ?数据分析技术主要分为两类：误用检测（Misuse Detection）和异常检测（Anomaly Detection）。误用检测搜索审计事件数据，查看是否存在预先定义的误用模式，其典型代表是特征模式匹配技术、协议分析技术和状态协议分析技术等；异常检测提取正常模式审计数据的数学特征，检查事件数据是否存在与之相违背的异常模式，其典型代表有统计分析技术、数据重组技术、行为分析技术。  除了以上两类主要数据分析技术外，研究人员还提出了一些新的分析技术，如免疫系统、基因算法、数据挖掘、基于代理的检测等。本节详细内容参见书本P126~P129页。 4.1.3 主要入侵检测模型 如果按照检测对象划分，入侵检测技术又可分为“基于主机的检测”、“基于网络的检测”和“混合型检测”三大类。  1. 基于主机的检测（HIDS） 基于主机的入侵检测系统是早期的入侵检测系统结构，通常是软件型的，直接安装在需要保护的主机上。其检测的目标主要是主机系统和系统本地用户，检测原理是根据主机的审计数据和系统日志发现可疑事件。 这种检测方式的优点主要有：信息更详细、误报率要低、部署灵活。这种方式的缺点主要有：会降低应用系统的性能；依赖于服务器原有的日志与监视能力；代价较大；不能对网络进行监测；需安装多个针对不同系统的检测系统。 2. 基于网络的检测（NIDS） 基于网络的入侵检测方式是目前一种比较主流的监测方式，这类检测系统需要有一台专门的检测设备。 检测设备放置在比较重要的网段内，不停地监视网段中的各种数据包，而不再是只监测单一主机。它对所监测的网络上每一个数据包或可疑的数据包进行特征分析，如果数据包与产品内置的某些规则吻合，入侵检测系统就会发出警报，甚至直接切断网络连接。目前，大部分入侵检测产品是基于网络的。 这种检测技术的优点主要有：能够检测那些来自网络的攻击和超过授权的非法访问；不需要改变服务器等主机的配置，也不会影响主机性能；风险低；配置简单。其缺点主要是：成本高、检测范围受局限；大量计算，影响系统性能；大量分析数据流，影响系统性能；对加密的会话过程处理较难；网络流速高时可能会丢失许多封包，容易让入侵者有机可乘；无法检测加密的封包；对于直接对主机的入侵无法检测出。 3. 混合型（Hybrid） 基于网络的入侵检测和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。但是它们可以互补构成一套完整的主动防御体系，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。 本节详细内容参见书本P129~P131页。 4.1.4 当前入侵检测技术的不足 目前的IDS还