10入侵检测系统资料精要.ppt

第10讲 入侵检测技术 杨 明 紫金学院计算机系 内容 入侵检测的概念 入侵检测原理 入侵检测系统 入侵检测存在的必然性 网络攻击的破坏性、损失的严重性 日益增长的网络安全威胁 入侵变得更容易 单纯的防火墙无法防范复杂多变的攻击 自身可以被攻破 不是所有的威胁来自防火墙外部 作用 能对非法入侵行为进行全面的监测和防护。 在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击； 在入侵攻击过程中，能减少入侵攻击所造成的损失； 在被入侵攻击后，收集入侵攻击的相关信息，增强系统的防范能力，避免系统再次受到入侵。 入侵检测的概念 入侵行为 试图非法进入和使用受保护系统 入侵者来自外部网络，也可能内部 物理侵入、本地系统侵入或远端侵入 入侵检测（Intrusion Detection） 是对入侵行为的发觉 它从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测的软/硬件组合体称为入侵监测系统（IDS）。 入侵检测的起源 审计技术 产生、记录并检查按时间顺序排列的系统事件记录的过程 审计的目标 确定和保持系统活动中每个人的责任 重建事件 评估损失 监测系统的问题区 提供有效的灾难恢复 入侵检测起源 1980年，概念的诞生 1980年4月，James P. Anderson 《Computer Security Threat Monitoring and Surveillance》 1984～1986年，模型的发展 研究出了一个实时入侵检测系统模型—IDES（入侵检测专家系统） 1990年，形成网络IDS和主机IDS两大阵营 1990，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM（Network Security Monitor），第一次直接将网络流作为审计数据来源，可监控异种主机上的入侵。 九十年代后至今，百家争鸣、繁荣昌盛 IDS基本结构 入侵检测系统包括三个功能部件 信息收集、信息分析和结果处理 信息收集：收集内容包括系统、网络、数据及用户活动的状态和行为。 信息分析：收集到的信息，被送到检测引擎，检测引擎一定的技术方法进行分析，当检测到某种误用模式时，产生一个告警并发送给控制台。 结果处理：控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。 信息收集 入侵检测很大程度上依赖于收集信息的可靠性和正确性 需要在计算机网络系统中的若干不同关键点收集信息 从一个源来的信息有可能看不出疑点 信息收集的来源 系统或网络的日志文件 网络数据流 系统目录和文件的异常变化 程序执行中的异常行为 信息分析 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为 统计分析 首先给系统对象（如用户、文件等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等） 测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生 完整性分析（事后分析） 关注某个文件或对象是否被更改 入侵检测系统的结构 入侵检测性能关键参数 误报 如果系统错误地将正常和异常活动认为是入侵 漏报 如果系统未能检测出入侵行为 入侵检测的关键技术 入侵检测系统中最核心的问题是数据分析技术 包括对原始数据的同步、整理、组织、分类以及各种类型的细致分析，提取其中所包含的系统活动特征或模式，用于对正常和异常行为的判断。 ? 数据分析技术主要分为异常检测和误用检测两类 异常检测提取正常模式审计数据的数学特征，检查事件数据是否存在与之相违背的异常模式，其典型代表有统计分析技术、数据重组技术、行为分析技术。 误用检测搜索审计事件数据，查看是否存在预先定义的误用模式，其典型代表是特征模式匹配技术、协议分析技术和状态协议分析技术等； 入侵检测原理 异常检测 误用检测 异常检测 基本方法 根据异常行为和使用计算机资源的情况检测出入侵行为，试图用定量的方式描述可以接受的行为特征，以区分非正常的、潜在的入侵行为。 建立主体正常活动的“行为模型”或轮廓。进行检测时，将当前主体活动状况与“行为模型”比较，发生显著偏离时则认为该活动可能是入侵行为。 异常检测 工作过程 首先收集一段时期正常操作活动的历史记录，再建立代表用户、主机或网络连接的正常行为轮廓； 然后收集事件数据并使用一些不同的方法来决定所检测到的事件活动是否偏离了正常行为模式 其难点在于如何建立“行为模型”以及如何设计统计方法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。 异常检测 常用的方法和技