入侵检测概述汇总.pptVIP

计算机与通信工程学院 实时监控非法入侵的过程示意图 报警 日志记录 攻击检测 记录入侵 过程 重新配置 防火墙 路由器 内部入侵 入侵检测 记录 终止入侵 计算机与通信工程学院 IDS监控非法入侵的案例 2001年4月，广东某ISP和某数据分局的网络系统受到入侵攻击。 计算机与通信工程学院 从不知 到有知 从被动 到主动 从事后 到事前 从预警 到保障 入侵检测发挥的作用 计算机与通信工程学院 从不知 到有知 入侵检测发挥的作用 技术层面：对具体的安全技术人员，可以利用IDS做为工具来发现安全问题、解决问题。 计算机与通信工程学院 入侵检测发挥的作用 管理层面：对安全管理人员来说，是可以把IDS做为其日常管理上的有效手段。 从被动 到主动 计算机与通信工程学院 入侵检测发挥的作用 领导层面：对安全主管领导来说，是可以把IDS做为把握全局一种有效的方法，目的是提高安全效能。 从事后 到事前 计算机与通信工程学院 入侵检测发挥的作用 意识层面：对政府或者大的行业来说，是可以通过IDS来建立一套完善的网络预警与响应体系，减小安全风险。 从预警 到保障 计算机与通信工程学院 监控室=控制中心 Card Key 入侵检测系统的作用 监控前门和保安 监控屋内人员 监控后门 监控楼外 计算机与通信工程学院 1.2 入侵检测系统在信息安全中的地位 P2DR2安全模型与入侵检测系统关系 目前普遍采用动态网络安全理论来确保网络系统的安全,这种理论就是基于P2DR2 安全模型的动态信息安全理论。P2DR2 模型是在整体的安全策略( Policy) 的控制和指导下,在综合运用防护工具(Protection ,如防火墙、操作系统身份认证、加密等手段) 的同时,利用检测工具(Detection ,如漏洞评估、入侵检测等系统) 了解和评估系统的安全状态,通过适当的响应(Response) 将系统调整到“最安全”和“风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环。 计算机与通信工程学院 传统安全技术的局限性 (1) 防火墙无法阻止内部人员所做的攻击 防火墙保护的是网络边界安全，对在网络内部所发生的攻击行为无能为力，而据调查，网络攻击事件有80%以上是由内部人员所为。 (2) 防火墙对信息流的控制缺乏灵活性 防火墙是依据管理员定义的过滤规则对进出网络的信息流进行过滤和控制的。如果规则定义过于严格，则限制了网络的互连互通；如果规则定义过于宽松，则又带来了安全隐患。防火墙自身无法根据情况的变化进行自我调整。 计算机与通信工程学院 传统安全技术的局限性 (3) 在攻击发生后，利用防火墙保存的信息难以调查和取证 在攻击发生后，能够进行调查和取证，将罪犯绳之以法，是威慑网络罪犯、确保网络秩序的重要手段。防火墙由于自身的功能所限，难以识别复杂的网络攻击并保存相关的信息。 计算机与通信工程学院 1.3 入侵检测系统的基本原理与工作模式 1.3.1 入侵检测系统的基本原理 入侵检测系统基本的工作原理如图1.5所示。主要分为四个阶段：数据收集、数据处理、数据分析和响应处理。 计算机与通信工程学院 1.3 入侵检测系统的基本原理与工作模式 (1) 数据收集：数据收集是入侵检测的基础，通过不同途径收集的数据，很可能需要采用不同的方法进行分析。目前的数据主要有主机日志、网络数据包、应用程序数据、防火墙日志等。 (2) 数据处理：数据收集过程中得到的原始数据量一般非常大，而且还存在噪声。为了全球下一步的分析，需要从原始数据中去除冗余、噪声，并且进行格式化及标准化处理。 (3) 数据分析：采用统计、智能算法行装　方法分析经过初步处理的数据，检查数据是否正常，或显示存在入侵。 (4) 响应处理：当发现入侵时，采取措施进行防护、保留入侵证据及通知管理人员。常用　的措施包括切断网络连接、记录日志、通过电子邮件或电话通知等。 计算机与通信工程学院 入侵检测系统的基本工作模式 入侵检测系统的基本工作模式为：(1)从系统的不同环节收集信息；(2)分析该信息，试图寻找入侵活动的特征；(3)自动对检测到的行为做出响应；(4)纪录并报告检测过程结果。如图1.6所示。 计算机与通信工程学院 入侵检测的分类 入侵 计算机与通信工程学院 根据入侵检测技术分类 根据入侵检测系统所采用的技术可分为特征误用检测、异常检测和协议分析三种。 (1) 误用检测 误用检测(Misuse detection) 又称为特征检测(Signature-based detection)，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动