网络安全11-入侵检测.pptVIP

网络安全 罗 敏 武汉大学计算机学院 第10章 防火墙技术 重点回顾 防火墙技术概述 防火墙的结构 构建防火墙 防火墙产品 第11章 入侵检测技术 本章介绍动态安全技术的典型代表——入侵检测技术，详细分析入侵检测的定义、原理与系统构成、基本功能、分类。同时对目前市场上的商业入侵检测产品进行了分类与优劣分析。 第11章 入侵检测技术 11.1 入侵检测技术概述 11.2 入侵检测分类与评估 11.3 入侵检测产品概况 11.4 入侵检测产品 11.1 入侵检测技术概述 入侵检测技术的起因 传统网络安全技术存在着与生俱来的缺陷 程序的错误 配置的错误 需求的变化决定网络不断发展 产品在设计阶段可能是基于一项较为安全的技术 但当产品成型后，网络的发展已经使得该技术不再安全 传统的网络安全技术是属于静态安全技术，无法解决动态发展网络中的安全问题 11.1 入侵检测技术概述 入侵检测的定义 入侵检测是用来发现外部攻击与内部合法用户滥用特权的一种方法 它还是一种增强内部用户的责任感及提供对攻击者的法律诉讼依据的机制 11.1 入侵检测技术概述 入侵检测的特点 入侵检测是一种动态的网络安全技术 它利用各种不同类型的引擎，实时地或定期地对网络中相关的数据源进行分析，依照引擎对特殊的数据或事件的认识，将其中具有威胁性的部分提取出来，并触发响应机制 入侵检测的动态性 入侵检测的实时性 对网络环境的变化具有一定程度上的自适应性 11.1 入侵检测技术概述 入侵检测的内容 外部攻击检测 内部特权滥用检测 11.1 入侵检测技术概述 入侵检测的内容 外部攻击检测 外部攻击与入侵是指来自外部网络非法用户的威胁性访问或破坏 外部攻击检测的重点在于检测来自于外部的攻击或入侵 11.1 入侵检测技术概述 入侵检测的内容 内部特权滥用检测 内部特权滥用是指网络的合法用户在不正常的行为下获得了特殊的网络权限并实施威胁性访问或破坏 内部特权滥用检测的重点集中于观察授权用户的活动 11.1 入侵检测技术概述 入侵检测的功能 检测和分析用户和系统的活动 识别反映已知攻击的活动模式 非正常活动模式的统计分析 通过对操作系统的审计，分析用户的活动、识别违规操作 审计系统配置和脆弱性、评估关键系统和数据文件的一致性 11.1 入侵检测技术概述 入侵检测技术原理与系统构成 原理图 11.1 入侵检测技术概述 IDS原理 入侵检测的技术的核心在于入侵检测过程 对行为与状态的综合分析是基于 知识的智能推理 神经网络理论 模式匹配 异常统计 11.1 入侵检测技术概述 IDS原理 技术分析的依据 历史知识 现有的行为状态 实时的监测是保证入侵检测具有实时性的主要手段 根据实时监测的记录不断修改历史知识保证了入侵检测具有自适应性 11.1 入侵检测技术概述 系统构成 11.1 入侵检测技术概述 IDS的构成 信息采集部件 对各类复杂、凌乱的信息进行格式化并交付于入侵分析部件 入侵分析部件 按着部件内部的分析引擎进行入侵分析，当信息满足了引擎的入侵标准时就触发了入侵响应机制 入侵响应部件 当入侵分析部件发现入侵后，由入侵响应部件根据具体的情况做出响应 响应部件同信息采集部件一样都是分布于网络中，甚至与信息采集部件集成在一起 11.2 入侵检测分类与评估 IDS引擎分类 误用检测 异常检测 11.2 入侵检测分类与评估 IDS引擎分类 误用检测 首先根据已知的入侵，定义由独立的事件、事件的序列、事件临界值等通用规则组成的入侵模式 然后观察能与入侵模式相匹配的事件，达到发现入侵的目的 入侵模式需要定期更新 11.2 入侵检测分类与评估 IDS引擎分类 异常检测 原理 通过检查统计量的偏差，从而检测出不正常的行为 其实现的方法 将各个主体、对象的行为量化 以历史数据设定期望值 将与期望值有偏差的行为定义为入侵 IDS引擎对比—误用检测 优点 误用检测具有很强的可分割性、独立性，可缩小模式数据库规模 具有很强的针对性，对已知的入侵方法检测效率很高 有能力提供模糊入侵检测引擎 缺点 可测量性与性能都和模式数据库的大小和体系结构有关 可扩展性差 通常不具备自学习能力，对新攻击的检测分析必须补充模式数据库 攻击行为难以模式化 IDS引擎对比—异常检测 优点 符合数据的异常变化理论，适合事物的发展规律 检查算法比较普适化，对变量的跟踪不需要大量的内存 有能力检测与响应某些新的攻击 缺点 数据假设可能不合理，加权算法在统计意义上可能不准确 对突发性正常事件容易引起误判断 对长期、稳定的攻击方法灵敏度低 11.2 入侵检测分类与评估 实现方式分类 基于主机的IDS （HIDS） 安装在被重点检测的主机之上 对该主机的网络实时连