入侵检测及可信计算.pptVIP

访问控制与网络安全技术(2) 严飞 武汉大学计算机学院 Yfpostbox(AT) 主要内容 访问控制技术 防火墙技术 VPN技术 入侵检测技术 一种新的网络安全技术 4.入侵检测技术 4.1 入侵检测技术概述 4.2 入侵检测分类与评估 4.3 入侵检测产品概况 4.1 入侵检测技术概述 入侵检测技术的起因 传统网络安全技术存在着与生俱来的缺陷 程序的错误 配置的错误 需求的变化决定网络不断发展 产品在设计阶段可能是基于一项较为安全的技术 但当产品成型后，网络的发展已经使得该技术不再安全 传统的网络安全技术是属于静态安全技术，无法解决动态发展网络中的安全问题 4.1 入侵检测技术概述 关于防火墙 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 入侵很容易 入侵教程随处可见 各种工具唾手可得 4.1 入侵检测技术概述 网络安全工具的特点 4.1 入侵检测技术概述 入侵检测的定义 入侵检测是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象. 它还是一种增强内部用户的责任感及提供对攻击者的法律诉讼依据的机制 4.1 入侵检测技术概述 入侵检测的特点 入侵检测是一种动态的网络安全技术 它利用各种不同类型的引擎，实时地或定期地对网络中相关的数据源进行分析，依照引擎对特殊的数据或事件的认识，将其中具有威胁性的部分提取出来，并触发响应机制 对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性 进行入侵检测的软件与硬件的组合便是入侵检测系统 入侵检测的动态性 入侵检测的实时性 对网络环境的变化具有一定程度上的自适应性 4.1 入侵检测技术概述 入侵检测的内容 外部攻击检测 内部特权滥用检测 4.1 入侵检测技术概述 入侵检测的历史 1980年 Anderson提出：入侵检测概念，分类方法 1987年 Denning提出了一种通用的入侵检测模型 独立性 ：系统、环境、脆弱性、入侵种类 系统框架：异常检测器，专家系统 90年初 CMDS?、NetProwler?、NetRanger? ISS RealSecure? 4.1 入侵检测技术概述 入侵检测的历史 1980年4月，James P. Anderson 《Computer Security Threat Monitoring and Surveillance》 （计算机安全威胁监控与监视） 第一次详细阐述了入侵检测的概念 计算机系统威胁分类: 外部渗透、内部渗透和不法行为 提出了利用审计跟踪数据监视入侵活动的思想 这份报告被公认为是入侵检测的开山之作 4.1 入侵检测技术概述 入侵检测的历史 从1984年到1986年 乔治敦大学的Dorothy Denning SRI/CSL的Peter Neumann 研究出了一个实时入侵检测系统模型—IDES（入侵检测专家系统） 4.1 入侵检测技术概述 4.1 入侵检测技术概述 入侵检测的内容 外部攻击检测 外部攻击与入侵是指来自外部网络非法用户的威胁性访问或破坏 外部攻击检测的重点在于检测来自于外部的攻击或入侵 内部特权滥用检测 内部特权滥用是指网络的合法用户在不正常的行为下获得了特殊的网络权限并实施威胁性访问或破坏 内部特权滥用检测的重点集中于观察授权用户的活动 4.1 入侵检测技术概述 入侵检测的功能 检测和分析用户和系统的活动 识别反映已知攻击的活动模式 非正常活动模式的统计分析 通过对操作系统的审计，分析用户的活动、识别违规操作 审计系统配置和脆弱性、评估关键系统和数据文件的一致性 4.1 入侵检测技术概述 入侵检测技术原理与系统构成 原理图 4.1 入侵检测技术概述 IDS原理 入侵检测的技术的核心在于入侵检测过程 对行为与状态的综合分析是基于 知识的智能推理 神经网络理论 模式匹配 异常统计 4.1 入侵检测技术概述 IDS原理 技术分析的依据 历史知识 现有的行为状态 实时的监测是保证入侵检测具有实时性的主要手段 根据实时监测的记录不断修改历史知识保证了入侵检测具有自适应性 4.1 入侵检测技术概述 系统构成 4.1 入侵检测技术概述 IDS的构成 信息采集部件 对各类复杂、凌乱的信息进行格式化并交付于入侵分析部件 入侵分析部件 按着部件内部的分析引擎进行入侵分析，当信息满足了引擎的入侵标准时就触发了入侵响应机制 入侵响应部件 当入侵分析部件发现入侵后，由入侵响应部件根据具体的情况做出响应 响应部件同信息采集部件一样都是分布于网络中，甚至