信息安全课件--07-信息安全检测.pptVIP

第7讲 信息安全检测(IDS) 为什么需要IDS 关于防火墙 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 预防是理想的，但检测是必须的 主要内容 一、 入侵检测的概念 二、 IDS的历史 三、 IDS的功能和需求 四、 IDS的原理 五、 IDS的分类 六、几个典型的IDS 七、IDS的未来 什么是入侵 “入侵”是个广义的概念,包括 发起攻击的人(如恶意的黑客) 取得超出合法范围的系统控制权； 收集漏洞信息,造成拒绝访问(DoS) 等对计算机系统造成危害的行为。 入侵行为不仅来自外部,同时也指内部用户的未授权活动。 入侵检测的内容 从入侵策略的角度入侵检测的内容可分为 试图闯入、 成功闯入、 冒充其他用户、 违反安全策略、 合法用户的泄漏、 独占资源以及恶意使用。 二、IDS的历史 随着 Internet的迅速发展，其网络规模、用户数量及业务量呈现出爆炸式的增长。 但是,随着这种增长,安全问题开始变得越发突出 。 在全球范围内,对计算机及其网络设施的攻击行为,已经成为一个越来越严重和值得关注的问题。 e 1980.4， James P.Anderson为美国空军做了题为《Computer Security Threat Monito-ring and Surveillance》的技术报告。第一次详细阐述了入侵检测的概念。 他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作 e 从1984 年到1986 年,乔治敦大学的Dorothy Denning和SRI/ CSL ( SRI 公司计算机科学实验室) 的Peter Neumann 研究出了一个实时入侵检测系统模型,取名为IDES(入侵检测专家系统) 该模型由六个部分组成: 主体、对象、审计记录、轮廓特征、异常记录、活动规则。 它独立于特定的系统平台、应用环境、系统弱点以及入侵类型,为构建入侵检测系统提供了一个通用的框架。 通用入侵检测模型 e 1988 年,SRI/ CSL 的Teresa Lunt 等人改进了Denning的入侵检测模型,并开发出了一个IDES。 e 1990年,加州大学戴维斯分校的L.T.Heber-lein等人开发出了NSM (Network Security Monitor)。该系统第一次直接把网络流作为审计数据来源,因而可以在无须将审计数据转换成统一格式的情况下监控异种主机。 因此，1990 年成为入侵检测系统发展史上的一个分水岭。 自此，入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS 和基于主机的IDS。 e 1988 年的莫里斯蠕虫事件发生之后,网络安全才真正引起了军方、学术界和企业的高度重视。美国空军、国家安全局和能源部共同资助空军密码支持中心、劳伦斯利弗摩尔国家实验室、加州大学戴维斯分校、Haystack实验室,开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起。 三、入侵检测系统的功能和需求 入侵检测系统的功能 监控网络和系统 发现入侵企图或异常现象 实时报警 主动响应 入侵检测系统的要求 (1) 经济性。入侵检测系统占用的网络资源和系统资源应该在一定阈值以下。否则,为了保证系统安全的入侵检测系统反而妨碍了系统的正常运行。 (2) 时效性。及时地发现各种入侵行为。比较理想的是事前发现攻击企图,比较现实的是在攻击行为进行中发现。如果在事后才发现,必须保证时效性,因为一个攻击过的系统往往意味着后门的引入和后续的攻击行为。 入侵检测系统的要求 (3) 安全性。入侵检测系统自身必须安全。如果入侵检测系统的安全性得不到保证,那么入侵检测系统的信息就是无效的。更严重的是,如果入侵检测系统不够安全,入侵者就有可能通过入侵检测系统获取系统控制权。 (4) 可扩展性。可扩展性是指在入侵检测系统机制不变的情况下能够对新的入侵进行检测,这样才能保证系统能够检测新的攻击。 (5) 适应性。入侵检测系统必须能够适用于多种不同的环境，比如高速大容量的计算机网络环境。 四、入侵检测的结构及原理 IDS基本结构 入侵检测系统包括三个功能部件 （1）信息收集 （2）信息分析 （3）结果处理 （1）信息收集 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为 需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点 信息收集（续） 入侵检测很大程度上依赖于收集信息的可靠性和正确性 要保证用来检测网络系统的软件的完整性 特别是入侵检测系统软件本身应具有相当