计算机网络安全5入侵检测技术详细分析.ppt

第5章 入侵检测技术 内容提要： 入侵检测概述 入侵检测的技术实现 分布式入侵检测 入侵检测系统的标准 入侵检测系统示例 本章小结 5.1 入侵检测概述 入侵检测技术研究最早可追溯到1980年James P.Aderson所写的一份技术报告，他首先提出了入侵检测的概念。1987年Dorothy Denning提出了入侵检测系统（IDS，Intrusion Detection System）的抽象模型（如图5-1所示），首次提出了入侵检测可作为一种计算机系统安全防御措施的概念，与传统的加密和访问控制技术相比，IDS是全新的计算机安全措施。 入侵检测技术研究最早可追溯到1980年James P.Aderson所写的一份技术报告，他首先提出了入侵检测的概念。1987年Dorothy Denning提出了入侵检测系统（IDS，Intrusion Detection System）的抽象模型（如图5-1所示），首次提出了入侵检测可作为一种计算机系统安全防御措施的概念，与传统的加密和访问控制技术相比，IDS是全新的计算机安全措施。 1988年Teresa Lunt等人进一步改进了Denning提出的入侵检测模型，并创建了IDES（Intrusion Detection Expert System），该系统用于检测单一主机的入侵尝试，提出了与系统平台无关的实时检测思想，1995年开发的NIDES（Next-Generation Intrusion Detection Expert System）作为IDES完善后的版本可以检测出多个主机上的入侵。 1990年，Heberlein等人提出了一个具有里程碑意义的新型概念：基于网络的入侵检测——网络安全监视器NSM（Network Security Monitor）。1991年,NADIR（Network Anomaly Detection and Intrusion Reporter）与DIDS（Distribute Intrusion Detection System）提出了通过收集和合并处理来自多个主机的审计信息可以检测出一系列针对主机的协同攻击。 1994年，Mark Crosbie和Gene Spafford建议使用自治代理（autonomous agents）以提高IDS的可伸缩性、可维护性、效率和容错性，该理念非常符合计算机科学其他领域（如软件代理，software agent）正在进行的相关研究。另一个致力于解决当代绝大多数入侵检测系统伸缩性不足的方法于1996年提出，这就是GrIDS（Graph-based Intrusion Detection System）的设计和实现，该系统可以方便地检测大规模自动或协同方式的网络攻击。 近年来，入侵检测技术研究的主要创新有：Forrest等将免疫学原理运用于分布式入侵检测领域；1998年Ross Anderson和Abida Khattak将信息检索技术引进入侵检测；以及采用状态转换分析、数据挖掘和遗传算法等进行误用和异常检测。 5.1.1 入侵检测原理 图5-2给出了入侵检测的基本原理图。入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动，采用误用检测（Misuse Detection）或异常检测（Anomaly Detection）的方式，发现非授权的或恶意的系统及网络行为，为防范入侵行为提供有效的手段。 入侵检测系统（Intrusion Detection System，IDS）就是执行入侵检测任务的硬件或软件产品。IDS通过实时的分析，检查特定的攻击模式、系统配置、系统漏洞、存在缺陷的程序版本以及系统或用户的行为模式，监控与安全有关的活动。 一个基本的入侵检测系统需要解决两个问题：一是如何充分并可靠地提取描述行为特征的数据；二是如何根据特征数据，高效并准确地判定行为的性质。 5.1.2 系统结构 由于网络环境和系统安全策略的差异，入侵检测系统在具体实现上也有所不同。从系统构成上看，入侵检测系统应包括事件提取、入侵分析、入侵响应和远程管理四大部分，另外还可能结合安全知识库、数据存储等功能模块，提供更为完善的安全检测及数据分析功能（如图5-3所示）。 入侵检测的思想源于传统的系统审计，但拓宽了传统审计的概念，它以近乎不间断的方式进行安全检测，从而可形成一个连续的检测过程。这通常是通过执行下列任务来实现的： 监视、分析用户及系统活动； 系统构造和弱点的审计； 识别分析知名攻击的行为特征并告警； 异常行为特征的统计分析； 评估重要系统和数据文件的完整性； 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 5.1.3 系统分类 由于功能和体系结构的复杂性，入侵检测按