网络安全技术及用(第八章).pptVIP

内容提要 入侵检测技术用来发现攻击行为，进而采取正确的响应措施，是安全防御的重要环节。通过本章学习使学生能够掌握入侵检测系统的基本原理，在了解Snort工作原理的基础上，掌握其安装和使用方法，了解入侵防御技术的特点及其和入侵检测的区别。 第八章 入侵检测系统 8.1 入侵检测系统概述 8.2 入侵检测系统的组成 8.3 入侵检测的相关技术 8.4 入侵检测系统Snort 8.5 入侵防御系统 8.6 实验：基于snort的入侵检测系统安装和使用 8.7 小结 习题 我们做一个形象的比喻：假如防火墙是一幢大楼的门卫，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。 1990 年是入侵检测系统发展史上的一个分水岭，在这之前，所有的入侵检测系统都是基于主机的，而这一年，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM（Network Security Monitor）。该系统第一次将网络流作为审计数据的来源，形成网络IDS和主机IDS两大阵营 九十年代后至今，百家争鸣、繁荣昌盛 基于主机的入侵检测系统（Host-based IDS，HIDS），就是将检测模块安装在被要求进行安全保护的系统上，通过提取主机上的运行数据来进行入侵检测分析，从而实现入侵行为的功能。其采集的数据主要来源于以下信息： 系统产生的日志记录。攻击者常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件。 系统目录和文件的异常变化。网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中不期望的改变（包括修改、创建和删除），很可能就是一种入侵产生的指示和信号。 非正常的程序执行。计算、文件传输和其它进程，以及与网络间其它进程的通讯。程序不符合其权限的操作，就可能是黑客植入程序的攻击行为，如程序权限的提升、程序异常访问网络行为等。 入侵检测系统的功能（小结） 1、监视并分析用户和系统的活动，查找非法用户和合法用户的越权操作； 2、检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞； 3、对用户的非正常活动进行统计分析，发现入侵行为的规律； 4、检查系统程序和数据一致性与正确性，如计算和比较文件系统的校验； 5、能够实时对检测到的入侵行为作出反应； 6、操作系统的审计跟踪管理。 入侵检测系统的性能指标 2、准确性指标 在很大程度上取决于测试时采用的样本集和测试环境。包括： 检测率(%)：指被监控系统在受到入侵攻击时，检测系统能够正确报警的概率。通常利用已知入侵攻击的实验数据集合来测试系统的检测率。其值为：检测到的攻击数/攻击事件总数； 误警率(%)：是指把那些正确事件误报为攻击以及把一种攻击行为误报为另一种攻击的概率，其值为：1－(正确的告警数/总的告警数)； 漏警率(%)：已经攻击而没有检测出来的攻击占所有攻击的概率，通常利用已知入侵攻击的实验数据集合来测试系统的漏报率。其值为(攻击事件－检测到的攻击数)/攻击事件总数； 重复报警率(%)：重复报警占所有报警的比率，其值为重复报警数/总的报警数。 入侵检测系统的性能指标 3、效率指标 根据用户系统的实际需求，以保证入侵检测准确性的前提下，提高入侵检测系统的最大处理能力。效率指标也取决于不同的设备级别，如百兆网络环境下和千兆网络环境下入侵检测系统的效率指标一定有很大差别。效率指标主要包括：最大处理能力、每秒能监控的网络连接数、每秒能够处理的事件数等。 入侵检测系统的性能指标 最大处理能力： 指网络入侵检测系统在维持其正常检测率的情况下，系统低于其漏警指标的最大网络流量。目的是验证系统在维持正常检测的情况下能够正常报警的最大流量。以每秒数据流量（Mbps或Gbps）来表示。取决于三个因素，其一是入侵检测系统抓包能力，其二是分析引擎的分析能力，最后还与数据包的大小有直接关系，相同流量下，网络数据包越小，数据包越多，处理能力越差。 入侵检测系统的性能指标 每秒能监控的网络连接数：网络入侵检测系统不仅要对单个的数据包作检测，还要将相同网络连接的数据包组合起来作分析。网络连接的跟踪能力和数据包重组能力是网络入侵检测系统进行协议分析、应用层入侵分析的基础。例如：检测利用HTTP协议的攻击、敏感内容检测、邮件检测、Telnet会话的记录与回放、硬盘共享的监控等。 每秒能够处理的事件数：网络入侵检测系统检测到网络攻击和可疑事件后，会生成安全事件或称报警事件，并将事件记录在事件日志中。每秒能够处理的事件数，反映了检测分析引擎的处理能力和事件日志记录的后端处理能