信息安全技术 第6章 入侵检测系统幻灯片.ppt

第6章 入侵检测系统 本章概要 课程目标 6.1 入侵检测系统的概念 6.1.1 什么是入侵检测系统？ 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干个关键点收集信息，并分析这些信息，检测网络中是否有违反安全策略的行为和遭到袭击的迹象。它的作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。 作为监控和识别攻击的标准解决方案，IDS系统已经成为安防体系的重要组成部分。 IDS系统以后台进程的形式运行。发现可疑情况，立即通知有关人员。 防火墙为网络提供了第一道防线，入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下对网络进行检测，从而提供对内部攻击、外部攻击和误操作的实时保护。由于入侵检测系统是防火墙后的又一道防线，从而可以极大地减少网络免受各种攻击的损害。 假如说防火墙是一幢大楼的门锁，那入侵检测系统就是这幢大楼里的监视系统。门锁可以防止小偷进入大楼，但不能保证小偷100％地被拒之门外，更不能防止大楼内部个别人员的不良企图。而一旦小偷爬窗进入大楼，或内部人员有越界行为，门锁就没有任何作用了，这时，只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来的入侵者，同时也针对内部的入侵行为。 6.1.2 入侵检测系统的特点 a.不需要人工干预即可不间断地运行。 b.有容错功能。即使系统发生了崩溃，也不会丢失数据，或者在系统重新启动时重建自己的知识库。 c.不需要占用大量的系统资源。 d.能够发现异于正常行为的操作。如果某个IDS系统使系统由“跑”变成了“爬”，就不要考虑使用。 e.能够适应系统行为的长期变化。例如系统中增加了一个新的应用软件，系统写照就会发生变化，IDS必须能适应这种变化。 f.判断准确。相当强的坚固性，防止被篡改而收集到错误的信息。 g.灵活定制。解决方案必须能够满足用户要求。 h.保持领先。能及时升级。 6.1.3 入侵行为的误判 2.负误判(fasenegative) 概念：把一个攻击动作判断为非攻击行为，并允许其通过检测。 特点：背离了安全防护的宗旨，IDS系统成为例行公事，后果十分严重。 3.失控误判(subversion) 概念：攻击者修改了IDS系统的操作，使它总是出现负误判的情况。 特点：不易觉察，长此以往，对这些“合法”操作IDS将不会报警。 6.2 入侵检测的主要技术一入侵分析技术 6.2.1 签名分析法 6.2.2 统计分析法 6.2.3 数据完整性分析法 6.3 入侵检测系统的主要类型 b.只能保护一个组件——针对软件的IDS系统只能对特定的软件进行分析，系统中其他的组件不能得到保护。 网络入侵检测系统(IDS)可以分为基于网络数据包分析的和基于主机的两种基本方式。简单说，前者在网络通信中寻找符合网络入侵模版的数据包，并立即做出相应反应；后者在宿主系统审计日志文件中寻找攻击特征，然后给出统计分析报告。它们各有优缺点，互相作为补充。 6.3.2基于主机的入侵检测(Host Intrusion Detection) 2.优点 基于主机的入侵检测具有以下优势： a.监视所有系统行为。基于主机的IDS能够监视所有的用户登录和退出，甚至用户所做的所有操作，审计系统在日志里记录的策略改变，监视关键系统文件和可执行文件的改变等。可以提供比基于网络的IDS更为详细的主机内部活动信息。 b.有些攻击在网络的数据流中很难发现，或者根本没有通过网络在本地进行。这时基于网络的IDS系统将无能为力。 c.适应交换和加密。基于主机的IDS系统可以较为灵活地配置在多个关键主机上，不必考虑交换和网络拓扑问题。这对关键主机零散地分布在多个网段上的环境特别有利。某些类型的加密也是对基于网络的入侵检测的挑战。依靠加密方法在协议堆栈中的位置，它可能使基于网络的系统不能判断确切的攻击。基于主机的IDS没有这种限制。 d.不要求额外的硬件。基于主机的IDS配置在被保护的网络设备中，不要求在网络上增加额外的硬件。