第9章入侵检测技术(论文资料).pptVIP

第9章　入侵检测技术 9.1　入侵检测技术概述9.2　入侵检测技术9.3　入侵检测系统的弱点和局限9.4　入侵检测系统的发展趋势9.5　入侵检测产品 9.6　入侵检测系统实例 9.1　入侵检测技术概述 9.1.1　入侵检测系统的发展历史 从入侵策略的角度可将入侵检测的内容分为：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。 9.1.2　入侵检测的作用和功能 入侵检测的作用主要有如下几个方面。 （1）若能迅速检测到入侵，则有可能在造成系统损坏或数据丢失之前识别并驱除入侵者。 （2）若能迅速检测到入侵，可以减少损失，使系统迅速恢复正常工作，对入侵者造成威胁，阻止其进一步的行动。 （3）通过入侵检测可以收集关于入侵的技术资料，可用于改进和增强系统抵抗入侵的能力。 9.1.3　入侵检测系统分类 9.1.3.1　根据原始数据的来源分类 1．基于主机的入侵检测系统（HIDS） 主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来检测入侵。 2．基于网络的入侵检测系统（NIDS） 主要用于实时监控网络关键路径的信息，它侦听网络上的所有分组来采集数据，分析可疑现象。 3．基于应用（application）的入侵检测系统 9.1.3.2　根据检测原理分类 1．异常检测 2．误用检测 9.1.3.3　根据体系结构分类 1．集中式 2．等级式 3．协作式 9.2　入侵检测技术 9.2.1　入侵检测原理 9.2.1.1　信息收集 1．系统日志 2．目录以及文件中的异常改变 3．程序执行中的异常行为 4．物理形式的入侵信息 9.2.1.2　数据分析 1．模式匹配 2．统计分析 3．专家系统 4．完整性分析 9.2.2　入侵检测系统通用模型 入侵检测系统通用模型由5个主要部分（信息收集器、分析器、响应、数据库和目录服务器）组成，如图9.1所示。 1．信息收集器 2．分析器 3．响应 4．数据库 9.3　入侵检测系统的弱点和局限 9.3.1　网络入侵检测系统的局限 9.3.2　主机入侵检测系统的局限 1．资源局限 2．操作系统局限 3．系统日志限制 4．被修改过的系统核心能够骗过文件检查 5．网络检测局限 9.3.3　入侵检测系统面临的挑战 1．如何提高入侵检测系统的检测速度，以适应网络通信的要求 2．如何减少入侵检测系统的漏报和误报，提高其安全性和准确度 3．如何提高入侵检测系统的互动性能，从而提高整个系统的安全性能 9.4　入侵检测系统的发展趋势 1．宽带高速实时的检测技术 2．大规模分布式的检测技术 3．数据挖掘技术 4．更先进的检测算法 5．入侵响应技术 6．建立入侵检测系统评价体系 9.5　入侵检测产品 9.5.1　入侵检测产品的评估 1．能保证自身的安全 2．运行与维护系统的开销 3．入侵检测系统报警准确率 4．网络入侵检测系统负载能力以及可支持的网络类型 5．支持的入侵特征数和升级能力及方便性 6．是否支持IP碎片重组 7．是否支持TCP流重组 9.5.2　入侵检测系统实例 1．Internet Security System（ISS）公司的LinkTrust?IDS 2．Computer Associates（CA）公司的eTrust Intrusion Detection（eID） 3．Symentec的Intruder Alert 4．启明星辰的天阗黑客入侵检测与预警系统 5．中软DIDSystem 分布式入侵检测系统 9.6　入侵检测系统实例 9.6.1　Snort简介 1．Snort的特点 2．Snort的体系结构 Snort由3个主要的子系统构成：包解码器（packet Dccoder）、探测引擎（Detection Engine）、日志及告警系统。 9.6.2　Snort的安装9.6.3　Snort的运行 1．嗅探器模式 2．数据包记录器模式 3．网络入侵检测系统模式 9.6.4　Snort的规则 对于匹配特定规则的数据包，Snort有三种处理动作：pass、log、alert。 （1）pass：放行数据包。 （2）log：把数据包记录到日志文件。 （3）alert：产生报警消息并日志数据包。 * * 图9.1　入侵检测系统通用模型 *