第9章网络入侵与入侵检测(免费阅读).ppt

第9章 网络入侵与入侵检测 第9章 入侵检测系统 本章要点 基本的入侵检测知识 入侵检测的基本原理和重要技术 几种流行的入侵检测产品 入侵检测系统是什么 入侵检测系统（Intrusion-detection system，下称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于，IDS是一种积极主动的安全防护技术。 入侵检测作为动态安全技术的核心技术之一，是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性，是安全防御体系的一个重要组成部分。 9.1 入侵检测概述 首先，入侵者可以找到防火墙的漏洞，绕过防火墙进行攻击。其次，防火墙对来自内部的攻击无能为力。它所提供的服务方式是要么都拒绝，要么都通过，不能检查出经过它的合法流量中是否包含着恶意的入侵代码，这是远远不能满足用户复杂的应用要求的。 入侵检测技术正是根据网络攻击行为而进行设计的，它不仅能够发现已知入侵行为，而且有能力发现未知的入侵行为，并可以通过学习和分析入侵手段，及时地调整系统策略以加强系统的安全性。 9.1.1 入侵检测概念 1. 入侵检测与P2DR模型 P2DR是Policy(安全策略)、Protection(防护)、Detection(检测)、Response(响应)的缩写。其体系框架如图6-1所示。 其中各部分的含义如下。 1) 安全策略(Policy) 2) 防护(Protection) 3) 检测(Detection) 4) 响应(Response) 9.1.1 入侵检测概念 2. 入侵检测的作用 入侵检测技术是通过对计算机网络和主机系统中的关键信息进行实时采集和分析，从而判断出非法用户入侵和合法用户滥用资源的行为，并做出适当反应的网络安全技术。 它在传统的网络安全技术的基础上，实现了检测与反应，起主动防御的作用。这使得对网络安全事故的处理，由原来的事后发现发展到了事前报警、自动响应，并可以为追究入侵者的法律责任提供有效证据。 9.1.1 入侵检测概念 3. 入侵检测的概念 入侵检测是指“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”(参见国标GB/T18336)。 入侵检测系统的作用如图6-2所示。 9.1.1 入侵检测概念 4. 入侵检测系统的发展历史 1980年4月，James Anderson为美国空军作了一份题为Computer Security Threat Monitoring and Surveillance(计算机安全威胁监控与监视)的技术报告，这份报告被公认为入侵检测技术的开山鼻祖。 1987年，乔治敦大学的 Dorothy Denning提出了第一个实时入侵检测系统模型，取名为IDES。 1988年的Morris蠕虫事件发生之后，网络安全才真正引起了军方、学术界和企业的高度重视。 1990年是入侵检测系统发展史上的一个分水岭，在这之前，所有的入侵检测系统都是基于主机的，他们对于活动的检查局限于操作系统审计踪迹数据及其他以主机为中心的数据源。 从20世纪90年代至今，对入侵检测系统的研发工作已呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。 9.1.2 入侵检测功能 入侵检测的主要功能包括以下几个方面。 对网络流量的跟踪与分析功能。 对已知攻击特征的识别功能。 对异常行为的分析、统计与响应功能。 特征库的在线和离线升级功能。 数据文件的完整性检查功能。 自定义的响应功能。 系统漏洞的预报警功能。 IDS探测器集中管理功能。 9.1.2 入侵检测功能 其工作原理如下: (1) 信息收集 信息的来源一般来自以下四个方面。 系统和网络日志文件。 目录和文件中的不期望的改变。 程序执行中的不期望行为。 物理形式的入侵信息。 (2) 信息分析 (3) 响应 9.1.3 入侵检测系统分类 1. 根据数据来源和系统结构分类 1) 基于主机的入侵检测系统HIDS 2) 基于网络的入侵检测系统NIDS 3) 分布式入侵检测系统DIDS 基于主机的入侵检测系统（HIDS） 主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来监测入侵。 除了对审计记录和日志文件的监测外，还有对特定端口、检验系统文件和数据文件的校验和。 基于主机的入侵检测系统（HIDS） 优点： 能确定攻击是否成功。 监控粒度更细。 配置灵活。 用于加密的以及交换的环境。 对网络流量不敏感。 不需要额外的硬件。 缺点： 它会占用主