入侵检测系统new课件.ppt

常见的IDS Computer Associates’ SessionWall Snort () ISS RealSecure () Symantec Intrusion Alert () NetWork Assoxiates’ CyberCop Monitor (workassociates,com) Cisco Secure IDS (www.cisco,com) 基于主机的IDS的优点 能够确定攻击是否成功 非常适合于加密和交换环境 不需要额外的硬件 可监视特定的系统行为 可监视关键系统文件和可执行文件的更改 可针对不同系统的特点判断出应用层入侵事件 基于主机的IDS（2） 基于主机的IDS的不足 一定程度上依赖于系统可靠性，要求系统本身应具备基本安全功能和合理设置，才能提取入侵信息 入侵者可能将日志抹去 日志信息有限 数据提取的实时性、充分性和可靠性方面不如基于网络的IDS 对基于网络的攻击不敏感，如假冒IP 与OS和应用层入侵事件结合过于紧密，通用性差 基于主机的IDS（3） 基于网络入侵检测系统的优点 内网 Internet 攻击者转移证据更难 实时检测和应答 能检测到未成功的攻击企图 操作系统无关性 较低成本 基于网络的IDS 基于网络的IDS的不足 只能监视通过本网段的活动 容易受到DDoS攻击 精度不高 不适合加密环境 基于网络的IDS（2） 一款基于网络入侵检测系统SessionWall(CA) 实例 开放源码软件 内网 Internet Snort、Bro入侵检测软件等，其中Snort 的社区()非常活跃，其入侵特征更新速度与研发的进展已超过了大部分商品化产品 实例2 Snort 实例3(基于网络的IDS) 主界面里显示的信息包括： 触发安全规则的网络流量中各种协议所占的比例 警报的数量 入侵主机 目标主机的IP地址 端口号等 Snort 实例3(基于网络的IDS) 一天之内的报警频率 一周报警频率 Snort 实例3(基于网络的IDS) 一天之内的报警频率 一周报警频率 混合IDS 二、入侵检测的构架 (混合IDS) 基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体系，综合了基于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。  异常检测（anomaly Detection） 异常检测总结正常操作具有的特征（正常轮廓） 2。用户活动与正常行为有重大偏离时——〉报警 按采用的分析技术分类 特征量的选择 阈值的选择 比较频率的选择 异常检测关键问题 误用检测（Misuse Detection） 1误用检测总结非正常行为特征（攻击特征库） 2用户活动与攻击特征匹配——〉报警 按采用的分析技术分类 误用检测优缺点 准确率高 技术成熟 不能检测未知的入侵行为 特征库必须不断更新 价格高 误检、漏检难以克服 按采用的分析技术分类 混合入侵检测 分布式IDS 分布式入侵检测系统框架 四、入侵检测的评价标准 Internet 三、IDS评价标准 网络行为正常，系统没有检测到入侵； 网络行为正常，系统检测到入侵（误报） 网络行为异常，系统没有检测入侵（漏报） 网络行为异常，系统检测入侵； 三、IDS评价标准 性能 故障容忍性 自身抵抗攻击能力 及时性 五、入侵检测的常用方法 Internet 特征检测 统计检测 专家系统 三、入侵检测的常用方法 特征检测 特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。 其检测方法上与计算机病毒的检测方式类似。 目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。 基于统计检测主要是通过统计模型对审计事件的数量、间隔时间、资源消耗情况等统计量进行统计,如果出现异常,即报警。 三、入侵检测的常用方法 统计检测模型为： 统计检测 ????1、操作模型:该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击； ?? ????2、方差模型，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常； 三、入侵检测的常用方法 统计检测模型  3、多元模型，操作模型的扩展，通过同时分析多个参数实现检测； ??? 4、马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转