《入侵检测技术原理及应用.ppt

第十二讲 入侵检测技术 原理及应用 主要内容 入侵检测系统定义和模型 入侵检测系统的发展历史 入侵检测系统的原理 主要内容 入侵检测系统定义和模型 入侵检测系统的发展历史 入侵检测系统的原理 入侵及入侵检测系统的定义 入侵 —绕过系统安全机制的非授权行为。 —危害计算机、网络的机密性、完整性和可用性或者绕过计算机、网络的安全机制的尝试。入侵通常是由从互联网访问系统的攻击者、或者试图获得额外或者更高的非法权限的授权用户等引起的。 入侵检测 —是一种对计算机系统或网络事件进行监测并分析这些入侵事件特征的过程。 入侵检测系统 —自动进行这种监测和分析过程的软件或硬件产品。 入侵检测技术简介 入侵检测（Intrusion Detection），顾名思义，便是对入侵行为的发觉 它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象 入侵检测系统（Intrusion Detection System,简称IDS）是进行入侵检测的软件与硬件的组合 与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行 IDS产品常见结构 IDWG—Intrusion Detection Working Group IDWG:入侵检测工作组 /html.charters/idwg-charter.html 目的： 定义数据格式 定义交换流程 输出 需求文件 公共入侵检测语言规范 框架文件 目前成果 尚未形成正式标准，形成 4个草案 IDWG通用IDS模型 CIDF—Common Intrusion Detection Framework 历史 DARPA（Defense Advanced Research Projects Agency）的Teresa Lunt女士提出 Stuart Staniford-Chen对CIDF概念进行拓宽 通用入侵检测框架－Common Intrusion Detection Framework 体系结构的IDS模块 用于审计数据和数据传送的规范 CIDF信息 /cidf/spec/cidf.txt /gost/cidf/ CIDF通用入侵检测框架 CVE—Common Vulnerabilities and Exposures CVE：Common Vulnerabilities and Exposures 是脆弱性和其他信息安全暴露的标准化名称的列表－CVE的目标是标准化命名所有公共已知的脆弱性和安全暴露 网址：/ CVE是： A Dictionary, NOT a Database A Community-Wide Effort Freely Available for Review or Download 以上内容：/about/ 入侵检测系统概述——功能 入侵检测是网络防火墙的逻辑补充，扩展了系统管理员的安全管理能力，提供了安全审计、监控、攻击识别和响应 入侵检测系统主要执行功能： 监控和分析用户和系统活动 审计系统配置和脆弱性 评估关键系统和数据文件的完整性 识别活动模式以反应已知攻击 统计分析异常活动模式 操作系统审计跟踪管理，识别违反策略的用户活动 主要内容 入侵检测系统定义和模型 入侵检测系统的发展历史 入侵检测系统的原理 入侵检测系统的历史 入侵检测系统的历史 入侵检测系统的历史 入侵检测系统的历史 入侵检测系统的历史 入侵检测系统的历史 入侵检测系统的历史 入侵检测系统的历史 主要内容 入侵检测系统定义和模型 入侵检测系统的发展历史 入侵检测系统的原理 入侵检测产品分类 按技术 特征检测 异常检测 按监测对象 网络入侵检测 ( NIDS ) 主机入侵检测 ( HIDS ) 特征检测Signature-based detection 原理： 假设入侵者活动可以用一种模式来表示 系统的目标是检测主体活动是否符合这些模式。 特征检测可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。 难点： 如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。 常用方法： 模式匹配。 异常检测 Anomaly detection 原理 假设入侵者活动异常于正常主体的活动 念建立主体正常活动的“活动简档” 将当前主体的活动状况与“活动简档”相比 当违反统计规律时，认为该活动可能是“入侵”行为 难点 异常检测的