6.3入侵检测技术.pptVIP

计算机网络安全技术 主编 刘永华 第5章 入侵监测技术 本章主要内容： 入侵监测的概念、组成、功能及分类 入侵检测模型和体系结构 常用的入侵检测技术 入侵检测系统与协同 入侵检测发展现状和趋势 本章要求： 掌握：入侵监测的概念、组成、功能及分类，入侵检测模型和体系结构。 了解：常用的入侵检测技术，入侵检测系统与协同，入侵检测发展现状和趋势。 6.1 入侵检测概述 6.1.1 入侵检测概念 这里对入侵检测相关的一些基本概念作如下通俗的定义。 入侵(Intrusion)指的就是试图破坏计算机保密性、完整性、可用性或可控性的一系列 活动。 入侵活动包括非授权用户试图存取数据、处理数据，或者妨碍计算机正常运行等活动。 入侵检测(Intrusion Detection)就是对计算机网络和计算机系统的关键节点信息进行收集分析，检测其中是否有违反安全策略的事件发生或攻击迹象，并通知系统安全管理员(Site Security Officer)。 入侵检测系统(Intrusion Detection System，简称IDS)是用于入侵检测的软件和硬件的合称，是加载入侵检测技术的系统。 6.1.2 入侵检测系统组成 6.1.3 入侵检测功能 1． 监控、分析用户和系统的活动 入侵检测系统通过获取进出某台主机及整个网络的数据，或者通过查看主机日志等信息来监控用户和系统活动。获取网络数据的方法一般是“抓包”，即将数据流中的所有包都抓下来进行分析。 2． 发现入侵企图或异常现象 这是入侵检测系统的核心功能。主要包括两个方面，一是入侵检测系统对进出网络或主机的数据流进行监控，查看是否存在入侵行为；另一方面则评估系统关键资源和数据文件的完整性，查看系统是否已经遭受了入侵。前者的作用是在入侵行为发生时及时发现，从而避免系统遭受攻击；而后者一般是攻击行为已经发生，但可以通过攻击行为留下的痕迹的一些情况，从而避免再次遭受攻击。对系统资源完整性的检查也有利于对攻击者进行追踪或者取证。 3． 记录、报警和响应 入侵检测系统在检测到攻击后，应该采取相应的措施来阻止或响应攻击。它应该首先记录攻击的基本情况，其次应该能够及时发出警告。良好的入侵检测系统，不仅应该能把相关数据记录在文件或数据库中，还应该提供报表打印功能。必要时，系统还能够采取必要的响应行为，如拒绝接收所有来自某台计算机的数据，追踪入侵行为等。实现与防火墙等安全部件的交互响应，也是入侵检测系统需要研究和完善的功能之一。 6.2 入侵检测系统分类 6.2.1 根据数据源分类 入侵检测系统要对所监控的网络或主机的当前状态做出判断，需要以原始数据中包含的信息为基础。按照原始数据的来源，可以将入侵检测系统分为基于主机的入侵检测系统、基于网络的入侵检测系统和基于应用的入侵检测系统等类型。 1. 基于主机的入侵检测系统 基于主机的入侵检测系统主要用于保护运行关键应用的服务器，它通过监视与分析主机的审计记录和日志文件来检测入侵，日志中包含发生在系统上的不寻常活动的证据，这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并启动相应的应急措施。 2． 基于网络的入侵检测系统 基于网络的入侵检测系统主要用于实时监控网络关键路径的信息，它能够监听网络上的所有分组，并采集数据以分析可疑现象。 基于网络的入侵检测系统使用原始网络包作为数据源，通常利用一个运行在混杂模式下的网络适配器来实时监视，并分析通过网络的所有通信业务。基于网络的入侵检测系统可以提供许多基于主机的入侵检测法无法提供的功能。许多客户在最初使用入侵检测系统时，都配置了基于网络的入侵检测。 3． 基于应用的入侵检测系统 基于应用(Application)的入侵检测系统是基于主机的入侵检测系统的一个特殊子集，其特性、优缺点与基于主机的入侵检测系统基本相同。由于这种技术能够更准确地监控用户某一应用行为，所以在日益流行的电子商务中越来越受到注意。 6.2.2 根据检测原理分类 根据系统所采用的检测方法，将入侵检测分为异常入侵检测和误用入侵检测两类。 (1) 异常入侵检测。异常入侵检测是指能够根据异常行为和使用计算机资源的情况检测入侵。异常入侵检测试图用定量的方式描述可以接受的行为特征，以区分非正常的、潜在的入侵行为。Anderson做了如何通过识别“异常”行为来检测入侵的早期工作，他提出了一个威胁模型，将威胁分为外部闯入(用户虽然授权，但对授权数据和资源的使用不合法，或滥用授权)、内部渗透和不当行为3种类型，并采用这种分类方法开发了一个安全监视系统，可检测用户的异常行为。 (2) 误用入侵检测。误用入侵检测是指利用已知系统和应用软件的弱点攻击模式来检测入侵。与异常入侵检测不同，误用入侵检测能直接检