入侵检测系统IDS.pptVIP

山东女子学院信息学院 山东女子学院信息学院 入侵检测系统 Intrusion Detection System （IDS） 组长： 主讲人： 小组成员： 2015-05-04 山东女子学院信息技术学院 * 入侵检测技术的概述 IDS的基本结构 入侵检测系统的类型 制订响应策略应考虑的要素 发展方向 2015-05-04 山东女子学院信息技术学院 * 目录 1.入侵检测技术的概述 * 山东女子学院信息学院 * 入侵检测（Intrusion Detection）是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，并可通过和防火墙等进行联动，对入侵或攻击作出相应。 入侵检测Intrusion Detection 2015-05-04 山东女子学院信息学院 * 入侵检测的定义 目标：对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性 入侵检测系统：进行入侵检测的软件与硬件的组合 2015-05-04 山东女子学院信息技术学院 * IDS的作用 入侵检测技术（IDS）：作为防火墙的补充，用于实时发现和抵御黑客对系统的攻击。 做一个形象的比喻：假如防火墙是一幢 大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。 2015-05-04 山东女子学院信息技术学院 * IDS存在的必要性 关于防火墙 网络边界的设备，只能抵挡外部來的入侵行为 自身存在弱点，也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护，合法的使用者仍会非法地使用系统，甚至提升自己的权限 仅能拒绝非法的连接請求，但是对于入侵者的攻击行为仍一无所知 2015-05-04 山东女子学院信息技术学院 * 2.IDS基本结构 * 山东女子学院信息学院 * IDS基本结构 入侵检测系统包括三个功能部件 （1）信息收集 （2）信息分析 （3）响应单元 2015-05-04 山东女子学院信息技术学院 * 信息收集 入侵检测的第一步是信息收集，需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息。 收集内容包括系统、网络、数据及用户活动的状态和行为 2015-05-04 山东女子学院信息技术学院 * 信息分析 模式匹配 统计分析 完整性分析，往往用于事后分析 2015-05-04 山东女子学院信息技术学院 * 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为 2015-05-04 山东女子学院信息技术学院 * 统计分析 统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等） 测量属性的平均值和偏差被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生 2015-05-04 山东女子学院信息技术学院 * 完整性分析 完整性分析主要关注某个文件或对象是否被更改 包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效 2015-05-04 山东女子学院信息技术学院 * 响应单元 简单报警 切断连接 封锁用户 改变文件属性 最强烈反应：回击攻击者 2015-05-04 山东女子学院信息技术学院 * 3.入侵检测系统的类型 * 山东女子学院信息学院 * 入侵检测系统的分类 网络IDS: 网络IDS（NIDS）通常以非破坏方式使用。这种设备能够捕获LAN区域中的信息流并试着将实时信息流与已知的攻击签名进行对照。 主机IDS： 主机入侵检测系统（HIDS）是一种用于监控单个主机上的活动的软件应用。监控方法包括验证操作系统与应用调用及检查日志文件、文件系统信息与网络连接。 2015-05-04 山东女子学院信息技术学院 * 两类IDS监测软件的比较 网络IDS 侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少 主机IDS 视野集中 易于用户自定义 保护更加周密 对网络流量不敏感 2015-05-04 山东女子学