第13章入侵检测.ppt.ppt

第十三章入侵检测 —纵深防御 本节主要内容 入侵检测系统概述 入侵检测系统原理 入侵检测系统实例－SNORT 入侵检测系统的困难与发展趋势 防火墙的不足 无法发现和阻止对合法服务的攻击； 无法发现和阻止源自其它入口的攻击； 无法发现和阻止来自内部网络的攻击； 无法发现和阻止来自特洛伊木马的威胁； 入侵检测技术 通过对计算机网络或计算机系统中若干关键点信息的收集和分析，从中发现网络或系统中是否有违反安全策略行为和被攻击迹象的一种安全技术。 入侵检测的作用 检测防护部分阻止不了的入侵 检测入侵的前兆 入侵事件的归档 网络受威胁程度的评估 帮助从入侵事件中恢复 防火墙与入侵检测 防火墙 属于信息保障的保护环节 门禁系统 入侵检测 属于信息保障的检测环节 监控系统 入检测检测历史 入侵检测的发源 1980，James Anderson 提出入侵检测的设想 1987，Dorothy Denning提出入侵检测系统抽象模型 主机入侵检测 1988，出现一批基于主机审计信息的入侵检测系统 网络入侵检测 1990，开始出现基于网络数据的入侵检测系统 入侵检测的新技术与新方法 致力于提高入侵检测系统的可伸缩性、可维护性、容错性。一些新的思想，如免疫、信息挖掘引入到入侵检测领域 本节主要内容 入侵检测系统概述 入侵检测系统原理 入侵检测系统实例－SNORT 入侵检测系统的困难与发展趋势 入侵检测的核心任务 攻击者进行攻击的时候会留下痕迹，这些痕迹和系统正常运行的时候产生的数据混在一起。入侵检测的任务就是从混合的数据中找出入侵的痕迹并作出响应。 通用入侵检测框架CIDF 体系结构：阐述了一个标准的IDS的通用模型 组件通信：定义了IDS组件之间进行通信的标准协议 语言规范：定义了一个用来描述各种检测信息的标准语言 编程接口：提供了一整套标准的应用程序接口 CIDF体系结构 CIDF组件 事件产生器（Event generators） 事件分析器（Event analyzers） 事件数据库（Event databases） 响应单元（Response units） 事件产生器 数据获取 主机入侵检测：系统审计记录，应用程序日志 网络入侵检测 ：网络流量 复合型入侵检测：其它安全产品的数据，如防火墙的事件记录 事件分析器 数据分析 模式匹配 统计分析 完整性分析 事件数据库 数据管理 保存事件信息，包括正常事件和入侵事件 用来存储临时处理数据，扮演各个组件之间的数据交换中心 响应单元 行为响应 主动响应：自动干涉入侵，如切断怀疑可能是攻击行为的TCP连接，与防火墙联动操作阻塞后续的数据包，甚至向被怀疑是攻击来源的主机发动反击 被动响应：仅仅启动告警机制，向管理员提供信息，由管理员采取相应行动 信息收集技术 系统日志文件 日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等方面的内容 以用户活动为例，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的访问企图等等。 信息收集技术 网络流量 远程的网络攻击伴随着攻击数据的发送，比如扫描、口令攻击、远程的缓冲区溢出、脚本攻击、假消息攻击等。 另外一些攻击可能使网络流量产生异常，比如特洛伊木马、服务拒绝等等。 信息收集技术 系统目录和文件的异常变化 入侵者经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志。 目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。 信息收集技术 程序执行中的异常行为 针对程序漏洞的攻击，常导致程序产生异常的行为，如发生缓冲区溢出，进行权限提升等。 信息分析技术 信息分析技术的技术指标 误报率 漏报率 常用的信息分析技术包括 模式匹配 统计分析 完整性分析 模式匹配 过程：监控 ? 特征提取 ? 匹配 ? 判定 模式匹配的特点 前提： 所有的入侵行为都有可被检测到的特征 特点： 系统负担小 准确度高 不能检测未知的入侵 统计分析 过程：监控 ? 量化 ? 比较 ? 判定 ? 修正 统计分析的特点 前提 入侵是异常活动的子集 特点： 测系统能针对用户行为的改变进行自我调整和优化 能检测到未知的入侵和更为复杂的入侵 对系统资源消耗大 系统误报相对比较高，且不能适应用户正常行为的突然改变。 完整性分析 完整性分析主要关注某个文件或对