51CTO下载-入侵检测系统IDS研讨.ppt

入侵检测系统 Intrusion Detection System （IDS） 2007 IDS存在与发展的必然性 一、网络攻击造成的破坏性和损失日益严重 二、网络安全威胁日益增长 三、单纯的防火墙无法防范复杂多变的攻击 IDS的作用 为什么需要IDS 单一防护产品的弱点 防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁 为什么需要IDS 关于防火墙 网络边界的设备，只能抵挡外部來的入侵行为 自身存在弱点，也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护，合法的使用者仍会非法地使用系统，甚至提升自己的权限 仅能拒绝非法的连接請求，但是对于入侵者的攻击行为仍一无所知 为什么需要IDS 入侵很容易 入侵教程随处可见 各种工具唾手可得 网络安全工具的特点 入侵检测的定义 对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性 入侵检测系统：进行入侵检测的软件与硬件的组合 （IDS : Intrusion Detection System） IDS基本结构 入侵检测系统包括三个功能部件 （1）信息收集 （2）分析引擎 （3）响应部件 信息搜集 信息收集 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为 需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点 信息收集 入侵检测的效果很大程度上依赖于收集信息的可靠性和正确性 要保证用来检测网络系统的软件的完整性 特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息 信息收集的来源 系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为 系统或网络的日志文件 攻击者常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件 日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容 显然，对用户活动来讲，不正常的或不期望的行为就是:重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等 系统目录和文件的异常变化 网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标 目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号 入侵者经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件 分析引擎 分析引擎 模式匹配 统计分析 完整性分析，往往用于事后分析 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为 一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化） 统计分析 统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等） 测量属性的平均值和偏差被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生 完整性分析 完整性分析主要关注某个文件或对象是否被更改 包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效 响应部件 响应动作 简单报警 切断连接 封锁用户 改变文件属性 最强烈反应：回击攻击者 入侵检测系统性能关键参数 误报(false positive)：如果系统错误地将异常活动定义为入侵 漏报(false negative)：如果系统未能检测出真正的入侵行为 入侵检测系统的分类（1） 按照分析方法（检测方法） 异常检测模型（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 入侵检测系统的分类 网络IDS: 网络IDS（NIDS）通常以非破坏方式使用。这种设备能够捕获LAN区域中的信息流并试着将实时信息流与已知的攻击签名进行对照。 两类IDS监测软件 网络IDS 侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少 主