第7章网络防御.ppt-南阳理工学院－－计算机与信息工程学院网络教学.ppt

网络型入侵检测系统NIDS NIDS的作用 网络型入侵检测系统工作原理 网络型入侵检测系统NIDS 以检测技术为分类标准 基于误用检测(Misuse Detection)的IDS 优点：依据具体特征库进行判断，检测准确度高，误报率低 缺点：检测范围受局限，无法检测未知攻击，漏报率高； 入侵特征库需要不断更新维护。 如果入侵特征与正常用户行为能匹配，会发生误报 如果没有特征能与某种新的攻击行为匹配，会发生漏报 前提：所有的入侵行为都有可被检测到的特征 基于异常检测（Anomaly Detection）的IDS 前提：入侵是异常活动的子集 用户轮廓：定义为各种行为参数的集合，用于描述正常行为范围 正常状态下，使用者的行为特征或资源使用状况的标准特征 实际使用者的行为特征与标准特征之间偏差的极限值 优点：拿用户轮廓与标准轮廓相比，漏报率低。 缺点：由于用户行为和资源使用情况会因特殊原因发生较大变化，得到标准轮廓及确定阈值难度较大，误报率高。 IDS部署方式 7.3.3 入侵检测技术 入侵检测技术研究具有综合性、多领域性的特点，技术种类繁多，涉及到许多相关学科。 从误用检测、异常检测、诱骗和响应等四个方面分析一下入侵检测的主要技术方法。 误用检测技术 专家系统 特征分析 模型推理 状态转换分析 完整性校验等 总结安全专家关于入侵检测方面的知识，并以规则结构的形式表示出来，通过规则条件判断来确定入侵后采取的措施。 存在的问题：全面性、效率问题 将收集到的信息与已知的误用模式数据库进行比较，从而发现违背安全策略的行为。 优点：检测准确率较高 缺点：需要不断升级，不能检测未知类型的攻击 将入侵过程看做一个行为序列，针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态转换的条件，用状态转换图表示每一个状态和特征事件。 利用加密机制(消息摘要函数)，能识别特定对象极其微小的变化。 异常检测技术 构建用户正常行为的统计模型，然后将当前行为与正常行为特征相比较来检测。即通过监视系统审计记录上系统使用的异常情况，可以检测出违反安全政策的事件。 通常异常检测都与一些数学分析方法相结合，但存在着误报率较高的问题。 异常检测主要针对用户行为数据、系统资源使用情况进行分析判断。 常见的异常检测方法主要包括统计分析、预测模型、系统调用监测以及基于人工智能的异常检测技术等。 入侵诱骗技术 入侵诱骗是指用通过伪装成具有吸引力的网络主机来吸引攻击者，同时对攻击者的各种攻击行为进行分析，进而找到有效的应对方法。 留下一些安全后门，或者放置一些攻击者希望得到的敏感信息（虚假的） 具有通过吸引攻击者，从而保护重要的网络服务系统的目的。 常见的入侵诱骗技术主要有蜜罐（Honeypot）技术和蜜网（Honeynet）技术等。 蜜罐技术 蜜网技术 响应技术 入侵检测系统的响应技术可以分为主动响应和被动响应。 主动响应是系统自动阻断攻击过程或以其他方式影响攻击过程； 被动响应是报告和记录发生的事件。 7.3.4 Snort系统 Snort入侵检测系统是一个开放源代码的轻量级网络入侵检测系统。 Snort遵循CIDF模型，使用误用检测的方法来识别发现违反系统和网络安全策略的网络行为。 Snort系统包括数据包捕获模块、预处理模块、检测引擎和输出模块四部分组。 利用系统工具在物理链路层捕获原始数据包(客户端向服务器传输时未被修改的最初形式的包) 负责对流量进行解码和标准化，处理后的数据包以特定结构存储，以便检测引擎模块能匹配特征 核心部件，负责规则分析和特征检测，依据预先设置的规则检查数据包，一旦匹配，通知输出模块报警 以灵活、直观的方式将输出内容呈现给用户 Snort规则库 Snort将所有已知的入侵行为以规则的形式存放在规则库中，并以三维链表结构进行组织。 Snort规则例子 Alert tcp any any-/24 80(content:/cgi-bin/phf；msg:PHF probe!；) 在这个规则中，括号左面为规则头，括号中间的部分为规则选项，规则选项中冒号前的部分为选项关键字(Option Keyword)。 规则头由规则行为、协议字段、地址和端口信息3部分组成。Snort定义了五种可选的行为： Alert：使用设定的警告方法生成警告信息，并记录这个数据报文； Log：使用设定的记录方法来记录这个数据报文； Pass：忽略这个数据报文； Activate：进行alert，然后激活另一个dynamic规则。 Dynamic：等待被一个activate规则激活，被激活后就作为一条log规则执行。 UDP：用户数据报协议 * NAT过程 分析 问题：所有返回数据包目的IP都是200.200.200. 200，防火墙如何识别并送回真正主