第10章入侵检测概述.pptVIP

入侵检测概述 IDS的起源 两个阶段 安全审计 IDS的诞生 IDS一般包括个3部分 IDS信息的收集和预处理 入侵分析引擎 响应和恢复系统 入侵检测技术的发展 概念的诞生 1980年4月，美国空军做了题为Computer Security Threat Monitoring and Surveillance(计算机安全威胁监控与监视)，第一次详细阐述了入侵检测的概念，同时提出了采用审计数据跟踪方法来监视入侵活动的思想。 模型的发展 1984年到1986年，乔治敦大学的Dorothy Denning和SRI/CSL(SRI公司的计算机科学实验室)Peter Neumann研究出了一个入侵检测模型，取名为IDES(入侵检测专家系统)，它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，真正提出的入侵检测思想。 百花齐放 1990年，美国加州大学第一次将网络数据流做为审计来源分析入侵活动，为入侵检测技术翻开新的一页，从此入侵检测技术分为网络入侵检测技术和主机入侵检测技术两种方式不断发展状大起来。 IDS基本结构 入侵检测系统包括三个功能部件 （1）信息收集 （2）信息分析 （3）结果处理 信息收集 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为 需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点 信息收集 入侵检测很大程度上依赖于收集信息的可靠性和正确性，要保证用来检测网络系统的软件的完整性。 特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。 信息收集的来源 系统或网络的日志文件 程序执行中的异常行为 系统目录和文件的异常变化 网络连接和未授权访问 系统或网络的日志文件 攻击者常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件。 日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。 显然，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。 系统目录和文件的异常变化 网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标 目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号 入侵者经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件 在入侵系统时，要删除的日志和目录位置： 安全日志文件：%systemroot%\system32\config\SecEvent.EVT 系统日志文件：%systemroot%\system32\config\SysEvent.EVT 应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT Internet信息服务FTP日志默认位置：%systemroot%\system32\logfiles\msftpsvc1\， 默认每天一个日志 Internet信息服务WWW日志默认位置：%systemroot%\system32\logfiles\w3svc1\， 默认每天一个日志 Scheduler服务日志默认位置：%systemroot%\schedlgu.txt 信息分析 信息分析 模式匹配 统计分析 完整性分析，往往用于事后分析 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为 特点：只需收集相关的数据集合，技术成熟，需不断升级模式库，对于不在规则库中的入侵将会漏判。 统计分析 统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等） 测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。例：晚上从来不登录的用户突然在凌晨两点登录。 特点：可检测到未知入侵行为，但误报、漏报高。 完整性分析 完整性分析主要关注某个文件或对象是否被更改 这经常包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效 结果处理 入侵监测的功能 监测并分析用户和系统的活动 核查系统配置和漏洞 评估系统关键资源和数据文件的完整性 识别已知的攻击行为