系统安全与保密 第05章 入侵检测.pptVIP

信息安全原理与技术 第5章 入侵检测 入侵检测技术 入侵检测概念及其发展 入侵检测通用模型及框架 入侵检测系统分类 入侵检测方法和技术 入侵检测体系结构 入侵检测技术和产品的发展趋势 入侵防御系统(IPS) 防火墙在系统的自身加固和防护上属于静态的安全防御技术，对于网络环境下新的攻击手段缺乏主动的反应。 针对日益严重的网络安全问题和越来越突出的安全需求，自适应网络安全技术(动态安全技术)和动态安全模型应运而生。 入侵检测作为动态安全技术的核心技术之一，是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性，是安全防御体系的一个重要组成部分。 入侵检测的发展历史最早可追溯到1980年，当时James P. Anderson在一份技术报告中提出审计记录可用于检测计算机误用行为的思想。 另一位对入侵检测起着开创作用的人就是Dorothy E. Denning，他在1987年的提出了实时入侵检测系统模型，此模型成为后来的入侵检测研究和系统原型的基础。 早期的入侵检测系统是基于主机的系统，它是通过监视和分析主机的审计记录来检测入侵的。 入侵检测发展史上又一个具有重要意义的里程碑就是NSM (Network Security Monitor)的出现，它是由L. Todd Heberlien在1990年提出的。 NSM与此前的入侵检测系统相比，它并不检查主机系统的审计记录，而是通过监视网络的信息流量来跟踪可疑的入侵行为。 入侵检测基本原理 入侵检测的基本概念 计算机安全的目标来看: 是企图破坏资源的完整性、保密性、可用性的任何行为，也指违背系统安全策略的任何事件。 入侵策略的角度来看: 可分为企图进入、冒充其它合法用户、成功闯入、合法用户的泄漏、拒绝服务以及恶意使用等几个方面。 入侵的来源： 来自外部的攻击 内部用户的未授权行为 入侵检测(Intrusion Detection)就是通过从计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象，同时做出响应。 入侵检测的一般过程是： 信息收集 信息(数据)预处理 数据的检测分析 根据安全策略做出响应 信息源：包含有最原始的入侵行为信息的数据，主要是网络、系统的审计数据或原始的网络数据包。 数据预处理：对收集到的数据进行预处理，将其转化为检测模型所接受的数据格式，也包括对冗余信息的去除，即数据简约。这是入侵检测研究领域的关键，也是难点之一。 检测模型：根据各种检测算法建立起来的检测分析模型，它的输入一般是经过数据预处理后的数据，输出为对数据属性的判断结果，数据属性一般是针对数据中包含的入侵信息的断言。 检测结果：检测模型输出的结果，由于单一的检测模型的检测率不理想，往往需要利用多个检测模型进行并行分析处理，然后对这些检测结果进行数据融合处理，以达到满意的效果。 安全策略：根据安全需求设置的策略。 响应处理：综合安全策略和检测结果所作出的响应过程，包括产生检测报告、通知管理员、断开网络连接或更改防火墙的配置等积极的防御措施。 入侵检测系统 入侵检测系统(Intrusion Detection System，简称IDS)是实现入侵检测功能的一系列的软件、硬件的组合。 就其最基本的形式来讲，可以说是一个分类器，是根据系统的安全策略来对收集到的事件或状态信息进行分类处理，从而判断出入侵和非入侵的行为。 是入侵检测的具体实现，作为一种安全管理工具，它从不同的系统资源收集信息，分析反映误用或异常行为模式的信息，对检测的行为做出自动的反应，并报告检测过程的结果。 功能模块包括： 提供事件记录的信息源； 发现入侵迹象的分析引擎； 基于分析引擎的结果产生反应的响应部件。 入侵检测系统必须能够维护一些与检测系统的分析技术相关的信息，以使检测系统能够确保检测出对系统具有威胁的恶意事件。 通常这类信息包括： 系统、用户以及进程行为的正常或异常的特征轮廓； 标识可疑事件的字符串，包括关于已知攻击的特征签名； 激活针对各种系统异常情况以及攻击行为采取响应所必需的信息。 其主要功能有： 用户和系统行为的监测和分析； 系统配置和漏洞的审计检查； 重要的系统和数据文件的完整性评估； 已知的攻击行为模式的识别； 异常行为模式的统计分析； 操作系统的审计跟踪管理及违反安全策略的用户行为的识别。 入侵检测系统完善了以前的静态安全防御技术的诸多不足，是对防火墙的合理补充，为计算机网络、系统的安全防护提供了新的解决方案。 入侵检测系统作为动态安全防御技术的应用实例，是继防火墙之后的第二道安全防线。 入侵检测系统应满足的功能要求： 实时性、 可扩展性、 适应性、 安全性、 可用性、 有效性等。