信息安全第九章.ppt

段云所 副教授 第十一章 入侵检测系统 IDS（入侵检测系统）存在与发展的必然性 一、网络攻击的破坏性、损失的严重性 二、日益增长的网络安全威胁 三、单纯的防火墙无法防范复杂多变的攻击 为什么需要IDS 关于防火墙 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 入侵很容易 入侵教程随处可见 各种工具唾手可得 网络安全工具的特点 Intrusion Intrusion : Attempting to break into or misuse your system. Intruders may be from outside the network or legitimate users of the network. Intrusion can be a physical, system or remote intrusion. 入侵检测的定义 对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性 进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS : Intrusion Detection System) 入侵检测的起源（1） 审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程 审计的目标： 确定和保持系统活动中每个人的责任 重建事件 评估损失 监测系统的问题区 提供有效的灾难恢复 阻止系统的不正当使用 入侵检测的起源（2） 1980年4月，James P. Anderson 《Computer Security Threat Monitoring and Surveillance》 （计算机安全威胁监控与监视） 第一次详细阐述了入侵检测的概念 计算机系统威胁分类: 外部渗透、内部渗透和不法行为 提出了利用审计跟踪数据监视入侵活动的思想 这份报告被公认为是入侵检测的开山之作 入侵检测的起源（3） 从1984年到1986年 乔治敦大学的Dorothy Denning SRI/CSL的Peter Neumann 研究出了一个实时入侵检测系统模型——IDES（入侵检测专家系统） 入侵检测的起源（3） 入侵检测的起源（4） 1990，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM（Network Security Monitor） 该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机 入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS 入侵检测系统的需求特性（1） 一个成功的入侵检测系统至少要满足以下五个主要要求： (1) 实时性要求 如果攻击或者攻击的企图能够被尽快发现，就有可能查出攻击者的位置，阻止进一步的攻击活动，有可能把破坏控制在最小限度，并能够记录下攻击过程，可作为证据回放。实时入侵检测可以避免管理员通过对系统日志进行审计以查找入侵者或入侵行为线索时的种种不便与技术限制。 入侵检测系统的需求特性（2） (2) 可扩展性要求 攻击手段多而复杂，攻击行为特征也各不相同。所以必须建立一种机制，把入侵检测系统的体系结构与使用策略区分开。入侵检测系统必须能够在新的攻击类型出现时，可以通过某种机制在无需对入侵检测系统本身体系进行改动的情况下，使系统能够检测到新的攻击行为。在入侵检测系统的整体功能设计上，也必须建立一种可以扩展的结构，以便适应扩展要求。 入侵检测系统的需求特性（3） (3) 适应性要求 入侵检测系统必须能够适用于多种不同的环境，比如高速大容量计算机网络环境。并且在系统环境发生改变，比如增加环境中的计算机系统数量，改变计算机系统类型时，入侵检测系统应当依然能够正常工作。适应性也包括入侵检测系统本身对其宿主平台的适应性，即：跨平台工作的能力，适应其宿主平台软、硬件配置的不同情况。 入侵检测系统的需求特性（4） (4) 安全性与可用性要求 入侵检测系统必须尽可能的完善与健壮，不能向其宿主计算机系统以及其所属的计算机环境中引入新的安全问题及安全隐患。并且入侵检测系统在设计和实现时，应该考虑可以预见的、针对该入侵检测系统的类型与工作原理的攻击威胁，及其相应的抵御方法。确保该入侵检测系统的安全性与可用性。 入侵检测系统的需求特性（5） (5) 有效性要求 能够证明根据某一设计所建立的入侵检测系统是切实有效的。即：对于攻击事件的错报与漏报能够控制在一定范围内。 IDS基本结构 入侵检测系统包括三个功能部件 （1）信息收集 （2）信息分析 （3）结果处理 （1）信息搜集 信息收集 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为 需要在计算机