第1章入侵检测概述.pptVIP

第1章 入侵检测概述 概述: 网络安全基本概念 入侵检测的产生与发展 入侵检测的基本概念 安全事件模式 传统的安全措施 加密 数字签名 身份鉴别：口令、鉴别交换协议、生物特征 访问控制 安全协议： IPSec、SSL 网络安全产品与技术：防火墙、VPN 防火墙在大多数机构的网络安全策略中起到支柱作用 防火墙的位置 防火墙的作用 阻绝非法进出 IDS置于防火墙与内部网之间 为什么需要入侵检测系统 入侵行为日益严重 攻击工具唾手可得 入侵教程随处可见 内部的非法访问 内部网的攻击占总的攻击事件的70%以上 没有监测的内部网是内部人员的“自由王国” 边界防御的局限 防火墙不能防止通向站点的后门。 防火墙一般不提供对内部的保护。 防火墙无法防范数据驱动型的攻击。 防火墙不能防止Internet上下载被病毒感染的程序 入侵检测系统的历史 入侵检测系统的历史 入侵检测系统的历史 入侵检测系统的历史 入侵检测系统的历史 入侵检测系统的历史 入侵检测系统的历史 入侵检测系统的历史 入侵检测系统的历史 什么是入侵检测系统 对信息系统的非授权访问及（或）未经许可在信息系统中进行操作 入侵检测发挥的作用 入侵检测发挥的作用 入侵检测发挥的作用 入侵检测发挥的作用 入侵检测发挥的作用 入侵检测系统的功能 入侵检测的优点 提高信息安全构造的其他部分的完整性 提高系统的监控 从入口点到出口点跟踪用户的活动 识别和汇报数据文件的变化 侦测系统配置错误并纠正他们 识别特殊攻击类型，并向管理人员发出警报，进行防御 入侵检测的缺点 不能弥补差的认证机制 如果没有人的干预，不能管理攻击调查 不能知道安全策略的内容 不能弥补网络协议上的弱点 不能弥补系统提供质量或完整性的问题 不能分析一个堵塞的网络 不能处理有关packet-level的攻击 二、入侵检测系统的分类 按数据检测方法分类 按系统结构分类 按时效性分类 按照数据来源分类 入侵检测的分类（一） 异常检测模型（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 入侵检测的分类（二） 集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行 分布式：系统的各个模块分布在不同的计算机和设备上 入侵检测的分类（三） 离线入侵检测系统（off-line IDS） 在线入侵检测系统（On-line IDS） 入侵检测系统分类(四) 基于主机的入侵检测系统（HIDS） 基于网络的入侵检测系统（NIDS） 混合型入侵检测系统（Hybrid IDS） 网络节点入侵检测系统（NNIDS） 主机IDS 定义 运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理 特点 安装于被保护的主机中 系统日志 系统调用 文件完整性检查 主要分析主机内部活动 占用一定的系统资源 主机IDS优势 精确地判断攻击行为是否成功。 监控主机上特定用户活动、系统运行情况 HIDS能够检测到NIDS无法检测的攻击 HIDS适用加密的和交换的环境。 不需要额外的硬件设备。 主机IDS的劣势 HIDS对被保护主机的影响。 HIDS的安全性受到宿主操作系统的限制。 HIDS的数据源受到审计系统限制。 被木马化的系统内核能够骗过HIDS。 维护/升级不方便。 网络IDS 定义 通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。 特点 安装在被保护的网段（通常是共享网络）中 混杂模式监听 分析网段中所有的数据包 实时检测和响应 网络IDS实现 网络IDS优势 实时分析网络数据，检测网络系统的非法行为； 网络IDS系统单独架设，不占用其它计算机系统的任何资源； 网络IDS系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高； 它既可以用于实时监测系统，也是记录审计系统，可以做到实时保护，事后分析取证； 通过与防火墙的联动，不但可以对攻击预警，还可以更有效地阻止非法入侵和破坏。 不会增加网络中主机的负担 网络IDS的劣势 不适合交换环境和高速环境 不能处理加密数据 资源及处理能力局限 系统相关的脆弱性 三、入侵检测系统关键技术 数据采集技术 高速网络线速采集 Dedicated NIC Driver DMA-based zero copy 包俘获 包俘获库Libcap windows