第8章入侵检测技术.ppt

1、入侵检测的概念：任务 2、入侵检测的分类 2、入侵检测的分类 2、入侵检测的分类 * * 入侵检测技术 1 入侵检测概述 2 入侵检测原理 3 入侵检测系统的关键技术 4 基于数据挖掘的智能化入侵检测系统设计 1 入侵检测概述 入侵检测的内容：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。 入侵检测（Intrusion Detection）：通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测系统（IDS）：入侵检测的软件与硬件的组合，是防火墙的合理补充，是防火墙之后的第二道安全闸门。 1、入侵检测的概念：模型 · 监视、分析用户及系统活动，查找非法用户和合法用户的越权操作； · 系统构造和弱点的审计，并提示管理员修补漏洞； · 识别反映已知进攻的活动模式并报警，能够实时对 检测到的入侵行为进行反应； · 异常行为模式的统计分析，发现入侵行为的规律； · 评估重要系统和数据文件的完整性； · 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 1.2 研究入侵检测的必要性 因为访问控制和保护模型本身存着在以下问题。 （1）弱口令问题。 （2）静态安全措施不足以保护安全对象属性。 （3）软件的Bug-Free近期无法解决。 （4）软件生命周期缩短和软件测试不充分。 （5）系统软件缺陷的修补工作复杂，而且源代码大多数不公开，也缺乏修补Bug的专门技术，导致修补进度太慢，因而计算机系统的不安全系统将持续一段时间。 入侵检测的主要目的有：识别入侵者；识别入侵行为；检测和监视已成功的安全突破；为对抗措施即时提供重要信息。因而，入侵检测是非常必要的，可以弥补传统安全保护措施的不足。 入侵检测系统的主要功能是检测，当然还有其他的功能选项，因而增加了计算机系统和网络的安全性。 使用入侵检测系统有如下优点： ① 检测防护部分阻止不了的入侵； ② 检测入侵的前兆； ③ 对入侵事件进行归档； ④ 对网络遭受的威胁程度进行评估； ⑤ 对入侵事件进行恢复。 入侵检测系统利用优化匹配模式和统计学技术把传统的电子数据处理和安全审查结合起来，已经发展成为构筑完整的现代网络安全技术的一个必不可少的部分。 一、什么是入侵检测 根据所采用的技术可以分为： 1）异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。 2）特征检测：特征检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。 一、什么是入侵检测 根据所监测的对象来分： 1）基于主机的入侵检测系统（HIDS）：通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是这些系统的弱点之一，入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。 2）基于网络的入侵检测系统（NIDS）：通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。 一、什么是入侵检测 根据系统的工作方式分为： 1）离线检测系统：离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。 2）在线检测系统：在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析，实时主机审计分析。其工作过程是实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。 2 入侵检测原理 入侵检测和其他检测技术基于同样的原理，即从一组数据中，检测出符合某一特点的数据。 2.1 异常入侵检测原理 构筑异常检测原理的入侵检测系统，首先要建立系统或用户的正常行为模式库，不属于该库的行为被视为异常行为。 但是，入侵性活动并不总是与异常活动相符合，而是存在下列4种可能性。 （1）入侵性而非异常。 （2）非入侵性且异常。 （3）非入侵性非异常。 （4）入侵性且异常。 另外，设置异常的门槛值不当，往往会导致IDS许多误报警或者漏检的现象，漏检对于重要的安全系统来说是相当危险的，因为IDS给安全管理员造成了系统安全假象。 2.2 误用入侵检测原理 误用入侵检测依赖于模式库，误用入侵检测能直接检测出模式库中已涵盖的入侵行为或不可接受的行为，而异常入侵检测是发现同