第4章 黑客攻防与检测防御.ppt

4.5.1 入侵检测系统的概念 1. 入侵和入侵检测的概念 “入侵”是一个广义上的概念，所谓入侵是指任何威胁和破坏系统资源的行为。实施入侵行为的“人”称为入侵者。攻击是入侵者进行入侵所采取的技术手段和方法。 入侵的整个过程(包括入侵准备、进攻、侵入)都伴随着攻击有时也把入侵者称为攻击者。 入侵检测（Intrusion Detection，ID）是指通过对行为、安全日志、审计数据或其它网络上可获得的信息进行操作，检测到对系统的闯入或企图的过程。 4.5 入侵检测与防御系统概述 美军网络战子司令部多达541个,未来4年扩编4千人.据日本共同社2013年6月28日报道,美军参谋长联席会议主席登普西在华盛顿发表演讲时表示,为强化美国对网络攻击的防御能力,计划将目前约900人规模的网络战司令部在今后4年扩编4千人,为此将投入230亿美元。 案例4-8 4.5.1 入侵检测系统的概念 2.入侵检测系统的概念及原理 入侵检测系统(Intrusion Detection System,IDS),是可对入侵自动进行检测、监控和分析的软件与硬件的组合系统,是一种自动监测信息系统内外入侵的安全系统。IDS通过从计算机网络或计算机系统中的若干关键点收集信息，并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。 1）入侵检测系统产生与发展。 2）Denning模型。1986年，乔治敦大学的Dorothy Denning和 SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型——入侵检测专家系统IDES(Intrusion-detection expert system），也称Denning模型。 图4-6 入侵检测系统原理 4.5 入侵检测与防御系统概述 4.5.2 入侵检测系统的功能及分类 1.IDS基本结构 IDS主要由事件产生器、事件分析器、事件数据库、响应单元等构成. 2.IDS的主要功能 1) 对网络流量的跟踪与分析。 2）对已知攻击特征的识别。 3）对异常行为的分析、统计与响应。 4）特征库的在线升级。 5）数据文件的完整性检验。 6）自定义特征的响应。 7）系统漏洞的预报警功能。 3.IDS的主要分类 1）按照体系结构分为：集中式和分布式。 2）按照工作方式分为：离线检测和在线检测。 3）按照所用技术分为：特征检测和异常检测。 4）按照检测对象(数据来源)分:基于主机、基于网络和分布式(混合型) 4.5 入侵检测与防御系统概述 4.5.3 常用的入侵检测方法 1. 特征检测方法 特征检测指对已知的攻击或入侵的特征方式作出确定性的描述，形成相应的事件模式的检测方法。当被审计的事件与已知的入侵事件模式相匹配时，即报警。 2. 异常检测方法 异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。 常用的入侵检测5种统计模型： 1）操作模型。2）方差。 3）多元模型。4）马尔柯夫过程模型。 5）时间序列分析。 4.5 入侵检测与防御系统概述 4.5.4 入侵检测系统与防御系统 1.入侵检测系统概述 (1) 基于主机的入侵检测系统（HIDS） HIDS是以系统日志、应用程序日志等作为数据源，也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。HIDS一般是保护所在的系统，经常运行在被监测的系统上，监测系统上正在运行的进程是否合法。 优点：对分析“可能的攻击行为”有用。与NIDS相比通常能够提供更详尽的相关信息,误报率低,系统的复杂性少。 弱点：HIDS安装在需要保护的设备上,会降低应用系统的效率,也会带来一些额外的安全问题.另一问题是它依赖于服务器固有的日志与监视能力,若服务器没有配置日志功能,则必须重新配置,这将会给运行中的业务系统带来不可预见的性能影响。 4.5 入侵检测与防御系统概述 (2) 基于网络的入侵检测系统（NIDS） NIDS又称嗅探器,通过在共享网段上对通信数据的侦听采集数据,分析可疑现象(将NIDS放置在比较重要的网段内,不停地监视网段中的各种数据包.输入数据来源于网络的信息流).该类系统一般被动地在网络上监听整个网络上的信息流，通过捕获网络数据包，进行分析，检测该网段上发生的网络入侵，如图4-8示。 4.5 入侵检测与防御系统概述 （3）分布式入侵检测系统 分布式入侵检测系统DIDS是将基于主机和基于网络的检测方法集