入侵检测分析.pptVIP

入侵检测分析 一、入侵检测系统概述 1、相关术语 攻击：攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取/破坏/篡改目标系统的数据或访问权限 直接攻击和间接攻击 事件：在攻击过程中发生的可以识别的行动或行动造成的后果；在入侵检测系统中，事件常常具有一系列属性和详细的描述信息可供用户查看。 将入侵检测系统需要分析的数据统称为事件（event） 入侵检测是对入侵行为的发觉，它帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。 入侵检测技术是通过从计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到入侵的迹象的一种安全技术。 负责入侵检测的软/硬件组合体称为入侵检测系统IDS。 二、入侵检测系统的分类 IDS一般从实现方式上分为两种：基于主机的IDS和基于网络的IDS。一个完备的入侵检测系统IDS一定是基于主机和基于网络两种方式兼备的分布式系统。 不管使用哪一种工作方式，都用不同的方式使用了上述两种分析技术，都需要查找攻击签名——Attack Signature。 所谓攻击签名，就是用一种特定的方式来表示已知的攻击方式 二、入侵检测系统的分类 1、基于网络的IDS 基于网络的IDS是网络上的一个监听设备(或一个专用主机) 基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源。一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信， 一旦检测到攻击，IDS应答模块通过通知报警以及中断连接等方式来对攻击作出反应 安装在被保护的网段（通常是共享网络，交换环境中交换机需支持端口映射）中 混杂模式监听 分析网段中所有的数据包 实时检测和响应 基于网络的IDS工作模型 二、入侵检测系统的分类 基于网络的入侵检测系统的主要优点有 1 成本低 2 攻击者转移证据很困难 3 实时检测和应答一旦发生恶意访问或攻击，基于网络的IDS检测可以随时发现它们，因此能够更快地作出反应，从而将入侵活动对系统的破坏减到最低 4 能够检测未成功的攻击企图 5 操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源，而基于主机的系统需要特定的操作系统才能发挥作用 二、入侵检测系统的分类 基于网络的入侵检测系统的主要缺点有 (1) 不适合交换环境和高速环境：很难实现一些复杂的需要大量计算与分析时间的攻击检测。 (2)不能处理加密数据 (3) 资源及处理能力局限：只检查它直接连接网段的通信，不能检测在不同网段的网络包。 (4) 系统相关的脆弱性 二、入侵检测系统的分类 2、基于主机的IDS 基于主机的IDS一般监视Windows NT上的系统、事件、安全日志以及UNIX环境中的syslog文件，一旦发现这些文件发生任何变化，IDS将比较新的日志记录与攻击签名以发现它们是否匹配， 如果匹配的话检测系统就向管理员发出入侵报警并且发出采取相应的行动 安装于被保护的主机中 主要分析主机内部活动 占用一定的系统资源 二、入侵检测系统的分类 基于主机的IDS的主要优势有 1 非常适用于高速环境 2 接近实时的检测和应答 3 不需要额外的硬件 二、入侵检测系统的分类 3、两种入侵检测技术的比较 如果攻击不经过网络，基于网络的IDS无法检测到，只能通过使用基于主机的IDS 来检测 基于网络的IDS通过检查所有的包首标 header来进行检测，而基于主机的IDS并不查看包首标；许多基于IP的拒绝服务攻击和碎片攻击只能通过查看它们通过网络传输时的包首标才能识别 基于网络的IDS可以研究负载的内容查找特定攻击中使用的命令或语法。这类攻击可以被实时检查包序列的IDS迅速识别；而基于主机的系统无法看到负载，因此也无法识别嵌入式的负载攻击 二、入侵检测系统的分类 4、两种类型IDS的结合 在新一代的入侵检测系统中将把现在的基于网络和基于主机这两种检测技术很好地集成起来，提供集成化的攻击签名、检测、报告和事件关联功能 利用最新的可适应网络安全技术和P2DR（Policy Protection Detection Response）安全模型，可 以深入地研究入侵事件、入侵手段本身及被入侵 目标的漏洞等 二、入侵检测系统的分类 5、IDS的基本结构 无论IDS系统是网络型的还是主机型的，从功能上看，都可分为两大部分：探测引擎和控制中心。前者用于读取原始数据和产生事件；后者用于显示和分析事件以及策略定制等工作 引擎的主要功能为：原始数据读取、数据分析、产生事件、策略匹配、事件处理、通信等功能  三、入侵检测的原理 异常检测（A