信息系统安全检测技术教材.pptVIP

第七章 信息系统安全检测技术 ;本章主要内容;本章学习目标; 入侵检测技术是动态安全技术的最核心技术之一。传 统的操作系统加固技术和防火墙隔离技术等都是静态安全 防御技术，对网络环境下日新月异的攻击手段缺乏主动的 反应。 入侵检测是防火墙的合理补充，帮助系统对付网络攻 击，扩展了系统管理员的安全管理能力（包括安全审计、 监视、进攻识别和响应），提高了信息安全基础结构的完 整性。它从计算机网络系统中的若干关键点收集信息、分 析信息，查看是否有违反安全策略的行为和遭到袭击的迹 象。入侵检测被认为是防火墙之后的第二道安全防线，提 供对内部攻击、外部攻击和误操作的实时保护。 ;7.1.1 入侵检测定义 ;7.1.2 IDS分类 ;7.1.2 IDS分类 ;7.1.3 入侵检测系统基本原理 ;7.1.3 入侵检测系统基本原理 ;7.1.3 入侵检测系统基本原理 ;7.1.3 入侵检测系统基本原理;7.1.3 入侵检测系统基本原理;1.基于主机的入侵检测系统 ;1.基于主机的入侵检测系统 ;2.基于网络的入侵检测系统 ;2.基于网络的入侵检测系统 优点： ①检测的范围是整个网段，而不仅仅是被保护的主机。 ②实时检测和应答。一旦发生恶意访问或攻击，能够更快 地做出反应，将入侵活动对系统的破坏减到最低。 ③隐蔽性好。不需要在每个主机上安装，不易被发现。 ④不需要任何特殊的审计和登录机制，只要配置网络接口 就可以了，不会影响其他数据源。 ⑤操作系统独立。基于网络的IDS并不依赖主机的操作系 统作为检测资源。 ;3.分布式入侵检测系统 分布式入侵检测系统产生的原因情况： 系统的弱点或漏洞分散在网络中各个主机上，这些弱点有可能被入侵者一起用来攻击网络，而仅仅依靠一个主机或网络入侵检测系统难以发现入侵行为。 网络入侵行为不再是单一的行为，而是表现出相互协作入侵的特点，如分布式拒绝服务攻击。 入侵检测所依靠的数据来源分散化，收集原始的检测数据变得困难。 网络速度传输加快，网络流量大，原始数据的集中处理方式往往造成检测瓶颈，从而导致漏检。;3.分布式入侵检测系统 ;3.分布式入侵检测系统 ;1.基于用户行为概率统计模型的入侵检测方法 根据系统内部保存的用户行为概率统计模型进行检测 。在用户的历史行为以及早期的证据或模型的基础上生成 每个用户的历史行为记录库，系统实时地检测用户对系统 的使用情况，当用户改变他们的行为习惯时，当发现有可 疑的行为发生时，这种异常就会被检测出来。 例如，统计系统会记录CPU的使用时间、I/O的使用通 道和频率、常用目录的建立与删除、文件的读些、修改、 删除、以及用户习惯使用的编辑器和编译器、最常用的系 统调用、用户ID的存取、文件和目录的使用。 ;2.基于神经网络的入侵检测方法 这种方法是利用神经网络技术来进行入侵检测的，因 此，这种方法对于用户行为具有学习和自适应性，能够根 据实际检测到的信息有效地加以处理并做出判断。但尚不 十分成熟，目前还没有出现较为完善的产品。 ;3.基于专家系统的入侵检测方法 根据安全专家对可疑行为的分析经验形成的一套推理 规则，建立相应的专家系统，自动进行对所涉及的入侵行 为进行分析。 实现基于规则的专家系统是一个知识工程问题，应当 能够随着经验的积累而利用其自学习能力进行规则的扩充 和修正。这样的能力需在专家指导和参与才能实现。一方 面，推理机制使得系统面对一些新的行为现象时可能具备 一定的应对能力(即有可能会发现一些新的安全漏洞)；另 一方面，攻击行为不会触发任何一个规则，从而被检测到。 ;3.基于专家系统的入侵检测方法 基于专家系统也有局限性。这类系统的基础的推理规则一般都是根据已知的安全漏洞进行安排和策划的，而对系统的最危险的威胁则主要是来自未知的安全漏洞。 ;4.基于模型推理的入侵检测方法 根据入侵者在进行入侵时所执行程序的某些行为特征 建立一种入侵行为模型；根据这种行为模型所代表的入侵 意图的行为特征来判断用户的操作是否属于入侵行为。当 然这种方法也是建立在对已知的入侵行为的基础之上的， 对未知的入侵行为模型识别需要进一步的学习和扩展。 上述每一种方法都不能保证准确地检测出变化无穷的 入侵行为，因此在网络安全防护中要充分衡量各种方法的 利弊。综合运用这些方法才能有效地检测出入侵者的非法 行为。;1.信息收集分析时间 2.采用的分析类型 3.检测系统对攻击和误用的反应 4.检测系统的管理和安装 5.检测系统的完整性 6.设置诱骗服务器 ; 入侵者常常是从收集、发现和利用信息系统的漏洞来 发起