网络安全第十一章.ppt

第十一章 入侵检测技术 入侵检测技术概述 入侵检测技术的起因 传统网络安全技术存在着与生俱来的缺陷 程序的错误 配置的错误 需求的变化决定网络不断发展 产品在设计阶段可能是基于一项较为安全的技术 但当产品成型后，网络的发展已经使得该技术不再安全 传统的网络安全技术是属于静态安全技术，无法解决动态发展网络中的安全问题。 入侵检测技术概述 James?P.?Anderson早在1980年4月为美国空军所作的著名研究报告“计算机安全威胁监测与监视”（computer?security?threat?monitoring?and?surveillance）。 1983年，斯坦福研究所SRI（Stanford?research?institute）的Dorothy?E.?Denning和Peter?Neumann承担了美国空海作战系统指挥部资助的入侵检测系统研究课题。研究成果命名为入侵检测专家系统IDES（intrusion?detection?expert?system）。 1985年，美国国防部所属的国家计算机安全中心正式颁布了网络安全标准，既可信计算机系统评估准则TCSEC（trusted?computer?system?evalution?criteria）。 1987年2月，Dorothy?E.?Denning和Peter?Neumann在总结几年研究工作的基础上，正式发表了入侵检测模型著名论文（an?intrusion detection?model）。 1988年5月，加州大学戴维斯分校劳伦斯利弗莫尔（Lawrence?Livermore）国家实验室承接了为美国空军基地开发新型IDS Haystack的科研课题。 1989年创建了以科研课题名称Haystack命名的商业公司，并将公司开发的IDS产品称为STALKER 。 1990年5月是入侵检测发展史上的另一个里程碑，加州大学戴维斯分校的L.?T.?Heberlein等研究人员首次利用网络数据包作为安全审计数据源，通过监测网络流量来识别网络入侵行为。 1991年2月，Haystack公司与L.?T.?Heberlein等人共同展开了对分布式入侵检测系统DIDS（distributed?intrusion?detection?system）的研究。 1992年，斯坦福研究所决定对早期的IDES进行改进，开发下一代入侵检测专家系统NIDES（next-generation?intrusion?detection?expert system）新产品。 入侵检测技术概述 入侵检测的定义 入侵检测（Intrusion Detection）是用来发现外部攻击与内部合法用户滥用特权的一种方法。 它还是一种增强内部用户责任感及提供对攻击者的法律诉讼依据的机制。 IDS（Intrusion Detection System） 系统动态安全模型 入侵检测技术概述 入侵检测的特点 入侵检测是一种动态的网络安全技术。 它利用各种不同类型的引擎，实时地或定期地对网络中相关的数据源进行分析，依照引擎对特殊的数据或事件的认识，将其中具有威胁性的部分提取出来，并触发响应机制。 入侵检测的动态性 入侵检测的实时性 对网络环境的变化具有一定程度上的自适应性 入侵检测技术概述 入侵检测的内容 外部攻击检测 内部特权滥用检测 入侵检测技术概述 入侵检测的内容 外部攻击检测 外部攻击与入侵是指来自外部网络非法用户的威胁性访问或破坏。 外部攻击检测的重点在于检测来自于外部的攻击或入侵。 入侵检测技术概述 入侵检测的内容 内部特权滥用检测 内部特权滥用是指网络的合法用户在不正常的行为下获得了特殊的网络权限并实施威胁性访问或破坏。 内部特权滥用检测的重点集中于观察授权用户的活动。 入侵检测技术概述 入侵检测的功能 检测和分析用户和系统的活动 识别反映已知攻击的活动模式 非正常活动模式的统计分析 通过对操作系统的审计，分析用户的活动、识别违规操作 审计系统配置和脆弱性、评估关键系统和数据文件的一致性 入侵检测技术概述 入侵检测技术原理与系统构成 原理图 入侵检测技术概述 IDS原理 入侵检测的技术的核心在于入侵检测过程 对行为与状态的综合分析是基于 模式匹配（误用检测） 异常统计 知识的智能推理 神经网络理论 入侵检测技术概述 IDS原理 技术分析的依据 历史知识 现有的行为状态 实时的监测是保证入侵检测具有实时性的主要手段 根据实时监测的记录不断修改历史知识保证了入侵检测具有自适应性 入侵检测技术概述 系统构成 入侵检测技术概述 IDS的构成 信息采集部件 对各类复杂、凌乱的信息进行格式化并交付于入侵分析部件 入侵分析部件 按照部件内部的分析引擎进行入侵分析，当信息满足了引擎的