07安全检测技术课件.ppt

第7章 安全检测技术——入侵检测技术、信息获取技术; 概述 入侵检测的分类 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 入侵检测的现状和展望;1 概述 入侵检测的分类 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 入侵检测的现状和展望;Intrusion;传统的信息安全方法采用严格的访问控制和数据加密策略来防护，但在复杂系统中，这些策略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全 入侵检测（Intrusion Detection）是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象;入侵检测的定义;入侵检测系统的定义;入侵检测系统的特点;网络安全工具的特点;入侵检测的起源（1）;入侵检测的起源（2）;入侵检测的起源（3）;入侵检测的起源（4）;IDES结构框架;入侵检测的起源（5）;为什么需要IDS;IDS存在与发展的必然性;IDS基本结构;信息收集;信息收集;信息收集的来源;系统或网络的日志文件;系统目录和文件的异常变化;信息分析;模式匹配;统计分析;完整性分析; 概述 2 入侵检测的分类 入侵检测系统的设计原理 入侵检测响应机制 入侵检测标准化工作 入侵检测的现状和展望;按检测方法分类;异常检测;前提：入侵是异常活动的子集 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围 过程 监控 ? 量化 ? 比较 ? 判定 ? 修正 指标:漏报，错报;异常检测;Anomaly Detection;System Audit;前提：所有的入侵行为都有可被检测到的特征 攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 过程 监控 ? 特征提取 ? 匹配 ? 判定 指标 错报低 漏报高 ;误用检测模型;Misuse Detection;按照数据来源分类;监视与分析主机的审计记录 可以不运行在监控主机上 存在问题： 能否及时采集到审计记录？ 如何保护作为攻击目标主机审计子系统??;在共享网段上对通信数据进行侦听采集数据 主机资源消耗少 提供对网络通用的保护 存在问题： 如何适应高速网络环境？ 非共享网络上如何采集数据？;两类IDS监测软件;入侵检测系统体系结构;常用术语;当一个入侵正在发生或者试图发生时，IDS系统将发布一个alert信息通知系统管理员 如果控制台与IDS系统同在一台机器，alert信息将显示在监视器上，也可能伴随着声音提示 如果是远程控制台，那么alert将通过IDS系统内置方法（通常是加密的）、SNMP（简单网络管理协议，通常不加密）、email、SMS（短信息）或者以上几种方法的混合方式传递给管理员;Anomaly（异常） ;首先，可以通过重新配置路由器和防火墙，拒绝那些来自同一地址的信息流;其次，通过在网络上发送reset包切断连接 但是这两种方式都有问题，攻击者可以反过来利用重新配置的设备，其方法是：通过伪装成一个友方的地址来发动攻击，然后IDS就会配置路由器和防火墙来拒绝这些地址，这样实际上就是对“自己人”拒绝服务了 发送reset包的方法要求有一个活动的网络接口，这样它将置于攻击之下，一个补救的办法是：使活动网络接口位于防火墙内，或者使用专门的发包程序，从而避开标准IP栈需求 ;IDS的核心是攻击特征，它使IDS在事件发生时触发 特征信息过短会经常触发IDS，导致误报或错报，过长则会减慢IDS的工作速度 有人将IDS所支持的特征数视为IDS好坏的标准，但是有的产商用一个特征涵盖许多攻击，而有些产商则会将这些特征单独列出，这就会给人一种印象，好像它包含了更多的特征，是更好的IDS;Promiscuous（混杂模式） ; 概述 入侵检测的分类 3 入侵检测系统的设计原理（略） 入侵检测响应机制 入侵检测标准化工作 入侵检测的现状和展望;活动;攻击模式库;基于主机的入侵检测系统;基于主机的检测威胁;基于主机的入侵检测系统结构;目标系统;集中式检测的优缺点;分布式检测的优缺点;操作模式;基于主机的技术面临的问题;基于网络的入侵检测系统;基于网络的检测威胁;基于网络的入侵检测系统结构;传统的基于传感器的结构;管理/配置;分布式网络节点结构;数据采集构件;基于网