ch11-入侵检测技术课件.pptVIP

第7章 入侵检测技术;第十五讲 作业;本章教学要求： （1）掌握入侵检测系统概念； （2）掌握入侵检测系统分类； （3）了解入侵检测系统关键技术； （4）知道入侵检测系统模型； （5）知道入侵检测系统标准化； （6）了解入侵检测软件Snort特点和功能； （7）知道入侵检测产品选购。 ; 7.1 入侵检测系统概述 1．什么是入侵检测 入侵检测是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中若干关键点收集信息，并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和系统被攻击的征兆。(作业1.1) 入侵检测的目标是识别系统内部人员和外部入侵者的非法使用、滥用计算机系统的行为。 ;2. 入侵检测系统功能 入侵检测系统能主动发现网络中正在进行的针对被保护目标的恶意滥用或非法入侵，并能采取相应的措施及时中止这些危害，如提示报警、阻断连接、通知网管等。 其主要功能是监测并分析用户和系统的活动、核查系统配置中的安全漏洞、评估系统关键资源与数据文件的完整性、识别现有已知的攻击行为或用户滥用、统计并分析异常行为、对系统日志的管理维护。; 7.2 入侵检测一般步骤(作业1.2) 1．入侵数据提取 主要是为系统提供数据，提取的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测数据提取可来自以下四个方面。 （1）系统和网络日志； （2）目录和文件中的的改变； （3）程序执行中的不期望行为； （4）物理形式的入侵信息。; 2．入侵数据分析 主要作用在于对数据进行深入分析，发现攻击并根据分析的结果产生事件，传递给事件响应模块。常用技术手段有：模式匹配、统计分析和完整性分析等。入侵数据分析是整个入侵检测系统的核心模块。 3．入侵事件响应 事件响应模块的作用在于报警与反应，响应方式分为主动响应和被动响应。; 被动响应型系统只会发出报警通知，将发生的不正常情况报告给管理员，本身并不试图降低所造成的破坏，更不会主动地对攻击者采取反击行动。 主动响应系统可以分为对被攻击系统实施保护和对攻击系统实施反击的系统。 ; 7.3 入侵检测系统分类 7.3.1 根据系统所检测的对象分类(作业2) 1. 基于主机的入侵检测系统（HIDS） 基于主机的IDS安装在被保护的主机上，通常用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来检测入侵行为。 基于主机的IDS系统的优点是能够校验出攻击是成功还是失败；可使特定的系统行为受到严密监控等。缺点是它会占用主机的资源，要依赖操作系统等。 ; 2. 基于网络的入侵检测系统（NIDS） 基于网络的IDS一般安装在需要保护的网段中，利用网络侦听技术实时监视网段中传输的各种数据包，并对这些数据包的内容、源地址、目的地址等进行分析和检测。如果发现入侵行为或可疑事件，入侵检测系统就会发出警报甚至切断网络连接。 基于网络的IDS的优点是购买成本低，对识别出来的攻击能进行实时检测和响应，等。其主要缺点在于防欺骗能力较差、交互环境下难以配置等。; 3．基于应用的入侵检测系统（AIDS） AIDS实际上是HIDS的一个子集,它主要使用传感器在应用层收集信息.它监控在某个软件应用程序中发生的活动，信息来源主要是应用程序的日志，其监视的内容更为具体。 7.3.2 根据数据分析方法分类 1．异常检测 异常检测是假定所有的入侵行为都与正常行为不同。先定义一组系统在正常条件下的资源与设备利用情况的数值，建立正常活动的模型，然后再将系统在运行时的此类数值与事先定义的原有正常指标相比较，从而得出是否有攻击现象发生。 ; 2．误用检测 误用检测是假定所有入侵行为、手段及其变种都能够表达为一种模式或特征。系统的目标就是检测主体活动是否符合这些模式，因此又称为特征检测。 7.3.3 根据体系结构分类 根据IDS的系统结构，可分为集中式、等级式和分布式三种。 1．集中式入侵检测系统 集中式IDS可能有多个分布于不同主机上的审计程序，但只有一个中央入侵检测服务器。; 审计