入侵检测 课件.pptVIP

入侵检测 入侵检测概述 IDS的基本结构 IDS的常用分类 IDS的检测技术 IDS的设置 IDS的部署 IDS的应用 什么是入侵检测？ 入侵检测（Intrusion Detection）是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 进行入侵检测的软件与硬件的组合便是入侵检测系统（IDS : Intrusion Detection System）。 为什么需要IDS？ 入侵很容易 入侵教程随处可见 各种工具唾手可得 防火墙不能保证绝对的安全 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 防火墙是锁，IDS是监视器 如何使用IDS？ IDS可以作为防火墙的一个有效的补充，被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护。 图 示 IDS发挥的作用 技术层面 对具体的安全技术人员，可以利用IDS做为工具来发现安全问题、解决问题。 IDS发挥的作用 管理层面 对安全管理人员来说，是可以把IDS做为其日常管理上的有效手段。 IDS发挥的作用 领导层面 对安全主管领导来说，是可以把IDS做为把握全局一种有效的方法，目的是提高安全效能。 IDS发挥的作用 意识层面 对政府或者大的行业来说，是可以通过IDS来建立一套完善的网络预警与响应体系，减小安全风险。 IDS发展过程 — 概念的诞生 1980年4月，James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》（计算机安全威胁监控与监视）： IDS发展过程 — 研究和发展 Denning于1986年发表的论文“入侵检测模型”被公认为是IDS领域的又一篇开山之作； 1990年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯分校的L. T. Heberlein等人开发出了一套网络入侵检测系统（Network Security Monitor）； 从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。 IDS的基本结构 信息收集 信息分析 结果处理 信息收集 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为，这需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，应尽可能扩大检测范围，因为从一个源来的信息有可能看不出疑点。 入侵检测很大程度上依赖于收集信息的可靠性和正确性。因此要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息 。 信息来源 系统/网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为 日志文件 攻击者常在系统和网络日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要条件。 日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录“用户活动”类型的日志，就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容。显然，对用户活动来讲，不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等 。 系统目录和文件的异常变化 网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。 目录和文件中的不期望的改变（包括修改、创建和删除），特别是那些正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。 入侵者经常替换、修改和破坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件 。 信息分析 模式匹配 统计分析 完整性分析 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为 一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。 统计分析 统计分析方法首先给系