电子信息科学与技术导论 黄载禄-第十一章 网络信息安全.pptVIP

1.入侵检测的基本概念 随着电子商务的快速发展，越来越多的公司将自己的核心业务转向互联网，从而使得网络安全问题成为一个无法回避的问题。一般公司都选择了安装防火墙来构筑安全屏障，但是随着黑客等技术的发展，攻击者的知识日趋成熟，攻击工具也日趋多样化，防火墙也就显得愈加力不从心。在这种安全问题不断刺激着电子商务行业的大环境之下，入侵检测系统（Intrusion Detection System，简称IDS）就应运产生并发展起来了。 入侵检测系统是干什么的？假如防火墙是一个社区门口的警卫，那么IDS就是这整个社区里的监视系统。警卫会在入口处就辨别出你是否能够进入社区，一旦你进入了，他的保护作用也就失去了。而监视系统则是先默认所有的进入者都是合法的，但是一旦你有任何不轨行为，它都会“看”在眼里，然后发出警报来保护社区的安全。在这里，我们所说的“入侵”（Intrusion）是个广义的概念，不仅包括被发起攻击的人（如恶意的黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问（Denial of Service）等对计算机系统造成危害的行为。 所谓入侵检测，顾名思义便是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。入侵检测系统的主要功能有：（1）监测并分析用户和系统的活动；（2）核查系统配置和漏洞；（3）评估系统关键资源和数据文件的完整性；（4）识别已知的攻击行为；（5）统计分析异常行为；（6）管理操作系统日志和识别违反安全策略的用户活动。 一个成功的入侵检测系统它不但可使系统管理员时刻了解网络系统的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。 入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。而且，需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。 入侵检测利用的信息一般来自四个方面：（a)系统和网络日志文件；（b)目录和文件中的不期望的改变；（c)程序执行中的不期望行为；（d)物理形式的入侵信息。对上述这四类收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。 ● 模式匹配：模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的新的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。 ● 统计分析：统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。例如，统计分析可能标识一个不正常行为，因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法。 ● 完整性分析：完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特洛伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数，它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。尽管