lecture11-入侵检测系统.ppt

入侵检测系统 王丽苹 * 华东师范大学软件学院 Outline 入侵检测概述 入侵检测系统分类 入侵检测系统的分析方式 入侵检测系统的部署 入侵检测系统的优点和局限性 入侵检测概述 回顾：传统的安全技术 加密 消息摘要，数字签名 身份鉴别：口令、身份认证协议 访问控制 安全协议：IPSec，SSL 网络安全产品与技术：防火墙，VPN 内容控制：防病毒，内容过滤等 传统的产品侧重于： 预防（prevention）和 防护（protection） 入侵检测概述 预防性安全措施采用严格的访问控制和数据加密策略来防护，但在复杂系统中，这些策略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全。很多措施都是以减慢交易的速度为代价 需要注意到：网络是动态发展变化的。 引入检测的作用： 是静态防护转换为动态的关键 是动态响应的依据 是执行安全策略的依据 入侵检测概述（定义） NSTAC（National Security Telecommunications Advisory Board,国家安全通信委员会）的IDSG（Intrusion Detection Sub-Group)是一个由美国总统特许的保护国家关键基础设施的小组。 IDSG1997年给出了如下定义： 入侵（ Intrusion ）：对信息系统的非授权访问及（或）未经许可在信息系统中进行操作。 入侵检测（Intrusion Detection ）：对（网络）系统的运行状态进行监视，对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。 入侵检测系统：Intrusion Detection System 简称IDS 入侵检测系统的特点 进行入侵检测的软件与硬件的组合便是入侵检测系统（IDS， Intrusion Detection System ） 一个完善的入侵检测系统的特点： 经济性 时效性 安全性 可扩展性 入侵检测技术的起源 1980年Anderson提出：提出了精简审计的概念，风险和威胁分类方法 1987年Denning研究发展了实时入侵检测系统模型（IDES入侵检测专家系统），IDES提出了反常活动与计算机不正当使用之间的相关性。 80年代，基于主机的入侵检测 90年代，基于主机和基于网络入侵检测的集成 CMDS?、NetProwler?、NetRanger? 、ISS RealSecure? 入侵检测系统的基本结构（1） Dorothy Denning在1986年发表了“An Intrusion Detection Model”的文章，最早提出了一个通用的入侵检测专家系统框架，简称为IDES 。 入侵检测系统的基本结构（2） 美国国防高级研究计划署（DARPA）提出了公共入侵检测框架（CIDF）的研究项目CIDF在IDES模型的基础上提出了一个通用模型，将入侵检测系统分为四个基本组件：事件产生器、事件分析器、响应单元和事件数据库。 入侵检测系统的基本结构（1） 以下是CIDF模型中各个组件的介绍: 1．事件产生器：采集，监视，保存被保护系统的数据。这些数据可以是网络的数据包，系统日志等其他途径搜集到的信息。 2．事件分析器：主要分为两个方面功能： 用于分析事件产生器搜集到的数据，区分数据的正确性，发现非法的或者具有潜在危险的、异常的数据现象，通知响应单元做出入侵防范； 对数据库保存的数据做定期的统计分析，发现某段时期内的异常表现，进而对该时期内的异常数据进行详细分析。 入侵检测系统的基本结构（1） 3．响应单元：响应单元处理事件分析器发送的事件，并据此采取相应的措施，如杀死相关进程、将链接复位、修改文件权限等。 4．事件数据库：事件数据库记录事件分析单元提供的分析结果，同时记录下所有来自于事件产生器的事件，用来进行以后的分析与检查。 Outline 入侵检测概述 入侵检测系统分类 入侵检测系统的分析方式 入侵检测系统的部署 入侵检测系统的优点和局限性 入侵检测系统的分类 [参考]IDS按照不同的方式的分类情况： 入侵检测系统的分类 IDS根据的检测对象和工作方式，可以分为以下几类： 基于主机的入侵检测系统 基于网络的入侵检测系统 基于内核的入侵检测系统 综合的入侵检测系统 基于主机的入侵检测系统 主机入侵检测系统（Host IDS）：将检测模块驻留在受保护系统上，通过提取被保护系统的运行数据并进行入侵分析来实现检测功能。HIDS的检测目标主要是主机系统和系统本地用户。 根据检测对象的不同，HIDS可以进一步的划分为以下几类： 网络连接检测：对试图进入主机的数据流进行检测。 主机文件检测：包括系统日志，文件，进程等几个方面的检测 基于主机的入侵检测系统 典型的HIDS：Tripwire 为关键文件建立校验和，能维护文件的正常变化。