1整理提交高教社323入侵检测体系结构和分类.pptxVIP

信息安全产品配置与应用Configuration and Application of Information Security Products重庆电子工程职业学院| 路亚模块三、IDS产品配置与应用 网络安全状况 为什么要使用入侵检测 入侵检测发展历程 入侵检测工作原理 入侵检测体系结构 入侵检测的分类 入侵检测的典型应用入侵检测的瓶颈和解决办法入侵检测与防火墙的联动入侵检测与入侵防御入侵检测系统的组成入侵检测系统模型，主要由以下几大部分组成：数据收集器：主要负责收集数据，探测器收集铺货所以可能的和入侵行为有关的信息，包括网络数据包、系统或应用程序的日志和系统调用记录等。探测器将数据收集后，送到检测器进行处理。检测器：负责分析和检测入侵行为，并发出警报信号。知识库：提供必要的数据信息支持，列如用户的历史活动档案、检测规则集等。控制器：根据报警信号，人工或自动做出反应动作。入侵检测在安全防御体系中的地位监测系统访问联动入侵检测在安全防御体系中的地位协议层次为系统提供全方位的保护应用层表示层会话层传输层IP层数据链层物理层安全审计记录所有的操作以备事后查询提交事件信息入侵检测监控所有的数据包，判断是否非法，进行相应处理（如阻断或者报警）防火墙提交事件信息实时分析所有的数据包，决定是否允许通过实时性 实时 准实时 事后模块三、IDS产品配置与应用 网络安全状况 为什么要使用入侵检测 入侵检测发展历程 入侵检测工作原理 入侵检测体系结构 入侵检测的分类 入侵检测的典型应用入侵检测的瓶颈和解决办法入侵检测与防火墙的联动入侵检测与入侵防御IDS分类方法根据体系结构进行分类根据检测原理进行分类根据实现方式进行分类根据体系结构进行分类集中式IDS引擎和控制中心在一个系统之上，不能远距离操作，只能在现场进行操作。优点是结构简单，不会因为通讯而影响网络带宽和泄密。分布式IDS引擎和控制中心在两个系统之上，通过网络通讯，可以远距离查看和操作。目前的大多数IDS系统都是分布式的。 优点不是必需在现场操作，可以用一个控制中心管理多个引擎，可以统一进行策略编辑和下发，可以统一查看和集中分析上报的事件，可以通过分开事件显示和查看的功能提高处理速度等等。根据体系结构进行分类分布式IDS：集权式：这种结构的IDS可能有多个分布在不同主机上的审计程序，但只有一个中央入侵检测服务器。等级式：定义了若干个分等级的监控区，每个IDS负责一个区，每一级IDS只负责所控区的分析，然后将当地的分析结果传送给上一级。协作式：将中央检测服务器的任务分配给多个基于主机的IDS，这些IDS不分等级，各司其职，负责监控当地主机的某些活动。根据检测原理进行分类误用检测(Misuse Detection)：这种检测方法是收集非正常操作（入侵）行为的特征，建立相关的特征库；在后续的检测过程中，将收集到的数据与特征库中的特征代码进行比较，得出是否有入侵行为。异常检测(Anomaly Detection )：这种检测方法是首先总结正常操作应该具有的特征；在得出正常操作的模型之后，对后续的操作进行监视，一旦发现偏离正常统计学意义上的操作模式，即进行报警。入侵特征知识库发现入侵！用户行为误用检测前提：所有的入侵行为都有可被检测到的特征 攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 过程 监控? 特征提取 ? 匹配 ? 判定 指标:误报低、漏报高 模式匹配误用检测特点如果入侵特征与正常的用户行为匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报；攻击特征的细微变化，会使得误用检测无能为力。误用检测实例 入侵检测引擎捕获到一个协议数据包，提交给协议分析模块，发现这是一个IP-TCP-Http的协议数据，将其提交给HTTP协议的数据分析模块。误用检测实例1. Http请求如下Get /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir+C：2. 入侵检测系统存在如下特征条件 alert tcp $EXTERNAL_NET any - $HTTP_SERVERS 80 (msg:WEB-IIS scripts access; flow:to_server; flags:A+; urlcontent:/scripts/; nocase; classtype:web-application-activity; sid:1287; rev:3;)3. 匹配成功，表明这是一个攻击数据包。4. 数据分析模块很快通知引擎管理模块，引擎管理模块根据用户的配置作出相应的策略，比如会立即发出Alert： WEB