第5章 入侵检测概述.pptVIP

入侵的定义 Intrusion is defined as attempts to compromise the confidentiality, integrity, availability, or to bypass the security mechanisms of a computer or network. ——NIST的定义 典型网络攻击过程 网络安全工具的特点 为什么需要入侵检测系统 一、防范透过防火墙的入侵 利用应用系统漏洞实施的入侵 利用防火墙配置失误 二、防范来自内部网的入侵 内部网的攻击占总的攻击事件的70％ 没有监测的内部网是内部人员的“自由王国” 三、对网络行为的审计，防范无法自动识别的恶意破坏 使用IDS的理由(1) 帮助发现和处理攻击的企图 网络或系统探查（Probe） 主机探测、信息收集 端口扫描 漏洞扫描 使用IDS的理由(2) 提供已发生入侵过程的详细信息 帮助确定系统存在的问题 为系统恢复和修正提供参考 使用IDS的理由(3) 提供攻击行为的证据 追查入侵的来源 稻草人的故事——心理威慑力 入侵检测是什么 入侵检测(Intrusion Detection)是对入侵行为的发觉，通过对计算机网络和计算机系统的关键结点的信息进行收集分析，检测其中是否有违反安全策略的事件发生或攻击迹象，并通知系统安全管理员。 一般把用于入侵检测的软件、硬件合称为入侵检测系统(Intrusion Detection System)。 入侵检测被认为是防火墙之后的第二道安全闸门！ 入侵检测的分类(1) 按照分析方法（检测方法） 异常检测模型（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 异常检测模型 1、前提：入侵是异常活动的子集 2、用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围 3、过程: 监控 ? 量化 ? 比较 ? 判定 ? 修正 4、指标:漏报率低,误报率高 入侵检测的分类（2） 按照数据来源： 基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机 基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行 混合型 基于网络的入侵检测系统 两类IDS监测软件 网络IDS 侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少 主机IDS 视野集中 易于用户自定义 保护更加周密 对网络流量不敏感 入侵检测的分类（3） 按系统各模块的运行方式 集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行 分布式：系统的各个模块分布在不同的计算机和设备上 入侵检测的分类（4） 根据时效性 脱机分析：行为发生后，对产生的数据进行分析 联机分析：在数据产生的同时或者发生改变时进行分析 入侵检测基本原理 检查什么？ 入侵检测的数据源： 网络数据包、连接记录、访问记录 主机系统日志、审计记录 应用程序的日志 其它相关信息 怎么检查？ 入侵检测的分析引擎 异常检测、规则匹配、模式匹配 系统状态分析 行为统计、事件统计 神经网络、人工智能 … … 检查完怎么办？ 入侵检测的响应模块 报警、通知管理员 阻止进一步的入侵行为 追查入侵来源 恢复受损系统 还想干吗？ ……反击！？ 功能及系统分类 从逻辑上看，由三大功能模块组成： 探测器（Sensor） 分析器（Analyzer） 用户接口（User Interface） 入侵检测系统设计 网络编程基础 网络分层模型OSI/ISO TCP/IP参考模型 UDP、ICMP协议 … 网络数据包截获机制分析 1.基本的网络数据包分析 2.数据包截获/过滤机制 1.基本的网络数据包分析 数据包嗅觉器（Sniffer）是系统管理员用来监视和验证网络流量情况的软件程序，它通常被用来在网路上截获并阅读位于OSI协议模型中各个协议层次上的数据包。在网络入侵检测系统（NIDS）的设计中，网络Sniffer组件是整个系统的最基础部件，可以称得上是系统高效工作的基石。在许多系统中，它又根据其实质功能，被称为“协议解码器”或“协议分析器”。 简单代码演示：截获网络数据包并且解析数据包报文头中各子段内容。 1.