信息安全技术 infosec_ch07.ppt

* 第 7 章 入侵检测技术 本章学习目标： 了解入侵检测系统的原理 掌握入侵检测系统的核心技术 了解入侵检测系统的作用 了解入侵检测技术的发展趋势 掌握入侵检测系统在网络安全中的地位 掌握评价入侵检测系统的性能指标 7.1 入侵检测系统概述 防火墙是所有保护网络的方法中最能普遍接受的方法，能阻挡外部入侵者，但对内部攻击无能为力；同时，防火墙绝对不是坚不可摧的，即使是某些防火墙本身也会引起一些安全问题。防火墙不能防止通向站点的后门，不提供对内部的保护，无法防范数据驱动型的攻击，不能防止用户由Internet上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输。 入侵检测是防火墙的合理补充，它帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。 7.1 入侵检测系统概述 7.1.1 相关术语 攻击 ?攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取/破坏/篡改目标系统的数据或访问权限 事件 ?在攻击过程中发生的可以识别的行动或行动造成的后果；在入侵检测系统中，事件常常具有一系列属性和详细的描述信息可供用户查看。? CIDF 将入侵检测系统需要分析的数据统称为事件（event） 入侵 ?对信息系统的非授权访问及（或）未经许可在信息系统中进行操作 入侵检测 ?对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程 入侵检测系统（IDS） ?用于辅助进行入侵检测或者独立进行入侵检测的自动化工具 7.1 入侵检测系统概述 7.1.1 相关术语 入侵检测（Intrusion Detection）技术是一种动态的网络检测技术，主要用于识别对计算机和网络资源的恶意使用行为，包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象，则应当做出适当的反应。对于正在进行的网络攻击，则采取适当的方法来阻断攻击（与防火墙联动），以减少系统损失。对于已经发生的网络攻击，则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹，作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 7.1 入侵检测系统概述 7.1.2 入侵检测 7.1 入侵检测系统概述 入侵检测系统 入侵检测系统（IDS）由入侵检测的软件与硬件组合而成，被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现： 1）监视、分析用户及系统活动。 2）系统构造和弱点的审计。 3）识别反映已知进攻的活动模式并向相关人士报警。 4）异常行为模式的统计分析。 5）评估重要系统和数据文件的完整性。 6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 7.1 入侵检测系统概述 7.1.3 入侵检测系统的作用 ?监控网络和系统 ?发现入侵企图或异常现象 ?实时报警 ?主动响应 ?审计跟踪 形象地说，它就是网络摄像机，能够捕获并记录网络上的所有数据，同时它也是智能摄像机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄像机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄像机，还包括保安员的摄像机. 7.1 入侵检测系统概述 7.1 入侵检测系统概述 7.1.4 入侵检测的发展历程 1980年，概念的诞生 1984～1986年，模型的发展 1990年，形成网络IDS和主机IDS两大阵营 九十年代后至今，百家争鸣、繁荣昌盛 7.2 入侵检测的原理与技术 7.2.1 入侵检测的实现方式 入侵检测系统根据数据包来源的不同，采用不用的实现方式，一般地可分为网络型、主机型，也可是这两种类型的混合应用。 ?基于网络的入侵检测系统（NIDS） ?基于主机的入侵检测系统（HIDS） ?混合型入侵检测系统（Hybrid IDS） 7.2 入侵检测的原理与技术 7.2.1 入侵检测的实现方式 1、网络IDS： 网络IDS是网络上的一个监听设备(或一个专用主机)，通过监听网络上的所有报文，根据协议进行分析，并报告网络中的非法使用者信息。 –安装在被保护的网段（通常是共享网络，交换环境中交换机需支持端口映射）中 –混杂模式监听 –分析网段中所有的数据包 –实时检测和响应 7.2 入侵检测的原理与技术 图7-1 网络IDS工作模型 7.2 入侵检测的原理与技术 网络IDS优势 (1) 实时分析网络数据，检测网络系统的非法行为； (2) 网络IDS系统单独架设，不