第5章 入侵检测系统.ppt

第5章 入侵检测系统 传统上，一般采用防火墙作为安全的第一道防线。但随着攻击者攻击技巧的日趋成熟，攻击工具与手法的复杂多样化，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要了。因此，入侵检测系统IDS（intrusion detection system）作为一种新的安全防御措施进入了人们的视野。作为防火墙的一种补充策略，IDS可以用来识别针对计算机系统和网络系统或者更广泛意义上的信息系统的非法攻击，它不仅检测来自外部的入侵行为，同时也检测内部用户的未授权活动。 5.1 入侵检测概述 5.1.1 入侵检测的概念 入侵检测是指发现非授权用户企图使用计算机系统或合法用户滥用其特权的行为，这些行为破坏了系统的完整性、机密性及资源的可用性。为完成入侵检测任务而设计的计算机系统，是一套运用入侵检测技术对计算机或网络资源进行实时检测的系统工具。 入侵检测的作用是检测对系统的入侵事件，一般不采取措施防止入侵行为。一个入侵检测系统应具有准确性、可靠性、可用性、适应性、实时性和安全性等特点。 入侵检测提供了用于发现入侵攻击与合法用户滥用特权的方法，它基于的前提是：入侵行为和合法行为是可区分的。 5.1.2 入侵检测系统组成 1．探测器 探测器主要负责收集数据。探测器的输入数据流包括任何可能包含入侵行为线索的系统数据，如网络数据包、日志文件和系统调用记录等。探测器将这些数据收集起来，然后发送到分析器进行处理。 2．分析器 分析器又可称为检测引擎，它负责从一个或多个探测器接收信息，并通过分析来确定是否发生了非法入侵活动。分析器的输出为标识入侵行为是否发生的指示信号（如一个警告信号），该指示信号中还可能包括相关的证据信息。另外，分析器还能够提供关于可能的反应措施的相关信息。 3．用户接口 用户接口使得用户易于观察系统的输出信号，并对系统行为进行控制。在某些系统中，用户接口又可以称为“管理器”、“控制器”或者“控制台”等。 除了以上3个必要的组成部分之外，某些入侵检测系统可能还包括一个“蜜罐”诱饵机。该诱饵机的设计和配置具有明显的系统安全漏洞，并对攻击者明显可见。 5.1.3 入侵检测功能 入侵检测与传统的安全技术不同，它并不是设法建立安全、可靠的计算机系统或网络环境，而是通过对网络活动和系统用户信息进行分析处理来达到对非法行为的检测、报警和预警目的，进而由有关安全组件（如防火墙）对非法行为进行控制，来保障系统的安全。其功能为： （1）监控和分析用户以及系统的活动。 （2）核查系统安全配置和漏洞。 （3）评估关键系统和数据文件的完整性。 （4）识别攻击的活动模式并向网络管理人员报警。 （5）统计分析异常活动，识别违反安全策略的用户活动。 5.1.4 入侵检测系统的评价指标 评价不同种类入侵检测系统优劣的指标主要有以下几个方面： （1）准确性。准确性是指入侵检测系统不会标记环境中的一个合法行为为异常或入侵行为。 （2）性能。入侵检测系统的性能是指处理审计事件的速度。对一个实时入侵检测系统来说，必须要求性能良好。 （3）完整性。完整性是指入侵检测系统能检测出所有的攻击。 （4）故障容错。故障容错是指当被保护系统遭到攻击和毁坏时，能迅速恢复系统原有的数据和功能。 （5）自身抵抗攻击能力。这一点很重要，尤其是抵抗“拒绝服务”攻击。（6）及时性。一个入侵检测系统必须尽快地执行和传送它的分析结果，以便在系统造成严重危害之前能及时作出反应，阻止攻击者破坏审计数据或入侵检测系统本身。 5.2 入侵检测系统分类 5.2.1 根据数据源分类 入侵检测系统的数据来源有两种：系统审计数据和网络流。根据数据来源不同可分为以下3类。 1.基于主机的入侵检测系统 基于主机的入侵检测系统HIDS（host Intrusion detection system）通常部署在权限被授予和跟踪的主机上，依据一定的算法对主机日志文件中的审计数据（包括可查事件和可查信息，如多次登录失败的记录等）进行分析，就能得出入侵行为的类型，如非法用户的登录、冒充合法用户等。 2．基于网络的入侵检测系统 基于网络的入侵检测系统NIDS（network intrusion detection system）工作在网卡混杂模式时，网络适配器可以接收所有在网络中传输的数据包，并提交给操作系统或应用程序进行分析。这种机制为进行网络数据流的监视和入侵检测提供了必要的数据来源。目前，NIDS应用比较广泛，其数据源来自网络流，是网络应用飞速发展、网络入侵事件剧增的必然产物。 3．混合式入侵检测系统 上述两种系统各有所长，可结合起来，互相补充，构成分布式的、面向大型网络的、协作式的入侵检测系统，如公司的Realsecure 3.2就是利用了这两种技术的集成。 5.2.2 根据检测原理分类 根据检测原理，可将入侵