信息安全技术第六章-入侵检测技术演示幻灯片.ppt

分布式检测的优缺点 优点： 实时告警 实时响应 缺点： 降低目标机的性能 没有统计行为信息 没有多主机标志 没有用于支持起诉的原始数据 降低了数据的辨析能力 系统离线时不能分析数据 操作模式 操作主机入侵检测系统的方式 警告 监视 毁坏情况评估 遵从性 基于主机的技术面临的问题 性能：降低是不可避免的 部署/维护 损害 欺骗 基于网络的入侵检测系统 入侵检测系统分析网络数据包 基于网络的检测威胁 基于网络的结构 优点及问题 基于网络的检测威胁 非授权访问 数据/资源的窃取 拒绝服务 基于网络的入侵检测系统结构 基于网络的入侵检测系统由遍及网络的传感器（Sensor)组成，传感器会向中央控制台报告。传感器通常是独立的检测引擎，能获得网络分组、找寻误用模式，然后告警。 传统的基于传感器的结构 分布式网络节点结构 传统的基于传感器的结构 传感器（通常设置为混杂模式）用于嗅探网络上的数据分组，并将分组送往检测引擎 检测引擎安装在传感器计算机本身 网络分接器分布在关键任务网段上，每个网段一个 管理/配置 入侵分析引擎器 网络安全数据库 嗅探器 嗅探器 分析结果 基于网络的入侵检测系统模型 分布式网络节点结构 为解决高速网络上的丢包问题，1999年6月，出现的一种新的结构，将传感器分布到网络上的每台计算机上 每个传感器检查流经他的网络分组，然后传感器相互通信，主控制台将所有的告警聚集、关联起来 数据采集构件 应急处理构件 通信传输构件 检测分析构件 管理构件 安全知识库 分布式入侵检测系统结构示意图 基于网络的入侵检测的好处 威慑外部人员 检测 自动响应及报告 基于网络的技术面临的问题 分组重组 高速网络 加密 基于异常的入侵检测 思想：任何正常人的行为有一定的规律 需要考虑的问题： （1）选择哪些数据来表现用户的行为 （2）通过以上数据如何有效地表示用户的行为，主要在于学习和检测方法的不同 （3）考虑学习过程的时间长短、用户行为的时效性等问题 数据选取的原则 （1）数据能充分反映用户行为特征的全貌 （2） 应使需要的数据量最小 （3） 数据提取难度不应太大 NIDS抓包 PF_PACKET 从链路层抓包 libpcap 提供API函数 winpcap Windows下的抓包库 分析数据包 Ethernet IP TCP 模式匹配 Ethernet IP TCP 协议分析 HTTP Unicode XML 模式匹配 0 0050 dac6 f2d6 00b0 d04d cbaa 0800 4500 .P.......M....E. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.@........1.P 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .....P.b2.A:..P. 30 16d0 f6e5 0000 4745 5420 2f70 726f 6475 ......GET /produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg HTTP/1.1.. 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*..Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: http://www 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 ./p a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0 2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/..Accept- c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: en-us. d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate.