08入侵检测技术.ppt

第8章 入侵检测技术 内容提要 ◎入侵检测系统概述 ◎入侵检测的原理与技术 ◎入侵检测系统的性能指标 ◎典型入侵防御系统简介 8.1 入侵检测系统概述 主要的传统安全技术 加密 消息摘要、数字签名 身份鉴别：口令、鉴别交换协议、生物特征 访问控制 安全协议： IPSec、SSL 网络安全产品与技术：防火墙、VPN 内容控制: 防病毒、内容过滤等。 入侵检测是对传统安全产品的补充和加强，是任何一个安全系统中不可缺的最后一道防线！它帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。 8.1 入侵检测系统概述 相关术语 攻击 攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取/破坏/篡改目标系统的数据或访问权限。 事件 在攻击过程中发生的可以识别的行动或行动造成的后果；在入侵检测系统中，事件常常具有一系列属性和详细的描述信息可供用户查看。 CIDF 将入侵检测系统需要分析的数据统称为事件（event）。 8.1 入侵检测系统概述 相关术语 入侵 对信息系统的非授权访问及（或）未经许可在信息系统中进行操作。 入侵检测 对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。 入侵检测系统（IDS） 用于辅助进行入侵检测或者独立进行入侵检测的自动化工具。 8.1 入侵检测系统概述 入侵检测技术 入侵检测（Intrusion Detection）技术是一种动态的网络检测技术，主要用于识别对计算机和网络资源的恶意使用行为，包括来自外部用户的入侵行为和内部用户的未经授权活动。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 一旦发现网络入侵现象，则应当做出适当的反应： 对于正在进行的网络攻击，则采取适当的方法来阻断攻击（与防火墙联动），以减少系统损失。 对于已经发生的网络攻击，则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹，作为增强网络系统安全性和追究入侵者法律责任的依据。 8.1 入侵检测系统概述 入侵检测系统 入侵检测系统（IDS）由入侵检测的软件与硬件组合而成，被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护。 这些都通过它执行以下任务来实现： 监视、分析用户及系统活动。 系统构造和弱点的审计。 识别反映已知进攻的活动模式并向相关人士报警。 异常行为模式的统计分析。 评估重要系统和数据文件的完整性。 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 8.1 入侵检测系统概述 入侵检测系统 简单地说，入侵检测系统包括三个功能部件： （1）信息收集 （2）信息分析 （3）结果处理 8.1 入侵检测系统概述 入侵检测系统 信息收集 （1）入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为 （2）需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，尽可能扩大检测范围 （3）入侵检测很大程度上依赖于收集信息的可靠性和正确性 信息分析 （1）模式匹配（误用检测） （2）统计分析（异常检测） （3）完整性分析，往往用于事后分析 8.1 入侵检测系统概述 入侵检测系统 信息分析 模式匹配（误用检测） 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。 一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。 8.1 入侵检测系统概述 入侵检测系统 信息分析 统计分析 统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。 测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。 8.1 入侵检测系统概述 入侵检测系统 信息分析 完整性分析 完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被安装木马的应用程序方面特别有效。 8.1 入侵检测系统概述 入侵检测系统 入侵检测系统的作用： 监控网络和系统 发现入侵企图或异常现象 实时报警 主动响应 审计跟踪 形象地说，它就是网络摄像机，能够捕获并记录网络上的所有数据，同时它也是智能摄像