信息安全原理与技术ch10-入侵检测.pptVIP

Ch10-入侵检测 信息安全原理与技术 郭亚军 宋建华 李莉 清华大学出版社 第10章 入侵检测 主要知识点： -- 入侵检测概述 -- 入侵检测系统分类 --入侵检测系统分析技术 10.1 入侵检测概述 安全研究的历史给了我们一个有价值的教训——没有100%的安全方案，无论多么安全的方案都可能存在这样或那样的漏洞，不管在网络中加入多少入侵预防措施（如加密、防火墙和认证），通常还是会有一些被人利用而入侵的薄弱环节。 10.1.1 入侵检测基本概念 入侵 一些试图损害一个资源的完整性、有效性的行为集合。 入侵检测（Intrusion Detection） 是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。 入侵检测系统（IDS）的主要任务 监视、分析用户及系统活动； 系统构造和弱点的审计； 识别反映已知进攻的活动模式并向相关人士报警； 异常行为模式的统计分析； 评估重要系统和数据文件的完整性； 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 入侵检测系统的三个组成部分 提供事件记录流的信息资源 发现入侵事件的分析引擎 对分析引擎的输出做出反应的响应组件 10.1.2 入侵检测系统基本模型 IDES模型 IDM模型 公共入侵检测框架CIDF IDES模型 改进的IDES模型 层次化入侵检测模型（IDM） 公共入侵检测框架CIDF 10.2 入侵检测系统分类 根据数据源分类 基于主机的入侵检测系统 基于网络的入侵检测系统 分布式入侵检测系统 根据分析引擎分类 异常入侵检测 误用入侵检测 从响应的角度分类 报警响应 手工响应 主动响应 根据检测速度分类 实时检测 离线检测 10.2.1 基于主机的入侵检测系统（HIDS） 10.2.2 基于网络的入侵检测系统（NIDS） 数据来源 利用网卡的杂收模式，获得经过本网段的所有数据信息，从而实现获取网络数据的功能。 10.2.3 分布式入侵检测系统（DIDS） 传统的IDS普遍存在的问题 系统的弱点或漏洞分散在网络中各个主机上，这些弱点有可能被入侵者一起用来攻击网络，而仅依靠HIDS或NIDS不能发现更多的入侵行为。 现在的入侵行为表现出相互协作入侵的特点，例如分布式拒绝服务攻击（DDoS）。 入侵检测所需要的数据来源分散化，收集原始的检测数据变得困难，如交换型网络使得监听网络数据包受到限制。 由于网络传输速度加快，网络流量不断增大，所以集中处理原始数据的方式往往造成检测的实时性和有效性大打折扣。 DIDS的分布性 数据包过滤的工作由分布在各网络设备（包括联网主机）上的探测代理完成； 探测代理认为可疑的数据包将根据其类型交给专用的分析层设备处理。 DIDS结构框图 10.3 入侵检测系统分析技术 异常检测技术 误用检测技术 10.3.1 异常检测技术 10.3.2 误用检测技术 * IDS的用途 攻击工具 攻击命令 攻击机制 目标网络 网络漏洞 目标系统 系统漏洞 攻击者 漏洞扫描 评估 加固 攻击过程 实时 入侵 检测 主体 安全监控器 对象 审计数据 系统 轮廓 攻击状态 添加新规则 实时信息 规则 匹配 审计数据源 模式匹配器 轮廓特征引擎 异常检测器 策略规则 警告/报告 产生器 层次 名称 解释说明 6 安全状态（security state） 网络整体安全情况 5 威胁（thread） 动作产生的结果种类 4 上下文（context） 事件发生所处的环境 3 主体（subject） 事件的发起者 2 事件（event） 日志记录特征性质和表示动作描述 1 数据（data） 操作系统或网络访问日志记录 原始事件 原始事件 原始事件 存储事件 高级事件 响应事件 响应单元 事件分析器 事件数据库 事件产生器 数据来源 操作系统审计记录（由专门的操作系统机制产生的系统事件记录） 系统日志（由系统程序产生的用于记录系统或应用程序事件的文件，通常以文本文件的方式存放） 基于应用的日志信息 基于目标的对象信息 基于主机的IDS的优点 能更准确地确定出攻击是否成功。 能监视特定的系统活动。 基于主机的IDS可以检测到那些基于网络的系统察觉不到的攻击。 由于基于主机的IDS系统安装在企业的各种主机上，它们更加适合于交换的环境和加密的环境。 检测和响应速度接近实时。 花费更加低廉。 基于网络的IDS的优点 能检测基于主机的系统漏掉的攻击。 攻击者不易转移证据。 实时检测和响应。 可检测未成功的攻