[管理学]第13章 入侵检测.ppt

第13章 入侵检测 13.1 入侵检测概述 13.2 入侵检测系统分类 13.3 入侵检测系统的分析方式 13.4 入侵检测系统的设置 13.5 入侵检测系统的部署 13.6 入侵检测系统的有点与局限性 13.7 本章小结 习题 13.1 入侵检测系统概述 13.1.1 入侵检测的概念 入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。入侵检测系统的英文缩写是IDS（Intrusion Detection System），它使用入侵检测技术对网络与其上的系统进行监视，并根据监视结果进行不同的安全动作，最大限度地降低可能的入侵危害。 简单地说，入侵检测系统是这样工作的：若有一个计算机系统，它与网络连接着，或许也同Internet连接，由于一些原因，允许网络上的授权用户访问该计算机。例如，有一个连接着Internet的Web服务器，允许一定的客户、员工和一些潜在的客户访问存放在该Web服务器上的Web页面。然而，不希望其他员工、顾客或未知的第三方的未授权访问。一般情况下，可以采用一个防火墙或者一些类型的认证系统阻止未授权访问。然而，有时简单的防火墙措施或者认证系统可能被攻破。入侵检测是一系列在适当的位置上对计算机未授权访问进行警告的机制。对于假冒身份的入侵者，入侵检测系统也能采取一些措施来拒绝其访问。 入侵检测系统基本上不具有访问控制的能力，它就像是一个有着多年经验、熟悉各种入侵方式的网络侦察员，通过对数据包流的分析，可以从数据流中过滤出可疑数据包，通过与已知的入侵方式进行比较，确定入侵是否发生以及入侵的类型并进行报警。网络管理员可以根据这些报警确切地知道所受到的攻击并采取相应的措施。可以说，入侵检测系统是网络管理员经验积累的一种体现，它极大地减轻了网络管理员的负担，降低了对网络管理员的技术要求，提高了网络安全管理的效率和准确性。 目前，大部分网络攻击在攻击前有资料搜集的过程，例如，基于特定系统的漏洞攻击，在攻击之前需要进行端口扫描，以确认系统的类型以及漏洞相关的端口是否开启。某些攻击在初期就可以表现出较为明显的特征，例如，假冒有效用户登录，在攻击初期的登录尝试具有明显的特征。对于这两类攻击，入侵检测系统可以在攻击的前期准备时期或是在攻击刚刚开始的时候进行确认并发出警报。同时入侵检测系统可以对报警的信息进行记录，为以后的一系列实际行动提供证据支持。这就是入侵检测系统的预警功能。 入侵检测一般采用旁路侦听的机制，因此不会产生对网络带宽的大量占用，系统的使用对网内外的用户来说是透明的，不会有任何的影响。入侵检测系统的单独使用不能起到保护网络的作用，也不能独立地防止任何一种攻击。但它是整个网络安全系统的一个重要的组成部分，它所扮演的是网络安全系统中侦察与预警的角色，协助网络管理员发现并处理任何已知的入侵。可以说，它是对其他安全系统有力的补充，弥补了防火墙在高层上的不足。通过对入侵检测系统所发出警报的处理，网络管理员可以有效地配置其他的安全产品，以使整个网络安全系统达到最佳的工作状态，尽可能降低因攻击而带来的损失。 13.1.2 入侵检测系统的基本结构 CIDF(Common Intrusion Detection Framework，网址http：///）阐述了一个入侵检测系统的通用模型。如图13.1所示。CIDF将入侵检测系统需要分析的数据统称为事件（event），事件可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。它将入侵检测系统分为以下组件。 图13.1 CIDF模型 （1） 事件产生器 事件产生器采集和监视被保护系统的数据，这些数据可以是网络的数据包，也可以是从系统日志等其他途径搜集到的信息。并且将这个数据进行保存，一般是保存到数据库中。 （2） 事件分析器 事件分析器的功能主要分为两个方面：一是用于分析事件产生器搜集到的数据，区分数据的正确性，发现非法的或者具有潜在危险的、异常的数据现象，通知响应单元做出入侵防范；一是对数据库保存的数据做定期的统计分析，发现某段时期内的异常表现，进而对该时期内的异常数据进行详细分析。 （3） 响应单元 响应单元是协同事件分析器工作的重要组成部分，一旦事件分析器发现具有入侵企图的异常数据，响应单元就要发挥作用，对具有入侵企图的攻击施以拦截、阻断、反追踪等手段，保护被保护系统免受攻击和破坏。 （4） 事件数据库 事件数据库记录事件分析单元提供的分析结果，同时记录下所有来自于事件产生器的事件，用来进行以后的分析与检查。 13.2 入侵检测系统概分类 根据入侵检测系统的检测对象和工作方式的不同，入侵检测系统主要分为两大类：基于主机的入侵检测系统和基于网络的入侵检测