[工学]ch6入侵检测.ppt

第6章 入侵检测系统 入侵检测技术是继防火墙、信息加密等传统安全保护方法之后的新一代安全保障技术。 它从计算机网络和系统中的若干关键点收集信息并进行分析，检查网络中是否有违反安全策略的行为和入侵事件的发生，并发出实时报警。 本章内容： 入侵检测系统中基本概念 入侵检测的系统功能结构 入侵检测系统原理 入侵检测系统分类 入侵检测系统结构 入侵检测的数学模型 入侵检测的特征分析 入侵检测响应机制 入侵检测的部署 常见入侵检测系统的比较 发展趋势 一 入侵检测系统中基本概念 入侵行为 入侵者 滥用 网络攻击 入侵检测ID(Intrusion Detection) 入侵检测的目标就是通过检查操作系统的审计数据或网络数据包信息来检测系统中违背安全策略或危及系统安全的行为或活动，从而保护信息系统的资源不受拒绝服务攻击，防止系统数据的泄漏、篡改和破坏。 入侵检测技术 通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击迹象的一种安全技术。 入侵检测是入侵检测系统的核心功能。从技术上，入侵检测分为两类：一种基于标志（signature-based），另一种基于异常情况（anomaly-based）。 对于基于标识的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。 而基于异常的检测技术则是先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。 入侵检测系统IDS(Intrusion Detection Systems) 是一种能够通过分析系统安全相关数据来检测入侵活动的系统。 远程入侵 这类入侵指入侵者通过网络远程进入系统。入侵者从无特权开始，这种入侵方式包括多种形式。网络入侵检测系统主要关心远程入侵。 入侵类型 侦察--包括ping扫描,DNS zone 转换,E-mail侦察,TCP 或 UDP 端口(port)扫描(scan),与经由公开网页伺服器可能的索引(indexing),来发现CGI漏洞。 漏洞--入侵者将会利用隐密的特性或缺陷(bugs)来存取系统。 拒绝服务(denial-of-service，DOS)攻击--入侵者试图破坏服务(或机器),使网路连结(link)超载,CPU超载,填满硬盘，造成系统拒绝对合法用户服务。 二 入侵检测系统功能结构 二 入侵检测系统功能结构 入侵检测系统的主要功能有以下几点： （1）监测并分析用户和系统的活动； （2）审计系统配置中存在的弱点和错误配置（如：漏洞等）； （3）评估系统关键资源和数据文件的完整性； （4）识别系统活动中存在的已知攻击模式； （5）统计分析异常行为； （6）对操作系统进行日志管理，并识别违反安全策略的用户活动。 二 入侵检测系统功能结构 一个完善的入侵检测系统必须具有下列特点： 经济性 时效性 安全性 可扩展性 三 入侵检测系统原理 入侵检测系统是根据入侵行为与正常访问行为的差别来识别入侵行为的，根据识别采用的原理不同，可以分为 异常检测 误用检测 特征检测 三 入侵检测系统原理－异常检测 前提 入侵是异常活动的子集 原理： 用户表现为可观测的、一致的系统使用模式(用户轮廓)。 用户轮廓通常定义为各种行为参数及其阈值的集合，用于描述正常行为范围。 异常检测系统通过运行在系统或应用层的监控程序监控用户的行为，通过将当前主体的活动情况和用户轮廓进行比较。 当用户活动与正常行为有重大偏离时即被认为是入侵。 如果系统错误地将异常活动定义为入侵，称为错报（false positive）；如果系统未能检测出真正的入侵行为则称漏报（false negative）。这是衡量入侵检测系统性能很重要的两个指标。 三 入侵检测系统原理－异常检测 三 入侵检测系统原理－异常检测 异常检测所面临的关键问题： 特征量的选定 选取的特征量既要能准确的体现系统或用户的行为特征，又能使模型最优化 阈值的选定 比较频率的选定 三 入侵检测系统原理－异常检测 常见的异常检测方法 统计异常检测 基于特征选择异常检测 基于贝叶斯推理异常检测 基于贝叶斯网络异常检测 基于模式预测异常检测 基于神经网络异常检测 基于贝叶斯聚类异常检测 基于机器学习异常检测等 数据挖掘技术 三 入侵检测系统原理－误用检测 前提： 所有的入侵行为都有可被检测到的特征 原理： 误用检测系统提供攻击特征库 当监测的用户或系