安全11_1(原).ppt

第十一章 入侵检测 回顾：防火墙的缺点 不能防止来自内部网络的攻击 防火墙不能防范不经过防火墙的攻击，如内部网用户通过拨号直接进入Internet。 作为一种被动的防护手段，防火墙不能防范因特网上不断出现的新的威胁和攻击。 …… IDS: Intrusion Detection System 入侵（ Intrusion ）：对信息系统的非授权访问及（或）未经许可在信息系统中进行操作。 入侵检测（Intrusion Detection ）：安装在关键节点，对（网络）系统的运行状态进行监视，对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。 入侵检测系统：入侵检测的软件与硬件的组合，是防火墙的合理补充，是防火墙之后的第二道安全闸门。 入侵检测的内容：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。 典型的IDS技术 IDS起源与发展 审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程。 审计的目标： – 确定和保持系统活动中每个人的责任 – 重建事件 – 评估损失 – 监测系统的问题区 – 提供有效的灾难恢复 – 阻止系统的不正当使用 通常用审计日志的形式记录 IDS起源与发展 1980年Anderson提出：提出了精简审计的概念，风险和威胁分类方法 1987年Denning研究发展了实时入侵检测系统模型 IDES入侵检测专家系统：IDES提出了反常活动与计算机不正当使用之间的相关性。 80年代，基于主机的入侵检测 90年代，基于主机和基于网络入侵检测的集成 发展历史 IDS基本结构 简单地说，入侵检测系统包括三个功能部件： （1）信息收集 （2）信息分析 （3）结果处理 入侵检测的设计原理---------通用模型 信息收集 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。 需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息， – 尽可能扩大检测范围 – 从一个源来的信息有可能看不出疑点 入侵检测很大程度上依赖于收集信息的可靠性和正确性。 要保证用来检测网络系统的软件的完整性。特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。 在一个环境中，审计信息必须与它要保护的系统分开来存储和处理。因为 防止入侵者通过删除审计记录来使入侵检测系统失效 防止入侵者通过修改入侵检测器的结果来隐藏入侵的存在 要减轻操作系统执行入侵检测任务带来的操作负载 信息收集的来源 进行入侵检测的系统叫做主机，被检测的系统或网络叫做目标机。数据来源可分为四类： 来自主机的 – 基于主机的监测收集通常在操作系统层的来自计算机内部的数据，包括操作系统审计跟踪信息和系统日志 ? 来自网络的 – 检测收集网络的数据 来自应用程序的 – 监测收集来自运行着的应用程序的数据，包括应用程序事件日志和其它存储在应用程序内部的数据 来自目标机的 检测对系统对象的修改。 入侵检测的分类 按照数据来源： – 基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机。 – 基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行。 – 混合型： 入侵检测的数据源 基于主机的入侵检测系统 系统分析主机产生的数据（应用程序及操作系统的事件日志） 主机的数据源 操作系统事件日志 应用程序日志 – 系统日志 – 关系数据库 – Web服务器 基于主机的检测威胁 特权滥用：当用户具有root权限、管理员特权时，该用户以非授权方式使用特权。 – 具有提高特权的立约人 – 前职员使用旧帐户 – 管理员创建后门帐户 关键数据的访问及修改 – 学生改变成绩、职员修改业绩、非授权泄露、修改WEB站点 安全配置的变化 – 用户没有激活屏保、 – 激活guest帐户 基于主机的入侵检测系统结构 基于主机的入侵检测系统通常是基于代理的，代理是运行在目标系统上的可执行程序，与中央控制计算机（命令控制台）通信。 – 集中式：原始数据在分析之前要先发送到中央位置 – 分布式：原始数据在目标系统上实时分析，只有告警命令被发送给控制台。 基于主机的入侵检测的好处 威慑内部人员 检测 通告及响应 毁坏情况评估 攻击预测 诉讼支持 行为数据辨析 基于主机的技术面临的问题 性能：降低是不可避免的 部署/维护 损害 欺骗 二进制内核日志及Windows NT安全事件日志是两个不错的审计源 Syslog及Windows NT应用程序事件日志是两个糟糕的审计源 基于网络的入侵检测系统 入侵检测系统分析网络数据包 基于网络的检测威胁 非授权访问 – 非授权登录（login) – 进行其它攻击的起始点 数据/资源的窃取 – 口令下载 – 带宽窃取 拒绝服务 – 畸