10信息安全知识竞赛培训-入侵检测汇.ppt

入侵检测系统 入侵检测概述 入侵检测系统的分类及特点 入侵检测系统结构 入侵检测系统的关键技术 入侵检测系统的外围支撑技术 入侵检测系统应用指南 入侵检测系统的发展趋势 入侵检测概述 什么是入侵检测系统 为什么需要入侵检测 入侵检测系统的作用 入侵检测的相关术语 什么是入侵检测系统 对信息系统的非授权访问及（或）未经许可在信息系统中进行操作 入侵检测概述 什么是入侵检测系统 为什么需要入侵检测 入侵检测系统的作用 入侵检测的相关术语 为什么需要入侵检测系统 入侵行为日益严重 攻击工具唾手可得 入侵教程随处可见 内部的非法访问 内部网的攻击占总的攻击事件的70%以上 没有监测的内部网是内部人员的“自由王国” 边界防御的局限 防火墙不能防止通向站点的后门。 防火墙一般不提供对内部的保护。 防火墙无法防范数据驱动型的攻击。 防火墙不能防止Internet上下载被病毒感染的程序 入侵检测概述 什么是入侵检测系统 为什么需要入侵检测 入侵检测系统的作用 入侵检测的相关术语 入侵检测系统作用 监控网络和系统 发现入侵企图或异常现象 实时报警 主动响应 审计跟踪 入侵检测概述 什么是入侵检测系统 为什么需要入侵检测 入侵检测系统的作用 入侵检测的相关术语 入侵检测相关术语 攻击 入侵检测相关术语 检测系统在检测时把系统的正常行为判为入侵行为的错误被称为误报。 检测系统在检测过程中出现误报的概率称为系统的误报率。 入侵检测相关术语 模拟脆弱性主机诱惑攻击者在其上浪费时间 延缓对真正目标的攻击 入侵检测相关术语 1997年，DARPA(Defense Advanced Research Projects Agency)资助成立了CIDF(Common Intrusion Detection Framework)工作组； 其工作目标是制定一套入侵检测系统的公共框架，使得不同的IDR(Intrusion Detection and Response Projections)组件能够互相交换和共享信息，并允许不同的IDR子系统能够得到复用； CIDF将标准化的重点放在入侵检测系统的不同组件之间的合作上； CIDF定义了四个方面的标准：Architecture；Communication；Language；API。 入侵检测相关术语 IETF（Internet Engineering Task Force）下属的IDWG（ID Working Group）。 入侵检测信息交换格式（ID Message Exchange Format, IDMEF）对组件之间的通信进行了标准化。 IDMEF使用面向对象的模型来表示其数据格式，可以提供强大的兼容性与可扩展性。 IDMEF的通信规范就是入侵警告协议（Intrusion Alert Protocol, IAP）。 入侵检测系统 入侵检测概述 入侵检测系统的分类及特点 入侵检测系统结构 入侵检测系统的关键技术 入侵检测系统的外围支撑技术 入侵检测系统应用指南 入侵检测系统的发展趋势 入侵检测系统的分类 按数据检测方法分类 按系统结构分类 按时效性分类 按照数据来源分类 入侵检测的分类（一） 异常检测模型（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 入侵检测的分类（二） 集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行 分布式：系统的各个模块分布在不同的计算机和设备上 入侵检测的分类（三） 离线入侵检测系统（off-line IDS） 在线入侵检测系统（On-line IDS） 入侵检测系统分类(四) 基于主机的入侵检测系统（HIDS） 基于网络的入侵检测系统（NIDS） 混合型入侵检测系统（Hybrid IDS） 网络节点入侵检测系统（NNIDS） 主机IDS 定义 运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理 特点 安装于被保护的主机中 系统日志 系统调用 文件完整性检查 主要分析主机内部活动 占用一定的系统资源 主机IDS优势 精确地判断攻击行为是否成功。 监控主机上特定用户活动、系统运行情况 HIDS能够检测到NIDS无法检测的攻击 HIDS适用加密的和交换的环境。 不需要额外的硬件设备。 主机IDS的劣势 HIDS对被保护主机的影响。 HIDS的安全性受到宿主操作系统的限制。 HIDS的数据源受到审计系统限制。 被木马化的系