TCSP 入侵检测技术原理.pptVIP

入侵检测技术原理 什么是入侵？ 总体安全形势 入侵来源分析 招致入侵的主要原因 网络入侵技术发展趋势 IDS定义 什么是入侵检测？ 对指向计算机网络资源的各种攻击企图、攻击行为或者攻击结果进行监视和识别的过程。 IDS定义 IDS发展历史大事记 1980年，James Anderson最早提出入侵检测和安全威胁的概念； 1984-1986年，Dorothy．E．Denning和Peter Neumann首次给出了一个实时入侵检测系统通用模型——IDES（入侵检测专家系统），并将入侵检测作为一种新的安全防御措施提出； 1988年，Morris Internet蠕虫事件导致了许多基于主机的IDS的开发研制，如IDES、Haystack等； 1990年，L. T. Heberlein等人开发出了第一个基于网络的IDS——NSM（Network Security Monitor），宣告入侵检测系统两大阵营正式形成：基于网络的IDS和基于主机的IDS； 90年代以后，不断有新的思想提出，如将信息检索、人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS； 1999年，出现商业化产品，如Cisco Secure IDS（收购NetRanger），ISS RealSecure等； 2000年出现分布式入侵检测系统，是IDS发展史上的一个里程碑… IDS的基本原理 IDS的工作机制 网络数据包的获取——混杂模式 网络数据包的解码——协议分析 网络数据包的检查——特征（规则）匹配/误用检测 网络数据包的统计——异常检测 网络数据包的审查——事件生成 网络数据包的处理——告警和响应 入侵检测名词释义 Promiscuous 混杂模式 把网卡设置为接收所有的网络数据包，而不管数据包的目的地址是否是自己 Misuse 误用 基于误用检测的IDS会收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 Signatures 特征 基于误用检测的IDS的核心，用于描述攻击方法，IDS根据攻击特征产生事件触发 Anomaly异常 基于异常检测的IDS会构造一个正常活动的主机或网络的大致轮廓，当有一个在这个轮廓以外的事件发生时，IDS就会告警。 已经安装了防火墙，为什么还需要IDS？ 防火墙不能防止通向站点的后门。 防火墙不能防范利用服务器漏洞或通信协议的缺陷进行的攻击。 防火墙一般不提供对网络滥用的防范。 防火墙不能防范内部用户主动泄密的行为。 防火墙策略配置不当或自身漏洞会导致安全隐患。 入侵检测与P2DR模型 入侵检测与P2DR模型 策略是这个模型的核心，在制定好策略之后，网络安全的其他几个方面就要围绕策略进行。 防护是第一步，目的在于阻止侵入系统或延迟侵入系统的时间，为检测和反应提供更多的时间，它也是检测与响应的结果。主要包括： 安全规章的制定：在安全策略的基础上制定安全细则。 系统的安全配置：安装各种必要补丁，并进行仔细配置。 安全措施的采用：安装防火墙、IDS、VPN软件或设备等。 检测就是弥补防护对于攻击的滞后时间的必要手段。主要包括： 异常监视：发现系统的异常情况。如不正常的登陆。 模式发现：对已知的攻击模式进行发现。 响应就是发现安全隐患或者攻击企图之后，及时作出反应。主要包括： 报告：让管理员知道是否有危险。 记录：记录入侵的各个细节以及系统的反应。 反应：进行相应的处理以阻止进一步的入侵，如修复漏洞，增加防护措施。 恢复：清除入造成的影响，使系统恢复正常。 IDS分类方法学 根据体系结构进行分类 根据检测原理进行分类 根据实现方式进行分类 根据体系结构进行分类 集中式IDS 引擎和控制中心在一个系统之上，不能远距离操作，只能在现场进行操作。 优点是结构简单，不会因为通讯而影响网络带宽和泄密。 分布式IDS 引擎和控制中心在两个系统之上，通过网络通讯，可以远距离查看和操作。目前的大多数IDS系统都是分布式的。 优点不是必需在现场操作，可以用一个控制中心管理多个引擎，可以统一进行策略编辑和下发，可以统一查看和集中分析上报的事件，可以通过分开事件显示和查看的功能提高处理速度等等。 根据体系结构进行分类 分布式IDS： 集权式：这种结构的IDS可能有多个分布在不同主机上的审计程序，但只有一个中央入侵检测服务器。 等级式：定义了若干个分等级的监控区，每个IDS负责一个区，每一级IDS只负责所控区的分析，然后将当地的分析结果传送给上一级。 协作式：将中央检测服务器的任务分配给多个基于主机的IDS，这些IDS不分等级，各司其职，负责监控当地主机的某些活动。 根据检测原理进行分类 误用检测(Misuse