IDS 计算机系统安全课件方案策划.pptVIP

Deployment of IDS Internet FireWall IDS #1 IDS #2 IDS #3 IDS#1　Monitor of External Traffic IDS#2　Monitor of Internal Traffic IDS#3　Monitor of Firewalls External IDS躲避测试 URL编码 “cgi-bin”? “%63%67%69%2d%62%69%6e” Insersion，插入其他字符 “GET /cgi-bin/phf” ? “GET //cgi-bin//phf” 以绕过攻击特征库。 将攻击包以碎片方式发出 fragrouter 入侵技术的发展与演化 入侵的综合化与复杂化 入侵主体对象的间接化 入侵的规模扩大 入侵技术的分布化 攻击对象的转移 入侵检测系统存在的问题 攻击者不断增加的知识，日趋成熟多样自动化工具，以及越来越复杂细致的攻击手法。 恶意信息采用加密的方法传输 不能知道安全策略的内容 不断增大的网络流量 缺乏广泛接受的术语和概念框架 不恰当的自动反应存在风险 自身的安全问题 存在大量的误报和漏报 缺乏客观的评估与测试信息的标准。 发展方向 分布式入侵检测：针对分布式网络攻击的检测方法；使用分布式的方法来检测分布式的攻击 智能化入侵检测 应用层入侵检测 高速网络的入侵检测 入侵检测系统的标准化 * * 入侵检测 曹天杰 中国矿业大学计算机科学与技术学院 为什么需要IDS 关于防火墙 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 预防是理想的，但检测是必须的 网络安全工具的特点 优点 局限性 防火墙 可简化网络管理，产品成熟 无法处理网络内部的攻击 IDS 实时监控网络安全状态 误报警，缓慢攻击，新的攻击模式 Scanner 简单可操作，帮助系统管理员和安全服务人员解决实际问题 并不能真正扫描漏洞 VPN 保护公网上的内部通信 可视为防火墙上的一个漏洞 防病毒 针对文件与邮件，产品成熟 功能单一 入侵检测（Intrusion Detection）是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象 IDS : Intrusion Detection System。进行入侵检测的软件与硬件的组合便是入侵检测系统 入侵检测 IDS基本结构 入侵检测系统包括三个功能部件 （1）信息收集 （2）信息分析 （3）结果处理 信息收集的来源 系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为 信息分析 模式匹配 统计分析 完整性分析，往往用于事后分析 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为 一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化） 统计分析 统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等） 测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生 完整性分析 完整性分析主要关注某个文件或对象是否被更改 这经常包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效 入侵检测性能关键参数 误报(false positive)：如果系统错误地将异常活动定义为入侵 漏报(false negative)：如果系统未能检测出真正的入侵行为 入侵检测的分类（1） 按照分析方法（检测方法） 异常检测模型（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 。（异常发现） 误用检测模型（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 。（特征检测、模式发现） 异常检测模型 前提：入侵是异常活动的子集 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围 过程 监控 ? 量化 ? 比较 ? 判定 ? 修正 指标:漏报率低,误报率高 异常检测 异常检测特点 异常检测系统的效率取决于用户轮廓的完备