网络安全技术知识第7章入侵检测技术知识.pptVIP

;　　攻击技术的发展和传播，同时也促进了防御技术的提高。传统的安全保护主要从被动防御的角度出发，增加攻击者对网络系统破坏的难度。事实证明，这种被动的防护(Prevention)仅仅是安全的一个组成部分，行之有效的安全还应该包括实时的检测(Detection)和响应(Response)，并且这些过程应该围绕着统一的策略(Policy)来进行。图7.1是著名的P2DR动态安全模型的示意图。;;　　在P2DR模型中，安全策略处于中心地位，即在整体安全策略的控制和指导下，综合运用防护工具(Protection，如防火墙、身份认证系统、加密设备等)，同时，利用检测工具如漏洞评估、入侵检测系统)了解和判断系统的安全状态，当发现入侵行为后，通过适当的响应措施改善系统的防护能力，从而实现基于时间的动态系统安全，将系统调整到最安全和风险最低的状态。防护、检测和响应组成了一个完整的、动态的安全循环，是一个螺旋式提升安全的立体框架。显而易见，入侵检测是P2DR模型中承前启后的关键环节。;　　　　7.1 入侵检测技术概述　　关于入侵检测技术的几个基本概念如下：　　? 入侵(Intrusion)：是指试图破坏计算机上任何资源完整性、保密性或可用性行为的一系列行为。;　　2. 入侵检测系统原理　　入侵检测系统实时监控当前系统/用户行为，提取出特征数据，与系统的模式库进行特征匹配，判断此行为是否属于入侵行为。如果是，则记录相关证据，并启动相应处理方案(如通知防火墙断开连接或发出警告等)。如果不是，入侵行为则继续对行为数据提取分析。IDS实现原理如图7.2所示。;;　　3. 入侵检测系统模型　　入侵检测所采用的数学模型是入侵检测策略选取和应用的根据与基础。常用的入侵检测系统模型有以下几种：　　(1) 入侵检测专家系统(Intrusion Detection Expert System，IDES)：是一个通用抽象模型，把入侵检测作为全新的安全措施加入到计算机系统安全保障体系中，采用了基于统计分析的异常检测和基于规则的误用检测技术。;　　(2) 入侵检测模型(Intrusion Detection Model，IDM)：是一个层次化的入侵检测模型，给出了在推断网络中的计算机受攻击时数据的抽象过程，弥补了IDES模型???靠分析主机的审计记录的局限性。　　(3) 公共入侵检测框架(Common Intrusion Detection Framework，CIDF)：CIDF是定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议的一套规范，符合CIDF规范的IDS可以共享检测信息，相互通信，协同工作，还可以与其他系统配合实施统一的配置响应和恢复策略。CIDF在系统扩展性和规范性上具有显著优势，最早体现了分布式入侵检测的思路。;　　(4) 基于Agent的入侵检测： Agent是一种在特定软、硬件环境下封装的计算单元，可以自动运行在主机上，对网络中的数据进行收集。基于Agent的入侵检测是一个在主机上执行某项特定安全监控功能的软件，通过对Agent提供的数据进行分析来判断是否有入侵行为发生。基于Agent的入侵检测系统不仅能够实现分布式入侵检测，同时还具有智能化的特点，适用于检测不断出现的新的入侵方式。;　　4. 入侵检测系统功能结构　　应用于不同的网络环境和不同的系统安全策略，入侵检测系统在具体实现上也有所不同。从功能结构上看，入侵检测系统主要有数据源、分析引擎和响应三个功能模块，三者相辅相成，如图7.3所示。;;　　(1) 数据源模块，在入侵检测系统中居于基础地位，负责提取用于系统监视的审计记录流，并完成数据的过滤及预处理工作，为分析引擎模块提供原始的安全审计数据，是入侵检测系统的数据采集器。对于数据源模块来说，最关键的是要保证高速和低丢包率，这不仅仅取决于硬件的处理能力，还同软件的效率有关。;　　(2) 分析引擎模块，是入侵检测系统的核心，负责分析监测数据并生成报警信息，包括对原始数据的同步、整理、组织、分类、特征提取以及各种类型的细致分析，提取其中所包含的系统活动特征或模式，用于正常和异常行为的判断。这种行为的鉴别可以实时进行，也可以事后分析。显然，准确性和快速性是衡量检测引擎性能的重要指标。;　　(3) 响应模块，其目的在于当发现了入侵行为或入侵结果后，需要系统做出及时的反应，并根据预定的策略，采取有效措施阻止入侵的延续，从而尽最大可能消除或减小潜在的损失。从策略的角度来看，响应方式可分为主动响应和被动响应。一般情况下，主动响应的代价比被动响应的代价要高。;　　　　7.2 入侵检测系统分类　　从不同的角度，入侵检测系统可以分为不同的种类。本文主要从数据源、检测方法两个方面来描述入侵检测系统的类型。;　　1. 基于数据源分