入侵检测的技术.pptVIP

第7章 入侵检测技术 7.1 入侵检测系统概述 7.2 入侵检测一般步骤 7.3 入侵检测系统分类 7.4 入侵检测系统关键技术 7.5 入侵检测系统模型介绍 7.6 入侵检测系统标准化 7.7 入侵检测系统Snort 7.8 入侵检测产品选购 7.1 入侵检测系统概述 1．什么是入侵检测 入侵检测（IDS, Intrusion Detection Sysytem）是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中若干关键点收集信息，并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和系统被攻击的征兆。 入侵检测的目标是识别系统内部人员和外部入侵者的非法使用、滥用计算机系统的行为。 网络入侵检测技术是网络动态安全的核心技术，相关设备和系统是整个安全防护体系的重要组成部分。目前，防火墙沿用的仍是静态安全防御技术，对于网络环境下日新月异的攻击手段缺乏主动的响应，不能提供足够的安全保护；而网络入侵检测系统却能对网络入侵事件和过程作出实时响应，与防火墙共同成为网络安全的核心设备。 2. 入侵检测系统功能 入侵检测系统能主动发现网络中正在进行的针对被保护目标的恶意滥用或非法入侵，并能采取相应的措施及时中止这些危害，如提示报警、阻断连接、通知网管等。 其主要功能是监测并分析用户和系统的活动、核查系统配置中的安全漏洞、评估系统关键资源与数据文件的完整性、识别现有已知的攻击行为或用户滥用、统计并分析异常行为、对系统日志的管理维护。 3.入侵检测原理 入侵检测可分为实时入侵检测和事后入侵检测，其原理分别如图1和图2所示 。 7.2 入侵检测一般步骤 入侵检测的一般过程包括数据提取、数据分析和事件响应。 1．入侵数据提取（信息收集） 主要是为系统提供数据，提取的内容包括系统、网络、数据及用户活动的状态和行为。需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息。一是尽可能扩大检测范围，二是检测不同来源的信息的一致性。入侵检测很大程度上依赖于收集信息的可靠性和正确性。 入侵检测数据提取可来自以下4个方面。 （1）系统和网络日志； （2）目录和文件中的的改变； （3）程序执行中的不期望行为； （4）物理形式的入侵信息。 2．入侵数据分析 主要作用在于对数据进行深入分析，发现攻击并根据分析的结果产生事件，传递给事件响应模块。常用技术有：模式匹配、统计分析和完整性分析等。前两种方法用于实时网络入侵检测，而完整性分析用于事后的计算机网络入侵检测。 ① 模式匹配 ；模式匹配就是将收集到的信息与已知的计算机网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。 ② 统计分析 ：统计分析方法首先给系统对象（例如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（例如访问次数、操作失败次数和时延等）。 ③ 完整性分析 ：完整性分析主要关注某个文件或对象是否被更改。 3．入侵事件响应 事件响应模块的作用在于报警与反应，响应方式分为主动响应和被动响应。 被动响应型系统只会发出报警通知，将发生的不正常情况报告给管理员，本身并不试图降低所造成的破坏，更不会主动地对攻击者采取反击行动。 主动响应系统可以分为对被攻击系统实施保护和对攻击系统实施反击的系统。 4．入侵检测系统的模型 入侵检测系统至少应该包含3个模块，即提供信息的信息源、发现入侵迹象的分析器和入侵响应部件。为此，美国国防部高级计划局提出了公共入侵检测模型（Common Intrusion Detection Framework，CIDF），阐述了一个入侵检测系统IDS的通用模型。它将一个入侵检测系统分为4个组件，如图3所示。 7.3 入侵检测系统分类 7.3.1 根据系统所检测的对象分类 1. 基于主机的入侵检测系统（HIDS） 基于主机的IDS安装在被保护的主机上，通常用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来检测入侵行为。 基于主机的IDS系统的优点是能够校验出攻击是成功还是失败；可使特定的系统行为受到严密监控等。缺点是它会占用主机的资源，要依赖操作系统等。 2. 基于网络的入侵检测系统（NIDS） 基于网络的IDS一般安装在需要保护的网段中，利用网络