入侵检测与病毒防范.pptVIP

入侵检测与病毒防范 入侵检测系统 提纲 入侵检测概述 入侵检测系统结构 入侵检测方法 入侵检测系统举例 入侵检测技术发展趋势 入侵检测概述 计算机和网络系统的防御措施不是绝对安全的，IDS作为安全防护的第二道防线 入侵检测系统（IDS）用来检测对计算机、网络或者更广泛的信息系统的攻击，包括外部非法入侵者的恶意攻击或试探、内部合法用户的未授权访问。 对入侵检测系统的需求： 实时地检测如入侵行为 有效地阻止入侵或者与其它的控制机制联动 入侵检测概述 数据的来源 主机的审计日志， 基于主机的（Host- Based） IDS 网络流量数据， 基于网络的（Network-Based ）IDS 分析方法 特征匹配， Rule-based, Misuse 异常检测, Abnomal 提纲 入侵检测概述 入侵检测系统结构 入侵检测方法 入侵检测系统举例 入侵检测技术发展趋势 入侵检测系统结构 入侵检测系统的一般结构 基于主机的入侵检测 信息来源 系统状态信息（CPU, Memory, Network） 记账（Accounting）信息 审计信息（Audit），登录认证、操作审计，如syslog等 应用系统提供的审计记录 基于主机的入侵检测 基于主机的入侵检测的缺点 需要在主机上运行，占用系统资源 多数是事后的分析，实时性差 异构的平台支持困难 基于主机的分布式入侵检测 基于网络的入侵检测 信息来源于网络上的数据包 被动监听方式工作，不影响网络性能 分析网络协议数据，与系统平台无关。 基于网络的入侵检测 基于网络的入侵检测 直接的模式匹配 经过协议解码之后的协议分析 混合型的分布式入侵检测系统 混合型的分布式入侵检测系统 分布式入侵检测系统需要考虑的主要问题 不同的入侵检测Agent之间的协调； 不同审计记录格式：主机，网络； 网络上传输的数据量可能会影响网络性能； 数据传输的保密性与完整性，比如SNMP Trap v2 ； 层次结构 提纲 入侵检测概述 入侵检测系统结构 入侵检测方法 入侵检测系统举例 入侵检测技术发展趋势 入侵检测方法 特征匹配，误用/滥用（Misuse） 根据已知的攻击方法或系统安全缺陷方面的知识，建立特征（ Signature ） 数据库，然后在收集到的网络活动中寻找匹配的使用模式（Pattern） 专家系统是常用的方法，其知识库表现为一系列推导规则（Rules）,因此误用检测也称为基于规则的检测技术 准确率较高 只能检测已知的攻击 入侵检测方法 异常（Anomaly）检测 非规则检测建立在如下假设的基础上：入侵行为与合法用户或者系统的正常或者期望的行为有偏差。 正常的行为模式可以从大量历史活动资料的分析统计中得到。 任何不符合以往活动规律的行为都被视为是入侵行为。 能够检测出未知的攻击 误报率很高 提纲 入侵检测概述 入侵检测系统结构 入侵检测方法 入侵检测系统举例 入侵检测技术发展趋势 入侵检测系统举例 Snort IDES(Intrusion Detction Expert System) NFR(Network Flight Recorder Inc.) IDA Snort 入侵检测系统 Snort 系统概述 Martin Roesch , 开放源代码 支持多种平台：Linux , Solaris, Windows 不仅是一个功能强大的入侵检测系统，还可以作为网络信息包的分析器、记录器 基于网络的入侵检测系统，利用Libpcap 捕获数据包 基于规则的检测方法，可以检测出缓存溢出、端口扫描、等多种攻击，目前有1800多条规则 Snort 入侵检测系统 Snort 系统概述 支持多种告警方式：记录到文件、Syslog、Snmptrap、 SMB 消息 直接记录到数据库：mySQL Snort 系统结构 数据包解码器（Packet Decoder） 检测引擎 Snort 规则形式 规则头 规则选项 检测引擎 规则头 规则动作 Alert /Log /Pass 协议 目前支持TCP/ UDP/ICMP 以后支持ARP , RIP , OSPF 等 IP 地址 Any 匹配任何地址 支持CIDR （classless Inter-Domain Record） 比如：/16 , /24 , /25 端口号Port 检测引擎 规则头 方向 单向： — 双向 ： 检测引擎 规则选项 选项之间用 ; 分隔 msg 在告警信息中显示的消息 ttl : IP 的 TTL 选项 id ： IP 分片的 dsize： 数据包的大小 content ：数据包中的内容 offset： 从何处开始检索content depth ：在content 中