信息安全技术-08入侵检测技术与网络入侵检测系统产品.ppt

第 5 讲 安全检测技术 (1) 基于主机的入侵检测系统 这是早期的入侵检测系统结构，系统 (如图5.2所示) 的检测目标主要是主机系统和系统本地用户。检测原理是在每一个需要保护的主机上运行一个代理程序，根据主机的审计数据和系统的日志发现可疑事件。检测系统可以运行在被检测的主机或单独的主机上，从而实现监控。 第 5 讲 安全检测技术 这种类型的系统依赖于审计数据或系统日志的准确性和完整性，以及安全事件的定义。若入侵者设法逃避审计或进行合作入侵，就会出现问题。特别是在网络环境下，单独依靠主机审计信息进行入侵检测，将难以适应网络安全的需求。 第 5 讲 安全检测技术 基于主机的入侵检测系统可以精确地判断入侵事件，并可对入侵事件立即进行反应；还可针对不同操作系统的特点来判断应用层的入侵事件。但一般与操作系统和应用层入侵事件的结合过于紧密，通用性较差，并且IDS的分析过程会占用宝贵的主机资源。另外，对基于网络的攻击不敏感，特别是假冒IP的入侵。 第 5 讲 安全检测技术 由于服务器需要与因特网交互作用，因此在各服务器上应当安装基于主机的入侵检测软件，并将检测结果及时向管理员报告。基于主机的入侵检测系统没有带宽的限制，它们密切监视系统日志，能识别运行代理程序的机器上受到的攻击。基于主机的入侵检测系统提供了基于网络系统不能提供的精细功能，包括二进制完整性检查、系统日志分析和非法进程关闭等功能，并能根据受保护站点的实际情况进行针对性的定制，使其工作效果明显，误警率相当低。 第 5 讲 安全检测技术 (2) 基于网络的入侵检测系统 随着计算机网络技术的发展，单独依靠主机审计信息进行入侵检测将难以适应网络安全的需求。因此，人们提出了基于网络的入侵检测系统体系结构。这种检测系统使用原始的网络分组数据包作为进行攻击分析的数据源，通常利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击，IDS的相应模块通过通知、报警以及中断连接等方式来对攻击做出反应。基于网络的入侵检测系统如图5.3所示。 图5.3 基于网络的入侵检测系统示意图 第 5 讲 安全检测技术 系统中数据采集模块由过滤器、网络接口引擎和过滤规则决策器组成。它的功能是按一定的规则从网络上获取与安全事件相关的数据包，然后传递给入侵分析引擎模块进行安全分析；入侵分析引擎模块将根据从采集模块传来的数据包并结合网络安全数据库进行分析，把分析结果传送给管理/配置模块：而管理/配置模块的主要功能是管理其他功能模块的配置工作，并将入侵分析引擎模块的输出结果以有效的方式通知网络管理员。 第 5 讲 安全检测技术 基于网络的入侵检测系统有以下优点： 1) 检测的范围是整个网段，而不仅是被保护的主机。 2) 实时检测和应答。一旦发生恶意访问或攻击，基于网络的IDS检测就可以随时发现它们，因此能够更快地做出反应，从而将入侵活动对系统的破坏降到最低。 3) 隐蔽性好。由于不需要在每个主机上安装，所以不易被发现。基于网络的入侵检测系统的端系统甚至可以没有网络地址，从而使攻击者没有攻击的目标。 第 5 讲 安全检测技术 4) 不需要任何特殊的审计和登录机制，只要配置网络接口就可以了，不会影响其他数据源。 5) 操作系统独立。基于网络的IDS并不依赖主机的操作系统作为其检测资源，而基于主机的IDS需要特定的操作系统才能发挥作用。 第 5 讲 安全检测技术 基于网络的入侵检测系统的主要不足在于：只能检测经过本网段的活动，并且精确度较差，在交换式网络环境下难以配置，防入侵欺骗的能力也比较差；而且无法知道主机内部的安全情况，而主机内部普通用户的威胁也是网络信息系统安全的重要组成部分；另外，如果数据流进行了加密，就不能审查其内容，对主机上执行的命令也就难以检测。 第 5 讲 安全检测技术 因此，基于网络和基于主机的安全检测在方法上是需要互补的。 第 5 讲 安全检测技术 (3) 分布式入侵检测系统 随着网络系统结构的复杂化和大型化，带来了许多新的入侵检测问题，于是，产生了分布式入侵检测系统。分布式IDS的目标是既能检测网络入侵行为，又能检测主机的入侵行为。系统通常由数据采集模块、通信传输模块、入侵检测分析模块、响应处理模块、管理中心模块及安全知识库组成。 第 5 讲 安全检测技术 这些模块可根据不同情况进行组合，例如，由数据采集模块和通信传输模块组合产生出的新模块能完成数据采集和传输这两种任务。所有这些模块组合起来就变成了一个入侵检测系统。需要特别指出的是，模块按网络配置情况和检测的需要，可以安装在单独的一台主机上，也可分散在网络中的不同位置，甚至一些模块本身就能够单独检测本地的入侵，同时将入侵检测的局部结果信息提供给入侵检测管理中心。 第 5 讲 安全检测技术 分布式IDS结