第七篇 网络入侵检测.pptVIP

第7章 网络入侵检测 1 IDS概述 1.1 IDS概念 1.2 IDS功能 1.3 IDS特点 1.1 IDS概念 一种主动保护自己的网络和系统免遭非法攻击的网络安全技术。 它从计算机系统或者网络中收集、分析信息，检测任何企图破坏计算机资源的完整性、机密性和可用性的行为，即查看是否有违反安全策略的行为和遭到攻击的迹象，并做出相应的反应。 加载入侵检测技术的系统我们称之为入侵检测系统（IDS，Intrusion Detection System），一般情况下，我们并不严格的去区分入侵检测和入侵检测系统两个概念，而都称为IDS或入侵检测技术。 IDS意义 源于信息审计，优于信息审计，信息安全审计的核心技术 主动防御的需要，防火墙、VPN通过“阻断”的机制被动式防御，不能抵制复杂和内部的攻击 作为与防火墙配合的防护手段（如下图） 1.2 IDS功能 监控、分析用户和系统活动 实现入侵检测任务的前提条件 发现入侵企图或异常现象 入侵检测系统的核心功能 这主要包括两个方面，一是入侵检测系统对进出网络或主机的数据流进行监控，看是否存在对系统的入侵行为，另一个是评估系统关键资源和数据文件的完整性，看系统是否已经遭受了入侵。 记录、报警和响应 入侵检测系统在检测到攻击后，应该采取相应的措施来阻止攻击或响应攻击。入侵检测系统作为一种主动防御策略，必然应该具备此功能。 审计系统的配置和弱点、评估关键系统和数据文件的完整性等 IDS的两个指标 漏报率 指攻击事件没有被IDS检测到 误报率(false alarm rate) 把正常事件识别为攻击并报警 误报率与检出率成正比例关系 1.3 IDS特点 不足 不能弥补差的认证机制 需要过多的人为干预 不知道安全策略的内容 不能弥补网络协议上的弱点 不能分析一个堵塞的网络 不能分析加密的数据 优点： 提高信息安全构造的其他部分的完整性 提高系统的监控能力 从入口点到出口点跟踪用户的活动 识别和汇报数据文件的变化 侦测系统配置错误并纠正 识别特殊攻击类型，并向管理人员发出警报 2 IDS技术 2.1 误用检测技术 2.2 异常检测技术 2.3 其他高级IDS技术 IDS检测技术 IDS检测技术 异常检测模型（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 2.1 异常检测（ Anomaly Detection ） 思想：任何正常人的行为有一定的规律 需要考虑的问题： （1）选择哪些数据来表现用户的行为 （2）通过以上数据如何有效地表示用户的行为，主要在于学习和检测方法的不同 （3）考虑学习过程的时间长短、用户行为的时效性等问题 优点 可以检测到未知的入侵 可以检测冒用他人帐号的行为 具有自适应，自学习功能 不需要系统先验知识 缺点 漏报、误报率高 入侵者可以逐渐改变自己的行为模式来逃避检测 合法用户正常行为的突然改变也会造成误警 统计算法的计算量庞大，效率很低 统计点的选取和参考库的建立比较困难 2.2 误用检测（Misuse Detection） 思想：主要是通过某种方式预先定义入侵行为，然后监视系统，从中找出符合预先定义规则的入侵行为 误用信号需要对入侵的特征、环境、次序以及完成入侵的事件相互间的关系进行描述 重要问题 （1）如何全面的描述攻击的特征 （2）如何排除干扰，减小误报 （3）解决问题的方式 优点: 算法简单、系统开销小、准确率高、效率高 缺点： 被动：只能检测出已知攻击 、新类型的攻击会对系统造成很大的威胁 模式库的建立和维护难：模式库要不断更新 知识依赖于：硬件平台、操作系统、系统中运行的应用程序 2.3 其他高级IDS技术 专家系统： 将有关入侵的知识转化为if-then结构的规则，即将构成入侵所要求的条件转化为if部分，将发现入侵后采取的相应措施转化成then部分。其中的if-then结构构成了描述具体攻击的规则库，状态行为及其语义环境可根据审计事件得到，推理机根据规则和行为完成判断工作。 在具体实现中，专家系统主要面临：1）全面性问题，即难以科学地从各种入侵手段中抽象出全面地规则化知识；2）效率问题，即所需处理的数据量过大，而且在大型系统上，如何获得实时连续的审计数据也是个问题。 神经网络 基本思想是用一系列信息单元（命令）训练神经元，这样在给定一组输入后，就可能预测出输出。 与统计理论相比，神经网络更好地表达了变量间的非线性关系，并且能自动学习和更新。 实验表明UNIX系统管理员的行为几乎全是可以预测的