第五节入侵检测系统.ppt

第8章 入侵检测技术 入侵检测系统概述 ----IDS产生、原理、步骤、通用模型、功能 入侵检测系统分类（重点） 入侵检测技术（重点） 入侵诱骗技术 典型入侵检测系统—Snort 入侵检测产品选购 入侵检测的主要性能指标 网络入侵检测技术发展的三个阶段 -----IDS、IPS、IMS 8.1 入侵检测系统概述 1.IDS原理 2.IDS步骤 4.IDS通用模型 4.IDS起源 5.IDS功能 8.1 入侵检测系统概述 传统的计算机安全技术已不能满足复杂系统的安全性要求，被动式的防御方式已显得力不从心. 有关防火墙：网络边界的设备或划分安全子域的设备，隐藏内部网络拓扑结构，限制外部网络不安全数据包进入内网；但不能阻止内网的攻击和内外网勾结攻击。 入侵检测技术是一种主动防御策略，是继防火墙之后的第二道安全闸门。 入侵检测系统已成为网络计算机系统中一个有效的防范检测手段，对正常和误用的系统行为提供了识别的技术. 入侵：是指对任何企图危及资源的完整性、机密性和可用性的活动。入侵检测（Intrusion Detection），顾名思义，就是对入侵行为的发觉. 入侵检测：是指对入侵行为的发现、报警和响应，它通过对计算机网络或计算机系统中若干关键点收集信息，并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和系统被攻击的征兆。 完成入侵检测功能的软件、硬件组合便是入侵检测系统。 入侵检测的目标是识别系统内部人员和外部入侵者的非法使用、滥用计算机系统的行为。 8.1 入侵检测系统概述 入侵检测系统（IDS, Intrusion Detection System）通过对网络中的数据包或主机的日志等信息进行提取、分析，发现入侵和攻击行为，并对入侵或攻击作出响应。入侵检测系统在识别入侵和攻击时具有一定的智能，这主要体现在入侵特征的提取和汇总、响应的合并与融合、在检测到入侵后能够主动采取响应措施等方面，所以说，入侵检测系统是一种主动防御技术。 网络入侵检测技术是网络动态安全的核心技术，相关设备和系统是整个安全防护体系的重要组成部分。目前，防火墙沿用的仍是静态安全防御技术，对于网络环境下日新月异的攻击手段缺乏主动的响应，不能提供足够的安全保护；而网络入侵检测系统却能对网络入侵事件和过程作出实时响应，与防火墙共同成为网络安全的核心设备。 一个安全的完整的入侵检测系统必须具备以下特点：可行性、安全性、实时性、扩展性。 8.1.1 入侵检测系统的产生 审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程。 国际上在20世纪70年代就开始了对计算机和网络遭受攻击进行防范的研究，审计跟踪是当时的主要方法。1980年4月，James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》（计算机安全威胁监控与监视）的技术报告，这份报告被公认为是入侵检测的开山之作，报告里第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据，监视入侵活动的思想。 1984～1986年入侵检测专家系统产生。 商业的入侵检测系统一直到了20世纪80年代后期才出现，但总的看来，现在对IDS的研究还不够深入，产品的性能也有待提高。 8.1.1 入侵检测系统的产生 1990年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM（Network Security Monitor）。NSM是入侵检测研究史上一个非常重要的里程碑，从此之后，入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS。 1991年，美国空军等多部门进行联合，开展对分布式入侵检测系统（DIDS）的研究，将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品，它的检测模型采用了分层结构。 从二十世纪90年代到现在，入侵检测系统的研究呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方面取得了长足的进展。 8.1.2入侵检测原理 入侵检测可分为实时入侵检测和事后入侵检测，其原理分别如图1和图2所示。 实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。 8.1.2入侵检测原理 事后入侵检测由网络管理人员定期或不定期进行，根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为，如果