重庆科创职业学院资料库网络管理及维护第6章.pptVIP

第6章 入侵检测系统 本章要点 基本的入侵检测知识 入侵检测的基本原理和重要技术 几种流行的入侵检测产品 6.1 入侵检测概述 首先，入侵者可以找到防火墙的漏洞，绕过防火墙进行攻击。其次，防火墙对来自内部的攻击无能为力。它所提供的服务方式是要么都拒绝，要么都通过，不能检查出经过它的合法流量中是否包含着恶意的入侵代码，这是远远不能满足用户复杂的应用要求的。 入侵检测技术正是根据网络攻击行为而进行设计的，它不仅能够发现已知入侵行为，而且有能力发现未知的入侵行为，并可以通过学习和分析入侵手段，及时地调整系统策略以加强系统的安全性。 6.1.1 入侵检测概念 1. 入侵检测与P2DR模型 P2DR是Policy(安全策略)、Protection(防护)、Detection(检测)、Response(响应)的缩写。其体系框架如图6-1所示。 其中各部分的含义如下。 1) 安全策略(Policy) 2) 防护(Protection) 3) 检测(Detection) 4) 响应(Response) 6.1.1 入侵检测概念 2. 入侵检测的作用 入侵检测技术是通过对计算机网络和主机系统中的关键信息进行实时采集和分析，从而判断出非法用户入侵和合法用户滥用资源的行为，并做出适当反应的网络安全技术。 它在传统的网络安全技术的基础上，实现了检测与反应，起主动防御的作用。这使得对网络安全事故的处理，由原来的事后发现发展到了事前报警、自动响应，并可以为追究入侵者的法律责任提供有效证据。 6.1.1 入侵检测概念 3. 入侵检测的概念 入侵检测是指“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”(参见国标GB/T18336)。 入侵检测系统的作用如图6-2所示。 6.1.1 入侵检测概念 4. 入侵检测系统的发展历史 1980年4月，James Anderson为美国空军作了一份题为Computer Security Threat Monitoring and Surveillance(计算机安全威胁监控与监视)的技术报告，这份报告被公认为入侵检测技术的开山鼻祖。 1987年，乔治敦大学的 Dorothy Denning提出了第一个实时入侵检测系统模型，取名为IDES。 1988年的Morris蠕虫事件发生之后，网络安全才真正引起了军方、学术界和企业的高度重视。 1990年是入侵检测系统发展史上的一个分水岭，在这之前，所有的入侵检测系统都是基于主机的，他们对于活动的检查局限于操作系统审计踪迹数据及其他以主机为中心的数据源。 从20世纪90年代至今，对入侵检测系统的研发工作已呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。 6.1.2 入侵检测系统组成 CIDF阐述了一个入侵检测系统的通用模型(一般称为CIDF模型)。它将一个入侵检测系统分为以下4个组件：事件产生器(Event generators)，用E盒表示；事件分析器(Event analyzers)，用A盒表示；响应单元(Responseunits)，用R盒表示；事件数据库(Event databases)，用D盒表示，如图6-3所示。 6.1.3 入侵检测功能 入侵检测的主要功能包括以下几个方面。 对网络流量的跟踪与分析功能。 对已知攻击特征的识别功能。 对异常行为的分析、统计与响应功能。 特征库的在线和离线升级功能。 数据文件的完整性检查功能。 自定义的响应功能。 系统漏洞的预报警功能。 IDS探测器集中管理功能。 6.1.3 入侵检测功能 其工作原理如下。 (1) 信息收集 信息的来源一般来自以下四个方面。 系统和网络日志文件。 目录和文件中的不期望的改变。 程序执行中的不期望行为。 物理形式的入侵信息。 (2) 信息分析 (3) 响应 6.1.4 入侵检测系统分类 1. 根据数据来源和系统结构分类 1) 基于主机的入侵检测系统HIDS 2) 基于网络的入侵检测系统NIDS 典型的入侵检测系统如图6-4所示。 3) 分布式入侵检测系统DIDS 6.1.4 入侵检测系统分类 2. 根据检测方法分类 1) 误用检测模型(Misuse Detection) 2) 异常检测模型(Anomaly Detection) 3. 根据系统各个模块运行的分布方式分类 1) 集中式入侵检测系统 2) 分布式入侵检测系统 6.2 入侵检测技术 本节介绍误用检测、异常检测和高级检测技术。在介绍入侵检测技术的同时，也将对入侵响应技术进行介绍。 6.2.1 误用检测技术 误用检测对于系统事件提出的问题是：这个活动是恶意的吗？误用检测涉及对入侵指示器已知的具体行为的描述信息，然后为这些指示器