第6章 入侵检测及入侵防御.ppt

* * * * * * * * * Deployment of IDS Internet FireWall IDS #1 IDS #2 IDS #3 IDS#1　Monitor of External Traffic IDS#2　Monitor of Internal Traffic IDS#3　Monitor of Firewalls External * IDS躲避测试 URL编码 “cgi-bin”? “%63%67%69%2d%62%69%6e” Insersion，插入其他字符 “GET /cgi-bin/phf” ? “GET //cgi-bin//phf” 以绕过攻击特征库。 将攻击包以碎片方式发出 fragrouter * 入侵技术的发展与演化 入侵的综合化与复杂化 入侵主体对象的间接化 入侵的规模扩大 入侵技术的分布化 攻击对象的转移 * 入侵检测系统存在的问题 攻击者不断增加的知识，日趋成熟多样自动化工具，以及越来越复杂细致的攻击手法。 恶意信息采用加密的方法传输 不能知道安全策略的内容 不断增大的网络流量 缺乏广泛接受的术语和概念框架 不恰当的自动反应存在风险 自身的安全问题 存在大量的误报和漏报 缺乏客观的评估与测试信息的标准。 * 发展方向 分布式入侵检测：针对分布式网络攻击的检测方法；使用分布式的方法来检测分布式的攻击 智能化入侵检测 应用层入侵检测 高速网络的入侵检测 入侵检测系统的标准化 * * * * * * * * * * * * * * * * * * * * * * * * * * * * 第六章 入侵检测与入侵防御 聂旭云 信息与软件工程学院 电子科技大学 * 为什么需要IDS 关于防火墙 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 预防是理想的，但检测是必须的 * 网络安全工具的特点 优点 局限性 防火墙 可简化网络管理，产品成熟 无法处理网络内部的攻击 IDS 实时监控网络安全状态 误报警，缓慢攻击，新的攻击模式 Scanner 简单可操作，帮助系统管理员和安全服务人员解决实际问题 并不能真正扫描漏洞 VPN 保护公网上的内部通信 可视为防火墙上的一个漏洞 防病毒 针对文件与邮件，产品成熟 功能单一 * 入侵检测（Intrusion Detection）是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象 IDS : Intrusion Detection System。进行入侵检测的软件与硬件的组合便是入侵检测系统 入侵检测 * IDS基本结构 入侵检测系统包括三个功能部件 （1）信息收集 （2）信息分析 （3）结果处理 * 信息收集 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为 需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点 * 信息收集 入侵检测很大程度上依赖于收集信息的可靠性和正确性 要保证用来检测网络系统的软件的完整性 特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息 * 信息收集的来源 系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为 * 信息分析 模式匹配 统计分析 完整性分析，往往用于事后分析 * 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为 一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化） * 统计分析 统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等） 测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生 * 完整性分析 完整性分析主要关注某个文件或对象是否被更改 这经常包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效 * 入侵检测性能关键参数 误报(false positive)：如果系统错误地将异常活动定义为入侵 漏报(false negative)：如果系统未能检测出真正的入侵行为 * 入侵检测的分类（1） 按照分析方法（检测方法） 异常检测模型（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被