入侵检测技术-PerfectFuture.PPT

第7章 入侵检测技术 ?学习目标 l????????入侵检测的概念 l? 入侵检测技术 l???????? 入侵检测系统的组成及原理 l???????? 入侵检测工具的使用 7.1入侵检测概述 7.1.1.概念 入侵检测（Intrusion Detection），顾名思义，即是对入侵行为的发觉。它在计算机网络或计算机系统中的若干关键点收集信息，通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System，简称IDS）。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须能将得到的数据进行分析，并得出有用的结果。 早期的IDS模型设计用来监控单一服务器，是基于主机的入侵检测系统；近期的更多模型则集中用于监控通过网络互连的多个服务器， 7.1.2. IDS的任务和作用 u?????? 监视、分析用户及系统活动； u?????? 对系统构造和弱点的审计； u?????? 识别和反应已知进攻的活动模式并向相关人士报警； u?????? 异常行为模式的统计分析； u?????? 评估重要系统和数据文件的完整性； u?????? 操作系统的审计跟踪管理，识别用户违反安全策略的行为。 7.1.3入侵检测过程 信息收集 (1) 系统和网络日志文件 (2) 目录和文件中的不期望的改变 (3) 程序执行中的不期望行为 (4) 物理形式的入侵信息 2. 信号分析 (1)模式匹配： (2) 统计分析 (3) 完整性分析 (1) 模式匹配的方法：模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。这种分析方法也称为误用检测。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级模式库以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。 (2) 统计分析的方法：统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。这种分析方法也称为异常检测。例如，统计分析时发现一个在晚八点至早六点从不登录的账户却在凌晨两点突然试图登录，系统认为该行为是异常行为。统计分析的优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法有：基于专家系统的、基于模型推理的和基于神经网络的分析方法。 (3) 完整性分析的方法：完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性的变化。完整性分析在发现被更改的、被特洛伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制（如：消息摘要函数），能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。尽管如此，完整性检测方法还是网络安全产品的重要组成部分。可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查。 7.2入侵检测系统 7.2.2 基于主机的入侵检测系统 这种类型的系统依赖于审计数据或系统日志的准确性、完整性以及安全事件的定义。若入侵者设法逃避审计或进行合作入侵，则基于主机的检测系统的弱点就暴露出来了。特别是在现代的网络环境下，单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。 这主要表现在以下四个方面：一是主机的审计信息弱点，如易受攻击，入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。二是不能通过分析主机审计记录来检测网络攻击。三是IDS的运行或多或少影响服务器性能。四是基于主机的IDS只能对服务器的特定用户、应用程序执行动作、日志进行检测，所能检测到的攻击类型受到限制。 7.2.3 基于网络的入侵检测系统 基于网络的IDS的优点是： （1）服务器平台独立：基于网络的IDS监视通信流量