网络的攻击与防范-理论与实践 第3篇 网络防御部分 第15章 入侵检测技术的原理与应用.pptVIP

第三篇 网络防护篇 第11章 安全扫描技术的原理与应用 第12章 操作系统安全防范 第13章 密码及认证技术 第14章 防火墙的技术原理与应用 第15章 入侵检测技术的原理与应用 第16章 蜜罐与蜜网技术 第17章 数据备份与灾难恢复技术 第18章 网络安全综合防范平台 第15章 入侵检测技术的原理与应用 入侵检测系统（Intrusion Detection System，IDS）通过实时地收集和分析计算机网络或系统中的信息，来检查是否出现违反安全策略的行为和遭到袭击的迹象，进而达到防止攻击、预防攻击的目的。 第15章 入侵检测技术的原理与应用 15.1入侵检测概述 15.2 IDS的基本原理 15.3 实验：入侵检测系统Snort 15.1入侵检测概述 入侵检测，顾名思义，是指对入侵行为的发觉。它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。 15.1入侵检测概述 15.1.1 IDS的产生 15.1.2 IDS功能与模型 15.1.1 IDS的产生 国际上在20世纪70年代就开始了对计算机和网络遭受攻击进行防范的研究，审计跟踪是当时的主要方法。1980年4月，James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》（计算机安全威胁监控与监视）的技术报告，这份报告被公认为是入侵检测的开山之作，报告里第一次详细阐述了入侵检测的概念。 15.1.1 IDS的产生 1980年4月，James P. Anderson提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据，监视入侵活动的思想。 15.1.1 IDS的产生 从1984年到1986年，Dorothy E. Denning和Peter Neumann研究并发展了一个实时入侵检测系统模型，命名为IDES（入侵检测专家系统。该模型由六个部分组成：主体、对象、审计记录、轮廓特征、异常记录和活动规则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构架入侵检测系统提供了一个通用的框架。 15.1.1 IDS的产生 1987年，Denning提出了一个经典的异常检测抽象模型，首次将入侵检测作为一种计算机系统安全的防御措施提出。 1988年Morris Internet 蠕虫事件导致了许多IDS系统的开发研制。在这一年，SRI International公司的Teresa Lunt等人开发出了一个IDES原型系统。 15.1.1 IDS的产生 1988年为了帮助安全官员发现美国空军SBLC的内部人员的不正当使用，Tracor Applied Sciences公司和Haystack合作开发了Haystack系统；同时，几乎出于相同的原因，美国国家计算机安全中心开发了MIDAS入侵检测和报警系统(Multics Intrusion Detection and Alerting System)；Los Alamos美国国家实验室开发了网络审计执行官和入侵报告者（NADIR），它是20世纪80年代最成功和最持久的入侵检测系统之一。 15.1.1 IDS的产生 1990年是入侵检测系统发展史上的一个分水岭。这一年，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM（Network Security Monitor）。该系统第一次监视网络流量并直接将流量作为主要数据源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机。 15.1.1 IDS的产生 到现在为止，NSM的总体结构仍然可以在很多商业入侵检测产品中见到。NSM是入侵检测研究史上一个非常重要的里程碑，从此之后，入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS。 15.1.2 IDS功能与模型 简单来说，IDS包括3个部分： 提供事件记录流的信息源，即对信息的收集和预处理； 入侵分析引擎； 基于分析引擎的结果产生反应的响应部件。 15.1.2 IDS功能与模型 信息源是入侵检测的首要素，它可以看作是一个事件产生器。 事件来源于审计记录、网络数据包、应用程序数据或者防火墙、认证服务器等应用子系统。