入侵检测技术IntrusionDetection）.pptVIP

入侵检测技术（Intrusion Detection） 入侵检测概述 IDS是安全防护的第二道防线。 入侵检测概述 入侵检测系统结构 IDS系统结构图 入侵检测系统分类 基于主机的入侵检测系统HIDS 基于主机的入侵检测 数据源 系统状态信息（CPU, Memory, Network） 记账（Accounting）信息 审计信息（Audit），登录认证，操作审计，如syslog等 应用系统提供的审计记录 基于主机的入侵检测 基于主机的入侵检测系统实现方法 检测系统设置以发现不正当的系统设置和系统设置的不正当更改。例如COPS系统。 对系统安全状态进行定期检查以发现不正常的安全状态，例如Tripwire系统。 通过替换服务器程序，在服务器程序与远程用户之间增加一个中间层，在该中间层中实现跟踪和记录远程用户的请求和操作。例如TCPwrapper。 基于主机日志的安全审计，通过分析主机日志来发现入侵行为。 基于主机的入侵检测 基于主机的入侵检测系统优点 基于主机的入侵检测 日志信息有限，入侵不能完全记录 需要在主机上运行，占用系统资源 多数是事后的分析，实时性差 异构的平台支持困难 基于主机的入侵检测 基于主机的入侵检测 入侵检测系统分类 基于网络的入侵检测系统优点 入侵检测系统分类 混合分布式入侵检测系统 混合型的分布式入侵检测系统 不同的入侵检测Agent之间的协调； 不同审计记录格式：主机，网络； 网络上传输的数据量可能会影响网络性能； 层次结构 混合型的分布式入侵检测系统 金诺网安拥有自主知识产权的入侵检测系统：KIDS。 它是一种综合的网络入侵检测系统，分别可以保护重要网段和关键的主机。 入侵检测模型 误用（Misuse）检测 误用检测主要实现技术 误用检测主要实现技术 误用检测主要实现技术 模式匹配 模式匹配 模式匹配 误用检测主要实现技术 协议分析 协议分析 协议分析 协议分析 入侵检测模型 假设入侵行为与合法用户或者系统的正常行为有偏差。建立一个对应“正常活动”的特征原型，把所有与所建立的特征原型中差别“很大”的所有行为都标志为异常。 异常检测 阀值选择是关键和难点 能够检测出未知的攻击 “漏报”和“误报”问题 不适应用户正常行为的突然改变 入侵检测系统举例— Snort 系统 免费NIDS 基于GPL 最新版本 Snort 1.70 作者Martin Roesch 开放源码软件 snort站点 Snort 系统 RPM包安装 bash#rpm -ihv -nodeps snort-1.7-1.i386.rpm 源代码安装 解压、编译 libpcap包 解压、编译 Snort Snort 系统 轻量级的入侵检测系统 支持多种平台：Linux , Solaris, IRIX，HP-UX， Windows 功能强大：可作为嗅探器，记录器和入侵检测系统 扩展性好 ：插件，规则 Snort 系统 Snort 系统的嗅探功能  Snort嗅探器模式就是从网络上读出数据包，然后显示在控制台上。如： ./snort -vde （在屏幕上输出数据报信息： 数据链路层、IP、 TCP/UDP/ICMP、应用层） Snort 系统的数据包记录功能  Snort数据包记录模式就是把所有的嗅探包记录到硬盘上。如： ./snort -dev -l ./log （Snort日志嗅探的数据包，并将其放到日志目录./log） 日志模式： 文本方式 二进制方式，与tcpdump 格式相同 Snort 系统的入侵检测功能  ./snort -dev -l ./log -h /24 -c snort.conf （snort.conf是规则集文件） 宽带高速实时的检测技术 IDS的软件结构和算法 新的高速网络协议 大规模分布式的检测技术 Purdue大学的 AAFID IDS模型 数据挖掘技术 海量的审计数据中提取出具有代表性的系统特征模式 更先进的检测算法 计算机免疫技术、神经网络技术和遗传算法 入侵响应技术 系统保护、动态策略和攻击对抗 上海金诺网络安全技术发展股份有限公司 金诺网安入侵检测系统KIDS是国家863信息安全课题的重要项目，获得过多项技术奖项，它从网络和主机收集网络或系统行为的信息，然后从中分析各种异常行为的特征，可以全面快速的识别各种网络攻击或病毒。 入侵检测系统KIDS将主机入侵检测和网络入侵检测相结合分别从计算机和网络的各个关键点收集违反安全策略的行为和被攻击的迹象并且可