第5章(2)-入侵检测课件.ppt

传统的安全防御技术－防火墙 防火墙的局限性 关于防火墙 防火墙不能安全过滤应用层的非法攻击，如unicode攻击 防火墙对不通过它的连接无能为力，如内网攻击等 防火墙采用静态安全策略技术，因此自身无法动态防御新的非法攻击 IDS Intrusion Detection：通过从计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到入侵的迹象的一种安全技术； Intrusion Detection System：作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。 入侵检测的必要性 因为访问控制和保护模型本身存着在以下问题。 （1）弱口令问题。 （2）静态安全措施不足以保护安全对象属性。 （3）软件的Bug-Free近期无法解决。 （4）软件生命周期缩短和软件测试不充分。 （5）系统软件缺陷的修补工作复杂，而且源代码大多数不公开，也缺乏修补Bug的专门技术，导致修补进度太慢，因而计算机系统的不安全系统将持续一段时间。 入侵检测的主要目的有：识别入侵者；识别入侵行为；检测和监视已成功的安全突破；为对抗措施即时提供重要信息。因而，入侵检测是非常必要的，可以弥补传统安全保护措施的不足。 入侵检测系统的主要功能是检测，当然还有其他的功能选项，因而增加了计算机系统和网络的安全性。 使用入侵检测系统有如下优点： ① 检测防护部分阻止不了的入侵； ② 检测入侵的前兆； ③ 对入侵事件进行归档； ④ 对网络遭受的威胁程度进行评估； ⑤ 对入侵事件进行恢复。 入侵检测系统利用优化匹配模式和统计学技术把传统的电子数据处理和安全审查结合起来，已经发展成为构筑完整的现代网络安全技术的一个必不可少的部分。 NIDS在网络的位置 HIDS和NIDS的比较 安装于被保护的主机中 主要分析主机内部活动 系统日志 系统调用 文件完整性检查 占用一定的系统资源 误用检测和异常检测的对比 * * * 提高了性能：协议分析利用已知结构的通信协议，与模式匹配系统中传统的穷举分析方法相比，在处理数据帧和连接时更迅速、有效。 ● 提高了准确性：与非智能化的模式匹配相比，协议分析减少了虚警和误判的可能性，命令解析（语法分析）和协议解码技术的结合，在命令字符串到达操作系统或应用程序之前，模拟它的执行，以确定它是否具有恶意。 ● 基于状态的分析：当协议分析入侵检测系统引擎评估某个包时，它考虑了在这之前相关的数据包内容，以及接下来可能出现的数据包。与此相反，模式匹配入侵检测系统孤立地考察每个数据包。 ● 反规避能力：因为协议分析入侵检测系统具有判别通信行为真实意图的能力，它较少地受到黑客所用的像URL编码、干扰信息、TCP/IP分片等入侵检测系统规避技术的影响。 ● 系统资源开销小：协议分析入侵检测系统的高效性降低了在网络和主机探测中的资源开销，而模式匹配技术却是个可怕的系统资源消费者。 * * * * * * 主要介绍除前段关键技术外,作为一个整体入侵完善的入侵检测系统还需具备这些支撑技术，虽然这些技术并不是其核心技术． 简单举一些例子即可，如联动机制中主要举出国外有名的协议Opsec, SNMP,及天阗的VIP等. 每个大约介绍1-2分钟即可． * * * * * * * Tap模式：以双向监听全双工以太网连接中的网络通信信息，这样能捕捉到网络中的所有流量，能更好地了解网络攻击的发生源和攻击的性质，为阻止网络攻击提供丰富的信息，并能记录完整的状态信息，使得与防火墙联动或发送Reset包更加容易。 防火墙进,交换出, * * 在不同网络负载下测试IDS的性能差异（20Mbps、50Mbps、80 Mbps）； 衡量不同pps (packets per second)下IDS对攻击的检测情况(packets per second) * * * 解决的问题 多种告警设置满足不同用户的需求。 * * * ISS RealSecure (winnt) 1.分布式体系结构，系统分为三层：console＋eventcollector+Sensor； 2.Sensor包括网络传感器、服务器传感器和系统传感器三种； 3.管理器包括控制台、事件收集器、事件数据库和报警数据库四个部分； 4.对攻击的表示和攻击的识别结合在一起，因此存在升级问题，增加攻击识别需要升级程序，而不是简单升级特征库。 NFR Security NID-100/200 1.基于误用，具有一定的异常检测能力 2.分布式体系结构：三层组件分别为网络传感器（sensor）、管理界面（Administrator Interface）和中央管理服