网络安全讲义第8章4.pptVIP

第8章 入侵检测系统 8.1 入侵检测系统概述 8.2 入侵检测系统的组成 补充：IDS性能的两个指标 8.3 入侵检测系统的分类 8.4 入侵检测系统的工作原理 8.5 入侵检测系统的抗攻击技术 8.6 入侵检测技术的发展方向 防火墙和IDS的区别 3）宽带高速网络的实时入侵检测系统 在IDS中，截获网络的每一个数据包，并分析、匹配其中是否具有某种攻击的特征需要花费大量的时间和系统资源，因此大部分现有的IDS只有几十兆的检测速度，随着百兆、千兆网络的大量应用，需要研究高速网络的入侵检测。 4）IPS：入侵防御系统 IPS技术在IDS监测的功能上又强化了主动响应的功能，一旦发现有攻击行为，立即响应，主动切断连接。它的部署方式不像IDS并联在网络中，而是以串联的方式接入网络中。 5）IMS 入侵管理系统 IMS技术是一个过程，在行为未发生前要考虑网络中有什么漏洞，判断有可能会形成什么攻击行为和面临的入侵危险；在行为发生时或即将发生时，检测出入侵行为，还要主动阻断，终止入侵行为；在入侵行为发生后，还要深层次分析入侵行为，通过关联分析，来判断是否还会出现下一个攻击行为。 IMS技术实际上包含了IDS、IPS的功能，并通过一个统一的平台进行统一管理，从系统的层次来解决入侵行为。 信息技术系 * 8.1 入侵检测系统概述 8.2 入侵检测系统的组成 8.3 入侵检测系统的分类 8.4 入侵检测系统的工作原理 8.5 入侵检测系统的抗攻击技术 8.6 入侵检测技术的发展方向 8.7 入侵检测工具与产品介绍 教学目标：重点掌握入侵检测的概念、功能、工作原理、分类方法和主要类型，了解入侵检测技术的发展方向 8.1.1 入侵检测定义 入侵检测（ID）就是对入侵行为的检测，它是对防火墙的合理补充。它通过收集和分析计算机网络或计算机系统中若干关键点的信息（如日志文件、特殊文件的修改等），检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软、硬件集合称为“入侵检测系统（IDS）” 入侵检测是防火墙后的第二道安全闸门。在不影响网络性能的情况下能对网络进行监控，发现入侵能及时作出相应，提供对内部攻击、外部攻击和误操作的实时保护。入侵检测就是收集信息，进行分析，做出响应。 8.1.2 入侵检测系统的主要功能 1 可用性：IDS不能妨碍系统的正常运行 2 时效性：及时发现入侵 3 安全性：IDS自身的安全 4 可扩展性：一是机制与数据的分离；二是体系结构的可扩展性 1）对网络流量的跟踪与分析功能：跟踪用户从进入网络到退出的所有活动，实时检测分析；实时统计网络流量，检测Dos等异常行为； 2）对已知攻击特征的识别功能：识别特定类型的攻击并报警； 3）对异常行为的分析、统计与响应功能 4）系统漏洞的预报警功能 5）数据文件的完整性检查功能：检查关键数据文件的完整性，识别并报告数据文件的改动情况 6）IDS探测器集中管理功能：通过控制台收集探测器的状态和告警信息，控制各个探测器的行为 IDS的主要功能 美国国防高级研究计划署（DARPA）和互联网工程任务组（IETF）的入侵检测工作组（IDWG）共同指定了共同入侵检测通用框架（CIDF），提出了入侵检测的通用模型； 入侵检测系统分为4个基本组件：事件产生器、事件分析器、响应单元和事件数据库。 响应单元 事件数据库 事件产生器 事件分析器 1 事件产生器：IDS需要分析的数据通称为事件。可以是网络中的数据包，也可以是从系统日志等途径得到的信息； 事件产生器就是事件的探测器，从IDS之外的计算机环境中收集事件，并将其转换成标准格式（统一入侵检测对象GIDO）传给其他组件，如事件分析器； 响应单元 事件数据库 事件产生器 事件分析器 2 事件分析器：事件分析器分析收到的数据，并产生分析结果，形成新的GIDO，传给响应单元； 3 响应单元：对分析结果做出反映，采取响应措施。如切断连接、报警等； 4 事件数据库：存放各种GIDO 响应单元 事件数据库 事件产生器 事件分析器 通常IDS采用探测器/控制台结构。探测器在系统的各个关键点部署，通过网络与控制台交换信息。IDS探测器运行与安全操作系统之上，负责数据的获取、检测，对警报进行过滤和实时响应，并发送给控制台进行显示和记录。控制台负责告警日志的显示、记录、查询、报表、支持用户定制检测、响应策略和控制探测器。 漏报率 指攻击事件没有被IDS检测到 误报率(false alarm rate) 把正常事件识别为攻击并报警 误报率与检出率成正比例关系 0 检出率(detection rate) 100% 100% 误报率 1 根据数据来源和系统结构分类：基于主机的入侵检测系统、基于网络的入侵检测系统、混合式（分布式）入侵检测系