006ID入侵检测技术.pptVIP

网络信息安全 IDS存在与发展的必然性 一、网络攻击的破坏性、损失的严重性 二、日益增长的网络安全威胁 三、防火墙无法防范网络内部攻击 为什么需要IDS 关于防火墙 位于网络边界的安全设施 自身可能被攻破 保护不够全面 不是所有威胁都来自防火墙外部 入侵很容易 入侵教程随处可见 各种工具唾手可得 网络安全工具的特点 入侵检测的定义 对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。 进行入侵检测的软件与硬件的组合便是入侵检测系统。 IDS : Intrusion Detection System IDS基本结构 入侵检测系统包括三个部分： （1）信息收集 （2）信息分析 （3）结果处理 信息收集 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为 需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点 信息收集 入侵检测很大程度上依赖于收集信息的可靠性和正确性； 要保证用来检测网络系统的完整性 特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息 ； 信息收集的来源 系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为 系统或网络的日志文件 攻击者常在系统日志文件中留下他们的踪迹。 日志文件中记录了各种行为类型，每种类型又包含不同的信息，如“用户活动”类型日志包含登录、用户ID改变等内容。 不期望的行为如重复登录失败、登录到不期望的位置等。 系统目录和文件的异常变化 网络环境中的包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标； 目录和文件中的不期望的改变，很可能就是一种入侵产生的指示和信号； 入侵者替换、修改和破坏系统上的文件，同时为了隐藏其活动痕迹，会尽力去替换系统程序或修改系统日志文件 。 信息分析 模式匹配 统计分析 完整性分析，往往用于事后分析 入侵检测性能关键参数 误报(false positive)：如系统错误地将异常活动定义为入侵； 漏报(false negative)：如系统未能检测出真正的入侵行为； 入侵检测的分类（1） 按照分析方法（检测方法） 异常检测模型（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 。 入侵检测的分类（1） 按照分析方法（检测方法） 误用检测模型（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 。 异常检测特点 异常检测系统的效率取决于用户轮廓的完备性和监控的频率； 因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵； 系统能针对用户行为的改变进行自我调整和优化； 入侵检测的分类（2） 按照数据来源： 基于主机HIDS：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机。 基于网络NIDS：系统获取的数据是网络传输的数据包，保护的是网络的运行。 混合型 两类IDS监测软件 网络IDS 侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少 主机IDS 视野集中 易于用户自定义 保护更加周密 对网络流量不敏感 响应策略 弹出窗口报警 E-mail通知 切断TCP连接 执行自定义程序 与其他安全产品交互 Firewall SNMP Trap 产品 免费 Snort 商业 有ISS，NAI等。 产品 个人IDS：HIDS ZoneAlarm LIDS 练习题 IDS的基本组成。 IDS的分类及其特点。 常见的IDS系统名称。 * * （2011版） 讲 授：刘延华 Email: lyhwa@126.com lyhwa@ MyTel: 福州大学数学与计算机科学学院 第6章 入侵检测技术 功能单一 针对文件与邮件，产品成熟 防病毒 可视为防火墙上的一个漏洞 保护公网上的内部通信 VPN 误报警，缓慢攻击，新的攻击模式 实时监控网络安全状态 IDS 无法处理网络内部的攻击 可简化网络管理，产品成熟 防火墙 局限性 优点 入侵检测（Intrusion Detection）是对入侵行为的发觉。 它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测的定义 前提：入侵是异常活动的子集 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围 过