《入侵检测》-精选·课件.ppt

6.1.1 入侵检测定义 入侵检测系统(IDS，Intrusion Detection System)是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，在发现入侵后，及时作出响应，包括切断网络连接、记录事件和报警等。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。 6.1.2 入侵检测系统的主要功能 1．可用性 为了保证系统安全策略的实施而引入的入侵检测系统必须不能妨碍系统的正常运行，保障系统性能。 2．时效性 必须及时地发现各种入侵行为，理想情况是在事前发现攻击企图，比较现实的情况则是在攻击行为发生的过程中检测到。如果是事后才发现攻击的结果，必须保证时效性，因为一个已经被攻击过的系统往往就意味着后门的引入以及后续的攻击行为。 3．安全性 入侵检测系统自身必须安全，如果入侵检测系统自身的安全性得不到保障，首先意味着信息的无效，而更严重的是入侵者控制了入侵检测系统即获得了对系统的控制权，因为一般情况下入侵检测系统都是以特权状态运行的。 4．可扩展性 可扩展性有两方面的意义。首先是机制与数据的分离，在现在机制不变的前提下能够对新的攻击进行检测，例如，使用特征码表示攻击特性。第二是体系结构的可扩展性，在有必要的时候可以在不对系统的整体结构进行修改的前提下加强检测手段，以保证能够检测到新的攻击，如AAFID系统的代理机制。 6.2.1 事件产生器 CIDF将IDS需要分析的数据统称为事件，事件既可以是网络中的数据包，也可以是从系统日志或其他途径得到的信息。事件产生器(Event Generators)的任务是从入侵检测系统之外的计算环境中收集事件，并将这些事件转换成CIDF的(统一入侵检测对象GIDO)格式传送给其他组件。例如，事件产生器可以是读取C2级审计跟踪并将其转换为GIDO格式的过滤器，也可以是被动地监视网络并根据网络数据流产生事件的另一种过滤器，还可以是SQL数据库中产生描述事务的事件的应用代码。 6.2.2 事件分析器 事件分析器(Event Analyzers)分析从其他组件收到的GIDO，并将产生的新GIDO再传送给其他组件。分析器可以是一个轮廓(profile)描述工具，统计性地检测现在的事件是否可能与以前某个时间来自同一个时间序列；也可以是一个特征检测工具，用于在一个事件序列中检测是否有已知的误用攻击特性；此外，事件分析器还可以是一个相关器，观察事件之间的关系，将有联系的事件放在一起，以利于以后的进一步分析。 6.2.3 事件数据库 事件数据库(Event Databases)用来存储GIDO，以备系统需要的时候使用。 6.2.4 事件响应单元 事件响应单元(Response Units)处理收到的GIDO，并据此采取相应的措施，如相关进程、将连接复位、修改文件权限等。 在这个模型中，事件产生器、事件分析器和响应单元通常以应用程序的形式出现，而事件数据库则往往是文件或数据流的方式，很多IDS厂商都以数据收集部分、数据分析部分和控制台部分3个术语分别代表事件产生器、事件分析器、响应单元。 以上4个组件只是逻辑实体，一个组件可能是某台计算机上的一个进程甚至线程，也可能是多台计算机上的多个进程，它们以GIDO格式进行数据转换。GIDO是对事件进行编码的标准通用格式(由CIDF描述语言CISL定义)，GIDO数据流在图中已标出，它可以是发生在系统中的审计事件，也可以是对审计事件的结果分析。 6.3.1 按数据来源和系统结构分类 1．基于主机的入侵检测系统 基于主机的入侵检测系统的输入数据来源于系统的审计日志，即在每个要保护的主机上运行一个代理程序，一般只能检测该主机上发生的入侵。基于主机的入侵检测系统一般在重要的系统服务器、工作站或用户机器上运行，监视操作系统或系统事件的可疑活动，寻找潜在的可疑活动(如尝试登录失败)。此类系统需要定义清楚哪些是不合法的活动，然后把这种安全策略转换成入侵检测规则。? 主机入侵检测系统的优点 主机入侵检测系统对分析“可能的攻击行为”非常有用。举例来说，有时候它除了指出入侵者试图执行一些“危险的命令”之外，还能分辨出入侵者干了什么事、他们运行了什么程序、打开了哪些文件、执行了哪些系统调用。主机入侵检测系统与网络入侵检测系统相比通常能够提供更详尽的相关信息。