入侵检测技术2015-2016下.docVIP

本资料由彭方举同学提供，有疑问请于本人联系 PAGE \* MERGEFORMAT8 入侵检测概述 入侵检测的概念：通过从计算机网络或计算机系统中的若干关键点收集信息，并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵的定义：入侵是指在非授权的情况下，试图存取信息、处理信息或破坏系统以使系统不可靠、不可用的故意行为。 进行入侵检测的软件和硬件的组合称为入侵检测系统。 入侵检测系统的作用： 通过检测和记录网络中的安全违规行为，惩罚网络犯罪，防止网络入侵事件的发生； 检测其他安全措施未能阻止的攻击或安全违规行为； 检测黑客在攻击前的探测行为，预先给管理员发出警报； 报告计算机系统或网络中存在的安全威胁； 提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于其进行修补； 在大型、复杂的计算机网络中布置入侵检测系统，可以显著提高网络安全管理的质量。 传统安全技术的局限性（防火墙弱点和不足）： （1）防火墙无法阻止内部人员所做的攻击； （2）防火墙对信息流的控制缺乏灵活性； （3）在攻击发生后，利用防火墙保存的信息难以调查和取证。 6. 入侵检测系统的基本原理：主要分为4个阶段：数据收集、数据处理、数据分析和响应处理。（图 P7） 攻击者 攻击者 入侵检测系统 入侵检测系统 数据收集响应处理数据分析数据处理 数据收集 响应处理 数据分析 数据处理 包 具有脆弱性的系统和网络 具有脆弱性的系统和网络 入侵检测系统的基本原理 7.入侵检测系统的基本工作模式：（图 P7） （1）从系统的不同环节收集信息； （2）分析该信息，试图寻找入侵活动的特征； （3）自动对检测到的行为做出响应； （4）记录并报告检测过程的结果。 报警并采取相应措施 报警并采取相应措施 报警原始数据 报警 异常入侵检测系统日志 异常入侵检测 系统日志 包 包 误用入侵检测 误用入侵检测 周期性检测实时检测 周期性检测 实时检测 入侵检测系统的基本工作模式 8.入侵检测的分类： （1）按照入侵检测系统所采用的技术：误用入侵检测、异常入侵检测和协议分析；（协议分析是在传统模式匹配技术基础上发展起来的。协议分析即使在高负载的高速网络上，也能逐个分析所有的数据包。误用入侵检测是将已有的入侵方法检测出来，但对新的入侵方法无能为力。） （2）按照数据来源可以分为：基于主机的IDS、基于网络的IDS、混合式IDS、文件完整性检查式IDS。（数字文摘） （3）按照检测技术来分类：异常检测式IDS，误用检测式IDS以及协议分析式。 第二章 常见的入侵方法与手段 1.漏洞的具体表现： （1）存储介质不安全； （2）数据的可访问性； （3）信息的聚生性； （4）保密的困难性； （5）介质的剩磁效应； （6）电磁的泄露性； （7）通信网络的脆弱性；（8）软件的漏洞。 2.攻击的概念和分类：根据攻击者是否直接改变网络的服务，攻击可以分为被动攻击和主动攻击。 主动攻击会造成网络系统状态和服务的改变。 被动攻击不直接改变网络的状态和服务。 3.攻击的一般流程：（1）隐藏自己； （2）踩点或预攻击探测； （3）采取攻击行为； （4）清除痕迹。 4.Ping扫描：ping是一个DOS命令，它的用途是检测网络的连通状况和分析网络速度。 5.导致内存缓冲区溢出问题的一些原因： （1）使用非类型安全的语言，如C/C++等； （2）以不可靠的方式存取或者复制内存缓冲区； （3）编译器设置的内存缓冲区太靠近关键数据结构。 第三章 入侵检测系统模型 1.入侵检测系统模型的3个模块：信息收集模块、信息分析模块和报警与响应模块。 报警与响应信息分析信息收集 报警与响应 信息分析 信息收集 信息收集概述： 分布式与集中式数据收集机制； 直接监控与间接监控； 基于主机的数据收集和基于网络的数据收集； 外部探测器和内部探测器。 信息的来源： （1）系统和网络日志文件； （2）目录和文件中不期望的改变； （3）程序执行中的不期望行为； （4）物理形式的入侵。 在入侵检测系统中，传感器和事件分析器之间的通信分为两层：OWL层和SSL层。OWL层负责使用OWL语言将传感器收集到的信息转换成统一的OWL语言字符串。SSL层使用SSL协议进行通信。 信息的标准化：Web本体语言（OWL）已经逐渐成为语义信息描述的事实标准，本体语言主要有RDF、本体互换语言（OIL）、DARPA、DAML。OIL以RDF为起点。DAML尝试将RDF与OIL的优点结合起来产生了DAML+OIL。（图 P45） 传感器A数据源 传感器A 数据源 传感器B 操作人员 传感器B