第八章入侵检测系统.ppt

内容提要 入侵检测技术用来发现攻击行为，进而采取正确的响应措施，是安全防御的重要环节。通过本章学习使学生能够掌握入侵检测系统的基本原理，在了解Snort工作原理的基础上，掌握其安装和使用方法，了解入侵防御技术的特点及其和入侵检测的区别。 第八章 入侵检测系统 8.1 入侵检测系统概述 8.2 入侵检测系统的组成 8.3 入侵检测的相关技术 8.4 入侵检测系统Snort 8.5 入侵防御系统 8.6 实验：基于snort的入侵检测系统安装和使用 8.7 小结 习题 入侵检测系统的功能（小结） 1、监视并分析用户和系统的活动，查找非法用户和合法用户的越权操作； 2、检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞； 3、对用户的非正常活动进行统计分析，发现入侵行为的规律； 4、检查系统程序和数据一致性与正确性，如计算和比较文件系统的校验； 5、能够实时对检测到的入侵行为作出反应； 6、操作系统的审计跟踪管理。 入侵检测系统的性能指标 2、准确性指标 在很大程度上取决于测试时采用的样本集和测试环境。包括： 检测率(%)：指被监控系统在受到入侵攻击时，检测系统能够正确报警的概率。通常利用已知入侵攻击的实验数据集合来测试系统的检测率。其值为：检测到的攻击数/攻击事件总数； 误警率(%)：是指把那些正确事件误报为攻击以及把一种攻击行为误报为另一种攻击的概率，其值为：1－(正确的告警数/总的告警数)； 漏警率(%)：已经攻击而没有检测出来的攻击占所有攻击的概率，通常利用已知入侵攻击的实验数据集合来测试系统的漏报率。其值为(攻击事件－检测到的攻击数)/攻击事件总数； 重复报警率(%)：重复报警占所有报警的比率，其值为重复报警数/总的报警数。 入侵检测系统的性能指标 3、效率指标 根据用户系统的实际需求，以保证入侵检测准确性的前提下，提高入侵检测系统的最大处理能力。效率指标也取决于不同的设备级别，如百兆网络环境下和千兆网络环境下入侵检测系统的效率指标一定有很大差别。效率指标主要包括：最大处理能力、每秒能监控的网络连接数、每秒能够处理的事件数等。 入侵检测系统的性能指标 最大处理能力： 指网络入侵检测系统在维持其正常检测率的情况下，系统低于其漏警指标的最大网络流量。目的是验证系统在维持正常检测的情况下能够正常报警的最大流量。以每秒数据流量（Mbps或Gbps）来表示。取决于三个因素，其一是入侵检测系统抓包能力，其二是分析引擎的分析能力，最后还与数据包的大小有直接关系，相同流量下，网络数据包越小，数据包越多，处理能力越差。 入侵检测系统的性能指标 每秒能监控的网络连接数：网络入侵检测系统不仅要对单个的数据包作检测，还要将相同网络连接的数据包组合起来作分析。网络连接的跟踪能力和数据包重组能力是网络入侵检测系统进行协议分析、应用层入侵分析的基础。例如：检测利用HTTP协议的攻击、敏感内容检测、邮件检测、Telnet会话的记录与回放、硬盘共享的监控等。 每秒能够处理的事件数：网络入侵检测系统检测到网络攻击和可疑事件后，会生成安全事件或称报警事件，并将事件记录在事件日志中。每秒能够处理的事件数，反映了检测分析引擎的处理能力和事件日志记录的后端处理能力。 入侵检测系统的性能指标 系统指标 系统指标主要表示系统本身运行的稳定性和使用的方便性。系统指标主要包括：最大规则数、平均无故障间隔等。 最大规则数：系统允许配置的入侵检测规则条目的最大数目。 平均无故障间隔：系统无故障连续工作的时间。 入侵检测系统的性能指标 其它指标 系统结构： 完备的IDS应能采用分级、远距离分式式部署和管理。 8.4 入侵检测系统Snort 8.4.1 Snort概述 Snort是一个功能强大、跨平台、轻量级的网络入侵检测系统，从入侵检测分类上来看，Snort应该是个基于网络和误用的入侵检测软件。它可以运行在Linux、OpenBSD、FreeBSD、Solaris、以及其它Unix 系统、Windows等操作系统之上。Snort是一个用C语言编写的开放源代码软件，符合GPL(GNU通用公共许可证 GNU General Public License)的要求，由于其是开源且免费的，许多研究和使用入侵检测系统都是从Snort开始，因而Snort在入侵检测系统方面占有重要地位。Snort的网站是。用户可以登陆网站得到源代码，在Linux和Windows环境下的安装可执行文件，并可以下载描述入侵特征的规则文件。 8.4 入侵检测系统Snort 8.4.2系统组成和处理流程 图