2019年网络安全管理员培训7-入侵检测技术.pdf

网络通信安全管理员培训7 入侵检测系统 引 当我们无法完全防止 侵时，那么只能希望系 统在受到攻击时，能尽快检测出 侵，而且最 好是实时的，以便可以采取相应的措施来对付 入侵，这就是 侵检测系统要做的，它从计算 机网络中的若干关键点收集信息，并分析这些 信息，检查网络中是否有违反安全策略的行为 和遭到袭击的迹象。 侵检测被认为是防火墙 之后的第二道安全闸门。 防火墙与入侵检测系统 站岗与巡逻类似于防火墙与 侵检测系统 入侵检测是防火墙的合理补充 入侵检测概述 定义： 入侵检测就是对 （网络）系统的运行状态进行监视， 发现各种攻击企图、攻击行为或者攻击结果，以保 证系统资源的机密性、完整性与可用性。 功能： 识别黑客常用入侵与攻击 监控网络异常通信 鉴别对系统漏洞及后门的利用 完善网络安全管理 入侵检测模型 CIDF模型； CIDF模型是在对入侵检测系统进行规范化的进程 中提出的，也是逐渐被入侵检测领域所采纳的模型； Denning的通用入侵检测系统模型。 Denning的通用入侵检测系统模型作为入侵检测发 展历程中颇具影响力的实例，给入侵检测领域的研 究带来了相当重要的启示。 入侵检测系统的CIDF模型 事件产生器 事件分析器 事件数据库 响应单元 事件产生器 事件产生器的目的是从整个计算环境中获得事 件，并向系统的其他部分提供此事件 是入侵检测的第一步 采集内容 系统日志 应用程序日志 系统调用 网络数据 用户行为 其他IDS的信息 事件分析器与响应单元 事件分析器分析得到的数据，并产生分析结果。 分析是核心 效率高低直接决定整个IDS性能 响应单元则是对分析结果作出作出反应的功能 单元，功能包括： 告警和事件报告 终止进程，强制用户退出 切断网络连接，修改防火墙设置 灾难评估，自动恢复 查找定位攻击者 事件数据库 事件数据库是存放各种中间和最终数据的地方 的统称，它可以是复杂的数据库，也可以是简 单的文本文件。 Denning的通用入侵检测系统模型 规则设计 与更新 时钟 学习 创建 主体 规则集 异常 活动 审计记录 处理引擎 规则提取 记录 历史行 更新 为特征 新建行 为特征 正常行为 特征轮廓 入侵检测的其它概念 误报： 检测系统把系统的正常行为判为入侵行为 漏报 某些入侵行为未能检测到 蜜罐 诱使黑客对其进行攻击，从而收集相关入侵数据和 病毒 本 IDS与IPS IDS:入侵检测系统--火灾预警 IPS:入侵防御系统--智能灭火 IPS的主要特点： 深层防御：