第11讲IDS技术（一）演示课件.pptVIP

七、一个攻击检测实例 1、Sendmail漏洞利用 2、简单的匹配 3、检查端口号 4、深入决策树 5、更加深入 6、响应策略 精选编制 1、Sendmail漏洞利用 老版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell 精选编制 2、简单的匹配 检查每个packet是否包含： “WIZ” | “DEBUG” 精选编制 3、检查端口号 缩小匹配范围 Port 25:{ “WIZ” | “DEBUG” } 精选编制 3、根据检测技术进行分类 异常入侵检测 根据异常行为和使用计算机资源的情况检测出来的入侵。 误用入侵检测 利用已知系统和应用软件的弱点攻击模式来检测入侵。 精选编制 4、根据体系结构分类 集中式 多个分布于不同主机上的审计程序，但只有一个中央入侵检测服务器。 等级式 定义了若干个分等级的监控区域，每个IDS负责一个区域，每一级IDS只负责所监控区的分析，然后将当地的分析结果传送给上一级IDS。 协作式 将中央检测服务器的任务分配给多个基于主机的IDS，这些IDS不分等级，各司其职，负责监控当地主机的某些活动。 精选编制 5、根据响应方式分类 主动响应 对被攻击系统实施控制和对攻击系统实施控制。 被动响应 只会发出告警通知，将发生的不正常情况报告给管理员，本身并不试图降低所造成的破坏，更不会主动地对攻击者采取反击行动。 精选编制 五、入侵检测的分析方式 1、入侵检测的分析方式 2、异常检测 3、误用检测 4、完整性分析 5、入侵检测的过程 精选编制 1、入侵检测的分析方式 异常检测（Anomaly Detection） 统计模型 误报较多 误用检测（Misuse Detection） 维护一个入侵特征知识库（CVE） 准确性高 完整性分析 精选编制 2、异常检测（1） 基本原理 正常行为的特征轮廓 检查系统的运行情况 是否偏离预设的门限？ 举例 多次错误登录、午夜登录 精选编制 2、异常检测（2）实现技术和研究重点 实现技术 统计 神经网络 研究重点 如何定义、描述和获取系统的行为知识 如何提高可信度、检测率，降低报警的虚警率 精选编制 2、异常检测（3）优点 可以检测到未知的入侵 可以检测冒用他人帐号的行为 具有自适应，自学习功能 不需要系统先验知识 精选编制 2、异常检测（4）缺点 漏报、误报率高 入侵者可以逐渐改变自己的行为模式来逃避检测 合法用户正常行为的突然改变也会造成误警 统计算法的计算量庞大，效率很低 统计点的选取和参考库的建立比较困难 精选编制 3、误用检测（1） 检测已知攻击 匹配 建立已出现的入侵行为特征 当前用户行为特征 举例 Land攻击 源地址=目标地址? 精选编制 3、误用检测（2）优点 算法简单 系统开销小 准确率高 效率高 精选编制 3、误用检测（3）缺点 被动 只能检测出已知攻击 新类型的攻击会对系统造成很大的威胁 模式库的建立和维护难 模式库要不断更新 知识依赖于 硬件平台 操作系统 系统中运行的应用程序 精选编制 4、完整性分析 通过检查系统的当前系统配置，诸如系统文件的内容或者系统表，来检查系统是否已经或者可能会遭到破坏。 其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。 缺点是一般以批处理方式实现，不用于实时响应。 精选编制 5、入侵检测的过程 信息收集 包括系统、网络、数据及用户活动的状态和行为。 信息分析 分析收集到的信息，发现违背安全策略的行为。 响应 根据攻击或事件的类型或性质，做出相应的响应 精选编制 六、异常检测技术 1、异常检测技术概念 2、异常检测技术的优势 3、主要方法 4、统计学 5、典型系统 6、数据挖掘技术 7、异常检测技术的缺陷 8、异常检测技术的发展趋势 精选编制 1、异常检测技术概念 异常检测就是为系统中的用户、程序或资源建立正常行为模式，然后通过比较用户行为与正常行为模式之间的差异进行检测。 精选编制 1、异常检测技术概念 Denning在1987年提出的基于系统行为检测的入侵检测系统模型： 通过对系统审计数据的分析建立起系统主体的正常行为特征轮廓（Profile）；检测时，如果系统中的审计迹数据与已建立的主体正常行为特征有较大出入，就认为系统遭到入侵。特征轮廓是借助主体登录的时刻、位置，CPU的使用时间以及文件的存取属性等，来描述主体的正常行为特征。当主体的行为特征改变时，对应的特征轮廓也相