入侵检测技术理论.ppt

* * * * * 上海海盾信息网络安全技术培训中心 / 上海海盾信息网络安全技术培训中心 / 上海海盾信息网络安全技术培训中心 / 上海海盾信息网络安全技术培训中心 / 信息安全师高级 安全体系架构课程 入侵检测概述 入侵定义：指任何企图破坏资源的完整性、保密性和有效性的行为 入侵分为：企图进入、冒充其他合法用户、成功闯入、合法用户的泄漏、拒绝服务、恶意使用 入侵检测：通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。 入侵检测的功能 监控、分析用户和系统的活动 审计系统的配置和弱点 评估关键系统和数据文件的完整性 识别攻击的活动模式 对异常活动进行统计分析 操作系统审计跟踪管理，识别违反政策的用户活动 入侵检测系统的模型 入侵检测系统包括： 事件记录流的信息源、分析引擎、响应部件 CIDF(Common Intrusion Detection Framework) 入侵检测过程分析 信息收集 信息分析 告警与响应 入侵检测过程分析 信息采集 网络和系统日志文件 目录和文件中的不期望的改变 程序执行的不期望行为 物理形式的入侵信息 信息分析 先建分析器，预处理信息，再建行为分析模型，然后植入时间数据，保存数据库 告警与响应 自动终止攻击；终止用户连接；禁止用户帐号 重新配置防火墙阻塞攻击；向管理控制台发出警告 向网络管理平台发出信息；记录日志 向安全管理人员发提示邮件；执行一个用户自定义程序 入侵检测技术－滥用入侵检测技术 滥用检测又称基于知识的检测。 （基于特征或模式匹配） 前提：所有可能的入侵行为和手段都能够表达为一种模式或特征。 原理：首先对已知的入侵行为和手段进行分析，提取检测特征，构建攻击签名。然后根据定义好的攻击签名来判断是否有入侵行为。 关建问题：攻击签名的正确性。 入侵检测技术－滥用入侵检测技术 主要方法 专家系统 状态迁移分析 模式匹配 击键键控 遗传算法 其他 缺点 不能检测未知的入侵行为 与系统相关性很强 入侵检测技术－异常检测技术 异常检测又称基于行为的检测。 （识别主机或网络中异常或不寻常行为） 前提：假定所有的入侵行为都是异常的。 原理：首先收庥一段时期的正常活动行为，建立代表主机、用户的正常行为轮廓，然后收集时间数据并使用不同方法来判断检测到的事件活动是否偏离了正常行为，若是则入侵。 它是一种间接的方法 主要方法 统计方法 专家系统 神经网络 计算机免疫技术 缺点 误报、漏报率高 入侵检测技术－异常检测技术 关建问题：特征量选择；参考阈值的选定 异常而非入侵的活动被标记为入侵，称为误报警 入侵而非异常的活动未被识别，称为漏报警 入侵检测技术分类 根据信息源划分 基于主机的入侵检测系统HIDS 基于网络的入侵检测系统NIDS 根据检测方法划分 滥用检测 异常检测 根据系统工作试划分 离线检测 在线检测 入侵检测－基于主机的入侵检测 基于主机的入侵检测（HIDS） 安装单个主机上，监视单个主机的可疑活动，从主机的审计记录和日志文件中获得所需的主要数据源。 优点 适合于加密和交换环境 近实时的检测和响应 不需要额外的硬件 入侵检测－基于网络的入侵检测 简称NIDS：使用原始的网络数据包做为数据源 入侵检测－基于网络的入侵检测 HIDS VS. NIDS 入侵检测技术产品 冰之眼 SNORT * * * * * * * * * * * 这里还缺图来进行讲解 上海海盾信息网络安全技术培训中心 / 上海海盾信息网络安全技术培训中心 / 上海海盾信息网络安全技术培训中心 / 上海海盾信息网络安全技术培训中心 / * * * * * * * * * * * 这里还缺图来进行讲解 * * * * *