第7章入侵检测技术.pptVIP

早期的IDS模型设计用来监控单一服务器，是基于主机的入侵检测系统--基于主机的IDS：利用操作系统的审计作为输入的主要来源。 近期的更多模型则集中用于监控通过网络互连的多个服务器--基于网络的IDS：针对互联在网络上的主机的监视。 u???监视、分析用户及系统活动； u???对系统构造和弱点的审计； u???识别和反应已知进攻的活动模式并向相关人士报警； u???异常行为模式的统计分析； u???评估重要系统和数据文件的完整性； u???操作系统的审计跟踪管理，识别用户违反安全策略的行为。 功能 1.识别黑客常用入侵与攻击手段。 入侵检测技术通过分析各种攻击的特征，可以全面快速地识别探测攻击、拒绝服务攻击、缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常用攻击手段，并做相应的防范。 一般来说，黑客在进行入侵的第一步探测、收集网络及系统信息时，就会被IDS捕获,向管理员发出警告。 2.监控网络异常通信IDS系统会对网络中不正常的通信连接做出反应，保证网络通信的合法性；任何不符合网络安全策略的网络数据都会被IDS侦测到并警告。 3.鉴别对系统漏洞及后门的利用IDS系统一般带有系统漏洞及后门的详细信息，通过对网络数据包连接的方式、连接端口以及连接中特定的内容等特征分析，可以有效地发现网络通信中针对系统漏洞进行的非法行为。 4.完善网络安全管理IDS通过对攻击或入侵的检测及反应，可以有效地发现和防止大部分的网络犯罪行为，给网络安全管理提供了一个集中、方便、有效的工具。使用IDS系统的监测、统计分析、报表功能，可以进一步完善网络管理。 1.信息收集 收集的内容：系统、网络、数据、用户活动的状态和行为。而且需要在计算机网络系统的不同关键点（不同网段，不同主机）收集。 此处要保证检测网络系统的软件的完整性得到保证，防止被黑客篡改。 利用的信息来源： 系统和网络日志文件：日志文件记录了各种行为类型，包含了很多信息。例如：记录“用户活动”类型的日志，包含登录、用户ID改变、用户对文件的访问、授权等各种活动的记录。那么，对于用户来说，不正常的或不期望的行为例如：重复登录失败，登录到不期望的位置以及企图访问无权限的重要文件。 目录和文件的不期望的改变：包含重要信息的文件和私有数据文件是入侵者修改或破环的目标。不期望的改变（修改、创建、删除） 程序执行中的不期望行为：网络系统上执行的程序一般包括操作系统、网络服务、用户启动的应用程序（例如数据库服务器）。每个程序由一个或多个进程实现。每个进程执行在具有不同权限的环境中，控制着该进程可访问的系统资源、程序和数据文件等。计算、文件传输、调用设备、和其他进程以及网络间其他进程的通信。如果有：越权访问、非法读写等操作，则表明该程序可能已被破环或修改。 物理形式的入侵信息：1、未授权的网络硬件的连接 。2、对物理资源的未授权的访问。例如讲自己的机器连接入内部网络，或者连接自己的网络硬盘等。 该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂。 一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。 该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。 它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。 但是，该方法存在的弱点是需要不断的升级模式库以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。 例如，统计分析时发现一个在晚八点至早六点从不登录的账户却在凌晨两点突然试图登录，系统认为该行为是异常行为。 统计分析的优点是可检测到未知的入侵和更为复杂的入侵， 缺点是误报、漏报率高，且不适应用户正常行为的突然改变。 具体的统计分析方法有：基于专家系统的、基于模型推理的和基于神经网络的分析方法。 其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。 缺点是一般以批处理方式实现，不用于实时响应。尽管如此，完整性检测方法还是网络安全产品的重要组成部分。可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查。 7.2.2 基于主机的入侵检测系统 主要使用操作系统的审计跟踪日志作为输入，也会主动与主机系统进行交互获得不存在于系统日志中的信息。 收集的信息集中在系统调用和应用层审计上。 检测原理：根据主机的审计数据和系统日志发现可疑 事件。 检测目标：主机系统和系统本地用户 7.2.3 基于网络的入侵检测系统 通过在计算机网络中的某些点被动地监听网络上传输的原始流量，对获取的网络数据进行处理，从中提取有用的信息，再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。 根据网络流量及单台或多