入侵检测技术的研究.pptVIP

7.1 入侵检测的基本概念 网络入侵行为 1、外部渗透 2、内部渗透 3、不法使用 常见的网络入侵的手段 电子欺骗攻击 嗅探器Sniffer 端口扫描与漏洞扫描 7.1 入侵检测的基本概念 口令破解 特洛伊木马 缓冲区溢出攻击 拒绝服务攻击（DoS攻击） 利用系统或软件的漏洞进行攻击 电子欺骗攻击 入侵检测的发展 业界将James P. Anderson在1980年发布的那篇《Computer Security Threat Monitoring and Surveillance》作为入侵检测概念的最早起源 7.1 入侵检测的基本概念 1986年Dorothy Denning等人才在其论文An Intrusion Detection Model中给出了一个入侵检测的抽象模型IDES（入侵检测专家系统），并在1988年开发出一个IDES系统 。 7.1 入侵检测的基本概念 1990年Herberlein等人开发出了第一个真正意义上的入侵检测系统NSM（Network Security Monitor）。 上世纪90年代中期，商业入侵检测产品初现端倪，1994年出现了第一台入侵检测产品：ASIM。 1997年，Cisco将网络入侵检测集成到其路由器设备，入侵检测系统正式进入主流网络安全产品阶段。 2001～2003年之间，防火墙是无法控制和发现蠕虫传播的，反倒是入侵检测产品可以对这些蠕虫病毒所利用的攻击代码进行检测，一时间入侵检测名声大振。 2003年GARTNER的一篇《入侵检测已死》的文章，带来了一个新的概念：入侵防御。 7.2 PPDR模型及入侵检测系统 网络安全模型 针对网络安全问题，人们提出了各种网络安全模型，其中具有代表性的是PDR模型。PDR模型有很多变种。人们普遍接受的一个模型是PPDR模型 7.2 PPDR模型及入侵检测系统 入侵检测系统的功能要求: 实时性要求 可扩展性要求 适应性要求 安全性与可用性要求 有效性要求 7.2 PPDR模型及入侵检测系统 入侵检测系统的基本结构 图7.3给出了一个通用的入侵检测系统结构。很多入侵检测系统还包括界面处理，配置管理等模块。 7.2 PPDR模型及入侵检测系统 入侵检测系统的分类 基于主机的入侵检测系统（HIDS） 安装在需要重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。 基于网络的入侵检测系统（NIDS） 利用网络侦听技术，通过对网络上的数据流进行捕捉、分析，以判断是否存在入侵。它以网络上传输的信息包为主要研究对象，保护网络的运行。 7.2 PPDR模型及入侵检测系统 基于网络的IDS成本低，只需要在网络的关键点进行部署即可，其次对那些基于协议入侵的行为有很好的防范作用，并且对攻击进行实时响应，而与主机操作系统无关。 分布式入侵检测系统（DIDS） 典型的DIDS是管理端/传感器结构。NIDS作为传感器放置在网络的各个地方，并向中央管理平台汇报情况。 对DIDS来说，传感器可以使用NIDS、HIDS，或者同时使用，而且传感器有的工作在混杂模式，有的工作在非混杂模式。 7.3 入侵检测的技术模型 入侵检测的技术模型 最早的入侵检测模型由Dorothy Denning在1986年提出。这个模型与具体系统和具体输入无关，对此后的大部分实用系统都很有借鉴价值。 7.3 入侵检测的技术模型 基于异常检测的入侵检测 任何一种入侵和滥用行为通常与正常的行为存在严重的差异，通过检查出这些差异就可以检查出入侵。 这种方法主要是建立计算机系统中正常行为的模式库，然后根据收集到的信息数据，通过某种方法，看是否存在重大偏差，如果偏差在规定范围之外，则认为发生了入侵行为，否则视为正常。 异常检测的一个很大的优点是不需要保存各种攻击特征的数据库，随着统计数据的增加，检测的准确性会越来越高，可能还会检测到一些未知的攻击。但由于用户的行为有很大的不确定性，很难对其行为确定正常范围，因此门限值的确定也比较困难，出错的概率比较大。同时，它只能说明系统发生了异常的情况，并不能指出系统遭受了什么样的攻击，这给系统管理员采取应对措施带来了一定困难。 7.3 入侵检测的技术模型 异常检测中常用的方法有：量化分析、统计分析和神经网络。 基于误用的入侵检测 收集非正常操作的行为特征，建立相关的特征库，也就是所谓的专家知识库。通过监测用户的或系统行为，将收集到的数据与预先确定的特征知一识库里的各种攻击模式进行比较，如果能够匹配，则判断有攻击，系统就认为这种行为是入侵。 误用检测能迅速发现已知的攻击，并指出攻击的类型，便于采取应对措施；同时用户可以根据自身情况选择所要监控的事件类型和数量；并且误用检测没有浮点运算，效率较高。但