网络安全理论与时间-教案设计-第4讲入侵检测系统-20180531.docVIP

第1章 概述 金陵科技学院教案【教学单元首页】 第 1 次课 授课学时 4 教案完成时间： 2018.2 章、节 第4讲 IDS 主要内容 入侵检测概述 入侵检测原理及主要方法 IDS的结构与分类 NIDS HIDS DIDS IDS设计上的考虑与部署 IDS的发展方向 目的与要求 系统地介绍系统入侵检测与预防技术。熟悉入侵的基本知识；掌握入侵攻击的一般步骤；掌握入侵检测系统的构件；了解入侵检测系统的各种分类方法，特别是HIDS和NIDS的区别；了解入侵检测的信息源，如基于网络、基于主机等；理解入侵检测的分析方式，如基于网络信息的分析和基于主机日志的分析；了解入侵检测的部署机制及相关应用。 重点与难点 掌握入侵攻击的一般步骤；掌握入侵检测系统的构件；理解入侵检测的分析方式，NIDS、HIDS、DIDS的原理。 教学方法与手段 课堂教学，多媒体课件与板书相结合 授 课 内 容 内 容 备 注 1入侵检测概述 1.1入侵检测的主要作用： 检测和记录网络中的攻击事件，阻断攻击行为，防止入侵事件的发生。 检测其他未授权操作或安全违规行为。 统计分析黑客在攻击前的探测行为，管理员发出警报。 报告计算机系统或网络中存在的安全威胁。 提供有关攻击的详细信息，帮助管理员诊断和修补网络中存在的安全弱点。 在大型复杂的计算机网络中部署入侵检测系统，提高网络安全管理的质量。 1.2入侵检测的定义： （1）入侵检测：不仅包括攻击者非法取得系统的控制权的行为也包括他们对系统漏洞信息的收集，并由此对信息系统造成危害的行为。 （2）入侵检测系统：所有能够执行入侵检测任务和实现入侵检测功能的系统都称为入侵检测系统（Intrusion Detection System, IDS)。包括软件系统或软、硬件结合的系统。 1.3入侵检测系统模型 （1）数据收集器：探测器，主要负责收集数据，包括网络协议数据包、系统日志文件、系统调用记录等。 （2）检测器：分析和检测入侵的任务并向控制器发出警报信号。 （3）知识库：为检测器和控制器提供必需的数据信息支持。 （4）控制器：根据警报信号人工或自动地对入侵行为做出响应。 1.4 IDS的主要功能： 防火墙之后的第二道安全闸门。 提高信息安全基础结构的完整性。 在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。 1.5入侵检测执行的任务： 监视、分析用户及系统的活动 检测其他未授权操作或安全违规行为。 系统构造和弱点的审计 报告计算机系统或网络中存在的安全威胁。 异常行为模式的统计分析 识别用户违反安全策略的行为。 1.6 IDS的主要功能： 网络流量的跟踪与分析功能 已知攻击特征的识别功能 异常行为的分析、统计与响应功能 特征库的在线和离线升级功能 数据文件的完整性检查功能 自定义的响应功能 系统漏洞的预报警功能 IDS探测器集中管理功能 IDS的功能模块： （1）信息收集： 系统和网络的日志文件：日志文件中包含发生在系统和网络上的异常活动的证据。通过日志发现入侵行为。 目录和文件中的异常改变：目录和文件的异常改变，特别是那些限制访问的重要文件和数据的改变，很可能是一种入侵行为。黑客经常替换、修改和破坏他们获得访问权限。 程序执行中的异常行为：程序由一个或多个进程来实现，每个进程执行在不同权限的环境中，这种环境控制着进程可访问的资源、程序、和数据文件等。进程出现异常，表明可能被入侵。 物理形式的入侵信息：一是对网络硬件的非授权连接；二是对物理资源的未授权访问。 （2）信息分析 模式匹配 将收集到的信息与已知的网络入侵模式的特征数据库进行比较，从而发现违背安全策略的行为。 假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，那么所有已知的入侵方法都可以用匹配的方法来发现。 关键是如何表达入侵模式，把入侵行为与正常行为区分开来 优点：误报率小；局限性：只能发现已知攻击，对未知攻击无能为力 统计分析 建立系统正常运行的行为轨迹：先创建系统对象（如用户、文件、目录 和设备等）的统计属性（如访问次数、操作失败次数、访问地点、访问时间等），再将系统实际行为与之比较。 优点：检测到未知入侵；缺点：误报率高 完整性分析 利用杂凑函数，检测某个文件或对象是否被篡改 优点：只要谁的或对象有改变 都能够被发现 缺点：完整性分析未开户时，不能主动发现入侵行为，实时性差。 （3）安全响应 主动响应：由用户驱动或系统本身自动执行，可对入侵行为采取终止网络服务、修正系统环境（如修改防火墙安全策略等）。 被动响应：发出告警信息和通知等。 IDS的评价标准： 先进的检测能力和响应能力 不影响被保护网络正常运行 无人监管能正常运行 具有坚固