第8章 入侵检测技术 全面.pptVIP

入侵检测系统包括三个过程 （1）信息收集 （2）信息分析 （3）结果处理 （1）信息搜集 信息收集 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为 需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点 信息收集 入侵检测很大程度上依赖于收集信息的可靠性和正确性 要保证用来检测网络系统的软件的完整性 特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息 信息收集的来源 系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为 ( 2 ) 信息分析 信息分析 模式匹配 统计分析 完整性分析，往往用于事后分析 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为 一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化） 统计分析 统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等） 测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生 完整性分析 完整性分析主要关注某个文件或对象是否被更改 这经常包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效 8.1.5 入侵检测系统的结构 防火墙旨在拒绝那些明显可疑的网络流量，但仍允许某些流量通过，因此它对很多入侵攻击无计可施。IDS通过监视网络和系统资源，寻找违反安全策略的行为，并发出警报，因此IDS只能被动地检测攻击，而不能主动地把变化莫测的威胁阻止在网络之外。 目前，企业所面临的安全问题越来越复杂，如蠕虫、DDoS攻击、垃圾邮件等安全威胁日益增多，给企业网络造成严重的破坏。越来越多的用户发现，IDS不能满足新网络环境下对安全的需求。因此，人们迫切需要找到一种主动入侵防护解决方案，以确保企业网络尽量少地受到威胁和攻击。 IPS是一种主动的、积极的入侵防范和阻止系统，它部署在网络的进出口处，当它检测到攻击企图后，就会自动地将攻击包丢掉或采取措施将攻击源阻断。因此，从实用效果上看，与IDS相比，入侵防御系统IPS又有了新的发展，能够对网络起到较好的实时防护作用。 IPS能够对所有数据包仔细检查，立即确定是许可还是禁止这些包的访问。IPS拥有多个过滤器，能够防止系统中各种类型的弱点免受攻击。当新的漏洞或攻击手段被发现之后，IPS就会创建一个新的过滤器并将其纳入自己的管辖之下，试探攻击这些漏洞的任何恶意企图都会受到拦截。 IPS技术包括基于主机的入侵防护系统和基于网络的入侵防护系统两大类。 基于主机的入侵防护系统(HIPS) 基于网络的入侵防护系统(NIPS) AIP是用来保护特定应用服务(如Web和数据库等应用)的网络设施，通常部署在应用服务器之前。通过AIP系统安全策略的控制来防止基于应用协议漏洞和设计缺陷的恶意攻击。大部分对应用层的攻击都是通过HTTP协议(80端口)进行。据国外权威机构统计，97％的Web站点存在一定的应用协议问题。虽然这些站点通过部署防火墙在网络层以下进行了很好的防范，但其应用层的漏洞仍可被利用，进而受到入侵和攻击。 因此对于Web等应用协议， AIP应用比较广泛。通过制订合理的安全策略，AIP能够对恶意脚本、Cookie投毒、隐藏域修改、缓存溢出、参数篡改、强制浏览、SQL插入、已知漏洞攻击等Web攻击进行有效的防范。虽然AIP刚出现近两年，但其发展迅速。Yankee Group预测在未来的五年里，AIP将和防火墙、IDS和反病毒等安全技术一起，成为网络安全整体解决方案的重要组成部分。 8.4 网络扫描和网络监听 防火墙是保证网络安全的第一道屏障。它能根据企业的安全政策控制(允许或拒绝)出入网络的信息流，且本身具有较强的抗攻击能力。但是它也存在一些诸如不能防止来自内部网络用户的攻击、不能防止绕过它的攻击、不能防止带病毒文件的传输等不足之处。 8.4 网络扫描和网络监听 IDS是网络安全的第二道闸门，是防火墙的必要补充。然而，由于网络IDS也存在一些局限性，现已出现IDS躲避技术和越过网络IDS的新技术。 因此，对付破坏系统企图的理想方法就是建立一个完全安全的系统，但实际上这是根本不可能的。美国公布的一份研究报告，指出软件中不可能没有漏洞和缺陷。 8.4 网络扫描和网络监听 影响网络系统安全的因素很多，但不外乎来自系统内部