第1章入侵检测技术简介.ppt

入侵检测技术简介;参考资料;第1章 入侵检测技术的历史;主机审计出现在入侵检测技术之前; 其定义为： 产生、记录并检查按照时间顺序排列的系统事件记录的过程。 统计用户的上机时间，便于进行计费管理。 跟踪记录计算机系统的资源使用情况 追踪调查计算机系统中用户的不正当使用行为的目的。;20世纪70年代TCSEC（可信计算机系统评估准则）首次定义了计算机系统的安全等级评估标准，并且给出了满足各个安全等级的计算机系统所应满足的各方面的条件。 TCSEC准则规定，作为C2和C2等级以上的计算机系统必须包括审计机制，并给出满足要求的审计机制所应达到的诸多安全目标。 James-Anderson在1980年首次明确提出安全审计的目标，并强调应该对计算机审计机制做出若干修改，以便计算机安全人员能够方便地检查和分析审计数据。; Anderson在报告中定义了3种类型的恶意用户。 ① 伪装者（masquerader）: 此类用户试图绕过系统安全访问控制机制，利用合法用户的系统账户。 ② 违法者（misfeasor）: 在计算机系统上执行非法活动的合法用户。 ③ 秘密活动者（clandestined user）: 此类用户在获取系统最高权限后，利用此种权限以一种审计机制难以发现的方式进行秘密活动，或者干脆关闭审计记录过程。;Anderson指出，可以通过观察在审计数据记录中的偏离历史正常行为模式的用户活动来检查和发现伪装者和一定程度上的违法者。 Anderson对此问题的建议，实质上就是入侵检测中异常检测技术的基本假设和检测思路，为后来的入侵检测技术发展奠定了早期的思想基础。 ;计算机网络的威胁;安全事件模式;病毒破坏（灰鸽子、熊猫烧香） 黑客入侵（五一中美黑客大战） 内部越权（75%的安全问题来自内部） 信息泄漏（军事间谍、商业间谍） 人为因素（操作失误） 不可抗力（自然灾害、战争） ;现代入侵技术发展;现代入侵技术发展;现代入侵技术发展;July 19 01:05:00 2001;July 19 20:15:00 2001;传统的安全措施;防火墙的位置;;防火墙办不到的事;与防火墙的被动防御不同，由于入侵检测通过对系统、应用程序的日志文件及网络数据流量的分析实现主动检测，因此入侵检测被认为是防火墙之后的第???道安全闸门。入侵检测已经成为边界防护技术的合理补充，扩展系统管理员的安全管理能力，提高了信息安全的结构。;IDS置于防火墙与内部网之间;入侵检测系统的部署;入侵检测系统部署方式;检测器部署示意图;1987年, Denning发表了入侵检测领域内的经典论文《入侵检测模型》。这篇文献正式启动了入侵检测领域内的研究工作， 被公认为是IDS领域的又一篇开山之作。 Denning提出的统计分析模型在早期研发的入侵检测专家系统（IDES）中得到较好的实现。IDES系统主要采纳了Anderson的技术报告中所给出的检测建议，但是，Denning的论文中还包括了其他检测模型。 ; 图1-1 通用入侵检测模型;入侵检测技术自20世纪80年代早期提出以来，经过30多年的不断发展，从最初的一种有价值的研究想法和单纯的理论模型，迅速发展出种类繁多的各种实际原型系统，并且在近10年内涌现出许多商用入侵检测系统产品，成为计算机安全防护领域内不可缺少的一种重要的安全防护技术。;1980年，Anderson在其完成的一份技术报告中提出了改进安全审计系统的建议，以便用于检测计算机用户的非授权活动，同时，提出了基本的检测思路。 1984—1986年，Denning和Neumann在SRI公司内设计和实现了著名的IDES，该系统是早期入侵检测系统中最有影响力的一个。 1987年，Dorothy Denning发表的经典论文“An Intrusion Detection Model”中提出入侵检测的基本模型，并提出了几种可用于入侵检测的统计分析模型。Denning的论文正式启动了入侵检测领域内的研究工作。;同年，在SRI召开了首次入侵检测方面的专题研讨会。 1989—1991年，Stephen Smaha设计开发了Haystack入侵检测系统，该系统用于美国空军内部网络的安全检测目的。 1990年，加州大学Davis分校的Todd Heberlien发表在IEEE上的论文“A Network Security Monitor”，标志着入侵检测第一次将网络数据包作为实际输入的信息源。NSM系统截获TCP/IP分组数据，可用于监控异构网络环境下的异常活动。 1991年，在多个部门的赞助支持下，在NSM系统和Haystack系统的基础上，Stephen Smaha主持设计开发了DIDS（分布式入侵检测系统）。 1992年，加州大学圣巴巴拉分校的Porras和Ilgun提出状