第7章 入侵检测技术.ppt

计算机安全与保密 第七章 入侵检测技术 7.1 入侵检测的基本概念 入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”。 入侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。 进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System，简称IDS） 7.1 入侵检测的基本概念 网络入侵行为 1、外部渗透 2、内部渗透 3、不法使用 常见的网络入侵的手段 电子欺骗攻击 嗅探器Sniffer 端口扫描与漏洞扫描 7.1 入侵检测的基本概念 口令破解 特洛伊木马 缓冲区溢出攻击 拒绝服务攻击（DoS攻击） 利用系统或软件的漏洞进行攻击 电子欺骗攻击 入侵检测的发展 业界将James P. Anderson在1980年发布的那篇《计算机安全威胁监控与监视（Computer Security Threat Monitoring and Surveillance）》作为入侵检测概念的最早起源 7.1 入侵检测的基本概念 1986年Dorothy Denning等人才在其论文An Intrusion Detection Model中给出了一个入侵检测的抽象模型IDES（入侵检测专家系统），并在1988年开发出一个IDES系统 。 7.1 入侵检测的基本概念 1990年Herberlein等人开发出了第一个真正意义上的入侵检测系统NSM（Network Security Monitor）。 上世纪90年代中期，商业入侵检测产品初现端倪，1994年出现了第一台入侵检测产品：ASIM。 1997年，Cisco将网络入侵检测集成到其路由器设备，入侵检测系统正式进入主流网络安全产品阶段。 2001～2003年之间，防火墙是无法控制和发现蠕虫传播的，反倒是入侵检测产品可以对这些蠕虫病毒所利用的攻击代码进行检测，一时间入侵检测名声大振。 2003年GARTNER的一篇《入侵检测已死》的文章，带来了一个新的概念：入侵防御 → IPS：入侵防御系统 。 网络安全工具的比较 为什么需要IDS 关于防火墙 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 入侵很容易 入侵教程随处可见 各种工具唾手可得 入侵检测系统 - IDS IDS（Intrusion Detection Systems：入侵检测系统）。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。 主要优点：实时监视 入侵检测系统的作用 实时检测 实时地监视、分析网络中所有的数据报文 发现并实时处理所捕获的数据报文 安全审计 对系统记录的网络事件进行统计分析 发现异常现象 得出系统的安全状态，找出所需要的证据 主动响应 主动切断连接或与防火墙联动，调用其他程序处理 IDS工作原理 如果对入侵检测系统进行功能模块划分，可以分为：数据采集、数据分析、控制主体、数据管理四个部分，其各部分通信工作原理大致如下： 1）数据在通过防火墙后向IDS传送，IDS内的数据采集模块探测并获取网络中实时流动的数据包信息并进行简单路径与数据包规则等分类，而后向数据分析模块提交相关分类信息 2）数据分析模块将采集来的分类数据信息根据进行规则描述，而后将此描述向数据管理模块发送； 3）数据管理模块对数据分析模块传送的数据包行为描述与库存的所有描述进行对照，而后向数据分析模块进行反馈； 4）数据分析模块根据数据管理模块反馈的信息，判断此数据包是否合法,而后向控制主体模块传递数据包是否合法的信息 5）控制主体模块根据所接收是否合法的信息执行允许操作确认信息或是向系统发出网络警报的行为，行为执行完毕，同时向数据分析模块与数据管理模块传达已执行动作的反馈。 入侵检测系统IDS 典型部署－企业内部安装 典型部署－广域网应用 入侵防御系统 - IPS IPS（Intrusion Prevention System：入侵防御系统）一种能防御防火墙所不能防御的深层入侵威胁（入侵检测技术）的在线部署（防火墙方式）安全产品。 入侵防御系统在具备网络数据检测功能的基础上，增加了网络数据包阻断功能，不过它所具备的网络数据