第7章网络防御.pptVIP

7.3 入侵检测系统 入侵检测：对入侵行为的发觉，通过对计算机系统、计算机网络中的若干关键部位收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为。 IDS（Intrusion Detection System） 进行入侵检测的软件和硬件的组合，一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全系统。 一般认为防火墙属于静态防范措施，而入侵检测系统为动态防范措施，是对防火墙的有效补充。 假如防火墙是一幢大楼的门禁，那么IDS就是这幢大楼里的监视系统。 入侵检测专家系统IDES模型的组成 主体（Subjects）：启动在目标系统上活动的实体，如用户 对象（Objects）：系统资源，如文件、设备、命令等。 审计记录（Audit records）：由构成的六元组。 活动：是主体对目标的操作，对操作系统而言，这些操作包括读、写、登录、退出等； 异常条件：是指系统对主体的该活动的异常报告； 资源使用状况：是系统的资源消耗情况，如CPU、内存使用率等； 时间戳：是活动发生时间。 活动轮廓：用以保存主体正常活动的有关特征信息； 异常记录：由事件、时戳、轮廓组成，用以表示异常事件的发生情况。 活动规则：组成策略规则集的具体数据项。 1984-1986年，研究出一个实时入侵检测系统模型，入侵检测专家系统IDES(Intrusion Detection Expert System)。 定义好活动规则，形成策略规则集，统计分析主体的活动记录，形成活动轮廓； 将需要检测的数据传送给模式匹配器和轮廓特征引擎； 模式匹配器依据策略规则集的内容检测数据源，如发现违反规则的活动则报警； 轮廓特征引擎分析抽取数据源中主体活动轮廓，并与异常检测器一起判断是否发生了异常现象，如发生则报警。 CIDF通用模型 IDWG(入侵检测工作组)和CIDF(通用入侵检测框架)负责开展对IDS进行标准化和研究工作。 入侵检测系统的通用模型 E盒通过传感器收集事件数据，将信息传送给A盒和D盒； A盒检测误用模式； D盒存储来自A、E盒的数据，并为额外的分析提供信息； R盒从A、E盒中提取数据 R盒启动适当的响应。 入侵检测几个重要概念 事件：当网络或主机遭到入侵或出现较重大变化时，称为发生安全事件，简称事件。 报警：当发生事件时，IDS通过某种方式及时通知管理员事件情况称为报警。 响应：当IDS报警后，网络管理员对事件及时作出处理称为响应。 误用：误用是指不正当使用计算机或网络，并构成对计算机安全或网络安全威胁的一类行为。 异常：对网络或主机的正常行为进行采样、分析，描述出正常的行为轮廓，建立行为模型，当网络或主机上出现偏离行为模型的事件时，称为异常。 入侵特征：也称为攻击签名（Attack Signature）或攻击模式（Attack Patterns），一般指对网络或主机的某种入侵攻击行为（误用行为）的事件过程进行分析提炼，形成可以分辨出该入侵攻击事件的特征关键字，这些特征关键字被称为入侵特征。 感应器：置在网络或主机中用于收集网络信息或用户行为信息的软硬件，称为感应器。感应器应该布置在可以及时取得全面数据的关键点上，其性能直接决定IDS检测的准确率（如企业的摄像头监控设备）。 入侵检测几个重要概念 入侵检测系统工作过程 信息收集： 入侵检测的第一步是信息收集，收集内容包括系统和网络的数据及用户活动的状态和行为。 信息收集工作一般由由放置在不同网段的感应器来收集网络中的数据信息和主机内感应器来收集该主机的信息 (尽可能扩大检测范围 ； 从一个源来的信息有可能看不出疑点) 入侵检测很大程度上依赖于收集信息的可靠性和正确性 入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息。 信息收集的来源 系统或网络的日志文件、网络流量、系统目录和文件的异常变化、 程序执行中的异常行为 日志文件中记录了各种行为类型，每种类型包含不同信息（用户活动）。攻击者常在系统日志文件中留下踪迹。 网络中包含重要信息的文件经常是黑客修改和破坏的目标，目录和文件中不期望的改变是入侵产生的指示。 信息分析 将收集到的有关系统和网络的数据及用户活动的状态和行为等信息送到检测引擎，检测引擎一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。 结果处理 当控制台接到发生安全事件的通知，将产生报警，也可依据 预先定义的相应措施进行联动响应。如可以重新配置路由器 或防火墙、终止进程、切断连接、改变文件属性等。 入侵检测性能关键参数 IDS主要功能 7.3.2 入侵检测系统分类 主机型入侵检测系统工作原理 * 《信息系统安全》 NAT的功能就是指将使用私有地址的网络与公用网络INTERNET相连，使用私有地址的内部网络通过NAT路由器发