第 5 章 安全防护与入侵检测.ppt

2. 基于网络的入侵检测系统 基于网络的入侵检测系统把原始的网络数据包作为数据源。利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务。它的攻击识别模块进行攻击签名识别的方法有：模式、表达式或字节码匹配；频率或阈值比较；次要事件的相关性处理；统计异常检测。一旦检测到攻击，IDS的响应模块通过通知、报警以及中断连接等方式来对攻击行为做出反应。然而它只能监视通过本网段的活动，并且精确度较差，在交换网络环境中难于配置，防欺骗的能力也比较差。其优势有： l 成本低； l 攻击者转移证据困难； l 实时检测和响应； l 能够检测到未成功的攻击企图； l与操作系统无关。 3. 基于代理的入侵检测系统 基于代理的入侵检测系统用于监视大型网络系统。随着网络系统的复杂化和大型化，系统弱点趋于分布式，而且攻击行为也表现为相互协作式特点，所以不同的IDS之间需要共享信息，协同检测。整个系统可以由一个中央监视器和多个代理组成。中央监视器负责对整个监视系统的管理，它应该处于一个相对安全的地方。代理则被安放在被监视的主机上(如服务器、交换机、路由器等)。代理负责对某一主机的活动进行监视，如收集主机运行时的审计数据和操作系统的数据信息，然后将这些数据传送到中央监视器。代理也可以接受中央监控器的指令。这种系统的优点是可以对大型分布式网络进行检测。 入侵检测系统的部署 定义IDS的目标 不同的组网应用可能使用不同的规则配置，所以用户在配置人侵检测系统前应先明确自己的目标，建议从如下几个方面进行考虑。(1)明确网络拓扑需求。??? (2)安全策略需求。 (3)1DS的管理需求。??? 选择监视内容 1）选择监视的网络区域 2）选择监视的数据包的类型 3）根据网络数据包的内容进行检测??? ??? 一般来说，不同的入侵检测系统采用不同的方法来监视网络数据包的内容，例如可以采用先根据网络协议来选择入侵特征规则进行检测，然后再根据此协议数据包中的字符特征进行检测。 部署IDS 1)只检测内部网络和外部网络边界流量的IDS系统的部署 ?在小型网络结构中，如果内部网络是可以信任的，那么只需要监控内部网络和外部网络的边界流量。这种情况下，入侵检测系统部署在出口路由器或防火墙的后面，用来监控网络入口处所有流入和流出网络的流量，网络拓扑结构可按照图5.13所示的方式进行部署。 ?在图5.13中，IDS被部署在内部网络与Internet的出口处，IDS设备的监听口连接到了内部网络出口处的交换机(Switch)镜像接口上，从而可以捕获到交换机镜像接口的网络流量。 ?管理员可以通过命令行方式(Console、Telnet或SSH)或Web方式(HTTP或HTTPS)远程登录到IDS管理接口并对设备进行配置管理。 ?图5.13所示的部署方式不仅方便了用户的使用和配置，也节约了投资成本，适合中小规模企业的网络安全应用。 2)集中监控多个子网流量 ?在这种组网情况下，内部局域网中划分了多个不同职能的子网，有些子网访问某些子网资源量希望受到监控和保护，假设具体进行监控。??? (1)需要对关键子网LAN1的流量进行监控。??? (2)LAN2子网了放置了各种服务器，因此对LAN2的所有流量也需要进行监控。??? (3)网络管理员要能够集中监控网络的流量和异常情况。 在这种情况下，含IDS的网络拓扑如图5.14示。 入侵检测系统的选型 异常检测模型的基本原理 异常检测，也被称为基于行为的检测。其基本前提是假定所有的入侵行为都是异常的。其基本原理是，首先建立系统或用户的"正常"行为特征轮廓，通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。而不是依赖于具体行为是否出现来进行检测的，从这个意义上来讲，异常检测是一种间接的方法。 异常检测的关键技术 l) 特征量的选择 异常检测首先是要建立系统或用户的"正常"行为特征轮廓，这就要求在建立正常模型时，选取的特征量既要能准确地体现系统或用节随行为特征，又能使模型最优化，即以最少的特征量就能涵盖系统或用户的行为特征。例如，可以检测磁盘的转速是否在常，CPU是否无故超频等异常现象。 2) 参考阔值的选定 因为在实际的网络环境下，入侵行为和异常行为往往不是一对一的等价关系，经常发生这样的异常情况，如某一行为是异常行为，而它并不是入侵行为;同样存在某一行为是入侵行为，而它却并不是异常行为的情况。这样就会导致检测结果的虚警(false positives) 和漏警 (false negatives) 的产生。由于异常检测是先建立正常的特征轮廓作为比较的参考基准，这个参考基准即参考阔值的选定是非常关键的，阂值定的过大，那漏警率会很高;阔