网络安全22入侵检测系统.pptxVIP

吕延庆 mailto:yanqlv@; Network Security Privacy;计算机安全的三大中心目标是： 保密性(Confidentiality)、完整性(Integrity)、可用性(Availability) 其中比较突出的技术有： 身份认证与识别，访问控制机制，加密技术，防火墙技术 自适应网络安全技术(动态安全技术)和动态安全模型应运而生。典型的就是P2DR模型(如图11-1所示)。;图11-1 P2DR模型; 入侵检测是 动态安全技术的核心技术之一 是防火墙的合理补充 是安全防御体系的一个重要组成部分 ;入侵检测的发展简史;IDS的作用;IDS与Firewall联动;一个国产入侵检测系统：系统规则库的选择界面;入侵检测基本原理;图11-2 入侵检测的一般过程;信息源是指包含有最原始的入侵行为信息的数据 主要是网络、系统的审计数据或原始的网络数据包 数据预处理是指将其转化为检测模型所接受的数据格式包括对冗余信息的去除，即数据简约 是入侵检测研究领域的关键，也是难点之一 检测模型是指根据各种检测算法建立起来的检测分析模型 它的输入一般是经过数据预处理后的数据，输出为对数据属性的判断结果 数据属性一般是针对数据中包含的入侵信息的断言 检测结果即检测模型输出的结果 由于单一的检测模型的检测率不理想，往往需要利用多个检测模型进行并行分析处理，然后对这些检测结果进行数据融合处理，以达到满意的效果。 安全策略是指根据安全需求设置的策略。 响应处理主要是指综合安全策略和检测结果所作出的响应过程 包括产生检测报告、通知管理员、断开网络连接或更改防火墙的配置等积极的防御措施;3 入侵检测系统分类;3.1 按数据来源的分类 输入数据的来源来看，它可分为： 基于主机的入侵检测系统 基于网络的入侵检测系统。 ;1．基于主机的(Host-Based)入侵检测系统 基于主机的入侵检测系统(HIDS)通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计记录文件的记录与攻击签名(Attack Signature，指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配，检测系统就向系统管理员发出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件，并可对入侵事件作出立即反应。它还可针对不同操作系统的特点判断出应用层的入侵事件。; HIDS的优点和不足 早期的入侵检测系统大多都是基于主机的IDS，作为入侵检测系统的一大重要类型，它具有着明显的优点： 1) 能够确定攻击是否成功 2) 非常适合于加密和交换环境 3) 近实时的检测和响应 4) 不需要额外的硬件 5) 可监视特定的系统行为 基于主机的IDS也存在一些不足：会占用主机的系统资源，增加系统负荷，而且针对不同的操作系统必须开发出不同的应用程序，另外，所需配置的IDS数量众多。但是对系统内在的结构没有任何的约束，同时可以利用操作系统本身提供的功能，并结合异常检测分析，更能准确地报告攻击行为。; 2. 基于网络的(Network-Based)入侵检测系统 基于网络的入侵检测系统(NIDS)以原始的网络数据包作为数据源。它是利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务的。其攻击识别模块在进行攻击签名识别时常用的技术有： ● 模式、表达式或字节码的匹配； ● 频率或阈值的比较； ● 事件相关性处理； ● 异常统计检测。 ;NIDS的优势和不足 基于网络的IDS是目前随网络迅速发展，较之于基于主机的IDS，它有着自身明显的优势： 1) 攻击者转移证据更困难 2) 实时检测和应答 3) 能够检测到未成功的攻击企图 4) 操作系统无关性 5) 较低的成本 NIDS同样有着一定的不足：它只能监视通过本网段的活动，并且精确度较差；在交换网络环境中难于配置；防欺骗的能力比较差，对于加密环境它就更是无能为力了。;;; 3．分布式的入侵检测系统 HIDS和NIDS各自都有着自身独到的优势，而且在某些方面是很好的互补。采用这两者结合的入侵检测系统，那将是汲取了各自的长处，又弥补了各自的不足的一种优化设计方案。通常，这样的系统一般为分布式结构，由多个部件组成，它能同时分析来自主机系统的审计数据及来自网络的数据通信流量信息。 分布式的IDS将是今后人们研究的重点，它