第二节 入侵检测系统.pptVIP

信息分析技术 信息分析技术的技术指标 误报率 漏报率 常用的信息分析技术包括 模式匹配 统计分析 完整性分析 模式匹配 过程：监控 ? 特征提取 ? 匹配 ? 判定 模式匹配的特点 前提： 所有的入侵行为都有可被检测到的特征 特点： 系统负担小 准确度高 不能检测未知的入侵 统计分析 过程：监控 ? 量化 ? 比较 ? 判定 ? 修正 统计分析的特点 前提 入侵是异常活动的子集 特点： 测系统能针对用户行为的改变进行自我调整和优化 能检测到未知的入侵和更为复杂的入侵 对系统资源消耗大 系统误报相对比较高，且不能适应用户正常行为的突然改变。 完整性分析 完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特洛伊化的应用程序方面特别有效。 入侵检测部署 目标：检测整个网络信息 共享网络的入侵检测部署 IDS Sensor Console HUB Monitored Servers 交换网络的入侵检测部署 IDS Sensor Console 通过端口镜像实现 （SPAN / Port Monitor） Switch Monitored Servers 分段网络的部署 在一个分段的网络中，应保证IDS的探测器可以监听到所有网络数据 IDS Sensor Console IDS Sensor Switch Monitored Servers Monitored Servers Router 本节主要内容 入侵检测系统概述 入侵检测系统原理 入侵检测系统实例－SNORT 入侵检测系统的困难与发展趋势 SNORT简介 Snort是开放源码的网络入侵检测系统。 基本功能 对网络流量进行实时分析 对数据包进行审计 进行协议分析，内容检索/匹配 检测出多种类型的入侵和探测行为：缓冲区溢出，隐秘扫描，CGI攻击，SMB扫描，操作系统指纹探测 SNORT安装 从Snort的官方网站上免费下载到各个操作系统平台下Snort版本。 源程序 安装程序 Snort的运行需要libpcap库（Windows操作系统下为WinPcap）的支持。 SNORT工作模式 嗅探器模式 snort -v [-d][-X] 日志模式 snort -l dir [-h hn][-b] 入侵检测模式 snort -c snort.conf [-l dir] SNORT工作原理 预处理插件：探测小的IP碎片，重组 IP分组，重组TCP报文 规则库：探测某个类型的入侵，以*-lib命名，在snort.conf中使用include语句指定 输出插件：负责信息输出，如转储到MySQL数据库 Libpcap捕获分组 协议分析 规则探测 日志和报警 预处理插件 规则库 输出插件 本节主要内容 入侵检测系统概述 入侵检测系统原理 入侵检测系统实例－SNORT 入侵检测系统的困难与发展趋势 入侵检测系统的困难 误报和漏报； 海量信息与分析代价的矛盾 ； 功能性和可管理性的矛盾 ； 单一的产品与复杂的网络应用的矛盾 ； 可靠性； 发展趋势 分析技术的改进 内容恢复和网络审计功能的引入 集成网络分析和管理功能 安全性和易用性的提高 改进对大数据量网络的处理方法 防火墙联动功能 入侵防护系统（IPS） 小结 入侵检测技术收集主机日志及网络流量等信息，通过模式匹配、统计分析或完整性分析，能够有效地发现入侵行为。入侵检测形成了网络的纵深防御，成为防火墙技术的有益补充。网络技术的发展给入侵检测带来各种新的困难，同时也带来机遇。 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 计算机网络安全 何路 第十三章入侵检测 —纵深防御 何路 helu@ 本节主要内容 入侵检测系统概述 入侵检测系统原理 入侵检测系统实例－SNORT 入侵检测系统的困难与发展趋势 防火墙的不足 无法发现和阻止对合法服务的攻击； 无法发现和阻止源自其它入口的攻击； 无法发现和阻止来自内部网络的攻击； 无法发现和阻止来自特洛伊木马的威胁； 入侵检测技术 通过对计算机网络或计算机系统中若干关键点信息的收集和分析，从中发现网络或系统中是否有违反安全策略行为和被攻击迹象的一种安全技术。 入侵检测的作用 检测防护部分阻止不了的入侵 检测入侵的前兆 入侵事件