《chap4-02-入侵检测技术》.ppt

chap4-02-入侵检测技术 基本概念 ? ? ? ? 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能 够及时发现并报告系统中未授权或异常现象的技术 ，是一种用于 检测计算机网络中违反安全策略行为的技术。 违反安全策略的行为有：入侵 ——非法用户的违规行为； 滥用— —用户的违规行为。 入侵检测 (Intrusion Detection)就是对计算机网络和计算机系统的 关键结点的信息进行收集分析，检测其中是否有违反安全策略的 事件发生或攻击迹象 ，并通知系统安全管理员。 一般把用于入侵检测的软件，硬件合称为入侵检测系统。 为什么会出现 IDS ? 客观因素： – – – – – 入侵者总可以找到防火墙的弱点和漏洞 防火墙一般不能阻止来自内部的袭击 由于性能的限制，防火墙通常不能提供实时的监控 防火墙对于病毒的网络内部传播也是无能为力的 漏洞是普遍存在的 ? 主观因素—入侵和攻击不断增多 – 网络规模不断扩大 – 网络用户不断增加 – 黑客水平不断提高 IDS的发展史 ? 1980年 4月， James Anderson为美国空军做了一份题为 《 Computer Security Threat Monitoring and Surveillance》（计算机安全威胁监控与监视）的技术 报告， 第一次提出了入侵检测。 ? 1986年，为检测用户对数据库异常访问，在 IBM主机 上用Cobol开发的 Discovery系统成为最早的基于主机 的 IDS雏形之一 。 IDS的发展史 ? 1987年，Dorothy E.Dennying 提出了异常入侵检测系 统的抽象模型，首次将入侵检测的概念作为一种计算 机系统安全防御问题的措施提出。 ? 1988年， Morris Internet蠕虫事件使得 Internet约 5天 无法正常使用，该事件导致了许多 IDS系统的开发研制。 Teresa Lunt等人进一步改进了Dennying提出的入侵检 测模型，并创建了 IDES(Intrusion Detection Expert System)，它提出了与系统平台无关的实时检测思想。 IDS的发展史 ? 1990年， Heberlein等人提出基于网络的入侵检测 —— NSM(Network Security Monitor)， NSM可以通过在局 域网上主动地监视网络信息流量来追踪可疑的行为。 ? 1991年，分布式入侵检测系统（DIDS）的研究，将基 于主机和基于网络的检测方法集成到一起。 DIDS是分 布式入侵检测系统历史上的一个里程碑式的产品，它 的检测模型采用了分层结构，包括数据、事件、主体、 上下文、威胁、安全状态等 6层。 IDS的发展史 ? 1994年，Mark Crosbie 和Gene Spafford建议 使用自治 代理 (Autonomous Agents)以便提高 IDS的可伸缩性、 可维护性、效率和容错性。 ? 1995年， IDES后续版本──NIDES(Next-Generation Intrusion Detection System)实现了可以检测多个主机 上的入侵。 ? 1996年， GRIDS(Graph-based Intrusion Detection System)设计和实现 解决了入侵检测系统伸缩性不足的 问题，使得对大规模自动或协同攻击的检测更为便利。 Forrest 等人将免疫原理用到分布式入侵检测领域 IDS的发展史 ? ? ? 1997年， Mark crosbie 和 Gene Spafford将 遗传算法运用到入侵检 测中。 1998年， Ross Anderson和 Abida Khattak将 信息检索技术引进到 了入侵检测系统。 中国的IDS也得到了长足的发展。据 IDC的报告， 2000年中国安全 市场中， IDS与评估软件占了 19%的份额。 IDC在 2001年 4月的调 查显示，用户接下来对网络安全产品的需求中，对 IDS的需求占 到了 18.5%。从厂商方面来说，从 1999年前后，国外一些软件商 开始将其 IDS引入到国内，如安氏、 CA、 NAI、赛门铁克等。国 内如冠群金辰、金诺网安 等也占据着该市场的较大份额。 IDS的功能与作用 ? 防火墙明显的不足和弱点 – 防火墙不能防范如TCP、 IP等本身存在的协议漏洞 – 无法解决安全后门问题； – 不能阻止网络内部攻击，而调查发现， 80％以上的 攻击都来自内部，对于企业内部心怀不满的员工来 说，防火墙形同虚设； –