入侵检测与安全审计系统.pptVIP

电子科技大学成都学院 6.1.7 入侵检测体系结构 集中式结构 IDS发展初期，大都采用单一的体系结构，即所有的工作包括数据的采集、分析都由单一主机上的单一程序来完成。 注意：一些所谓的分布式IDS只是在数据采集上实现了分布式，数据的分析、入侵的发现和识别还是由单一程序来完成。 优点：数据的集中处理可以更加准确地分析可能的入侵行为 第三十一页，共四十六页。 电子科技大学成都学院 缺点： 可扩展性差。在单一主机上处理所有的信息限制了受监视网络的规模；分布式的数据收集常会引起网络数据过载问题。 难于重新配置和添加新功能。要使新的设置和功能生效，IDS通常要重新启动。 中央分析器是个单一失效点。数据的集中处理使检测主机成了网络安全的瓶颈，若它出现故障或受到攻击，则整个网络的安全将无从保障。 第三十二页，共四十六页。 电子科技大学成都学院 分布式结构 采用多个代理在网络各部分分别进行入侵检测，并且协同处理可能的入侵行为。 优点:能够较好地实现数据的监听，可以检测内部和外部的入侵行为。 缺点：不能完全解决集中式结构的缺点。 因为当前的网络普遍是分层的结构，而纯分布式的入侵检测要求代理分布在同一个层次，若代理所处的层次太低，则无法检测针对网络上层的入侵；反之，则无法检测针对网络下层的入侵。 同时，由于每个代理都没有针对网络数据的整体认识，所以无法准确地判断跨一定时间和空间的攻击，容易受到IP分段等针对IDS的攻击。 第三十三页，共四十六页。 * 电子科技大学成都学院 第六章 入侵检测与安全审计系统 第一页，共四十六页。 电子科技大学成都学院 6.1 入侵检测系统 6.2 安全审计系统 第二页，共四十六页。 电子科技大学成都学院 6.1 入侵检测系统 6.1.1 入侵检测系统的概念 入侵(Intrusion)是指任何企图危及资源的完整性、机密性和可用性的活动。 入侵检测顾名思义，是指通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测系统——Intrusion Detection System，简称IDS，入侵检测的软件与硬件的组合。 第三页，共四十六页。 电子科技大学成都学院 模型 最早的入侵检测模型是由Denning给出的，该模型主要根据主机系统审计记录数据，生成有关系统的若干轮廓，并监测轮廓的变化差异发现系统的入侵行为，如下图： 第四页，共四十六页。 电子科技大学成都学院 CIDF(通用入侵检测框架)标准——入侵检测系统的通用模型，解决不同IDS之间的互操作和共存问题。 事件——IDS需要分析的数据，可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。 事件产生器：从整个计算环境中获得事件，并向系统的其他部分提供此事件。 事件分析器：分析得到的数据，并产生分析结果。 响应单元：对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性 等强烈反应，或是简单的报警。 事件数据库：存放各种中间和最终数据的地方的统称，既可以是复杂的数据库，也可以是简单的文本文件。 第五页，共四十六页。 电子科技大学成都学院 作用 是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。 是安防系统的重要组成部分。 以后台进程的形式运行，发现可疑情况，立即通知有关人员。 被认为是防火墙之后的第二道安全闸门。 如同大楼的监视系统。 第六页，共四十六页。 电子科技大学成都学院 6.1.2 入侵检测系统的特点 不需要人工干预即可不间断的运行 有容错能力 不需要占用大量的系统资源 能够发现异常的操作 能够适应系统行为的长期变化 判断正确 灵活定制 保持领先 第七页，共四十六页。 电子科技大学成都学院 6.1.3 入侵行为的误判 正误判——将一个合法操作判断为异常行为。 后果：导致用户不理会IDS的报警，使IDS形同虚设。 负误判——将一个攻击动作判断为非攻击行为，并允许其通过检测。 后果：背离了安全防护的宗旨，IDS系统成为例行公事。 失控误判——攻击者修改了IDS系统的操作，使它总出现负误判的情况。 后果：不易察觉，长此以往，IDS将不会报警。 第八页，共四十六页。 电子科技大学成都学院 6.1.4 入侵分析方法 签名分析法 统计分析法 数据完整性分析法 第九页，共四十六页。 电子科技大学成都学院 签名分析法 主要用来监测对系统的已知弱点进行攻击的行为。 方法：从攻击模式中归纳出它的签名，编写到IDS系统的代码里。 签名分析实际上是一种模板匹配操作： 一方是系统设置情况和用户操作动作 一方是已知攻击模式的签名数据库 第十页，共四十六页。 电子科技大学成都学院 统计分析法 以统计学为理论基础，以