《通信网络安全与防护》 课件 5.2 入侵检测系统.pptx

通信网络安全与防护

;第五章网络防护技术;防火墙：

定义、功能与不足；

主要技术；

功能与性能。;知识回顾;5.4蜜罐与蜜网

蜜罐定义

蜜罐分类

蜜网的概念;为什么需要入侵检测？;入侵（Intrusion）：是指对任何企图危及系统及资源的完整性、机密性和可用性的活动。

入侵检测（IntrusionDetection）：即对入侵行为的发觉。是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”(GB/T18336）。;5.2.1入侵检测概述;一个安全的入侵检测系统必须具备以下特点：

（1）可行性：入侵检测系统不能影响到系统的正常运行。

（2）安全性：引入的入侵检测系统本身需要是安全的、可用的。

（3）实时性：入侵检测系统是检测系统所受到的攻击行为的，必须及时地检测到这种威胁。

（4）扩展性：入侵检测系统必须是可扩展的，入侵检测系统在不改变机制的前提下能够检测到新的攻击，;;第一代IDS（1994~1997）

IDS雏形，技术探讨阶段

Snort－公开源代码

第二代IDS（1997~2000）

商品化IDS

百兆环境下的成熟应用

第三代IDS（2000~2002）

千兆网络环境的成功应用

第四代IDS（2003开始）

入侵管理型的IDS;入侵检测系统存在的问题：;1）体系结构的发展

2）分析技术的智能化：如神经网络技术、数据挖掘等；

3）响应策略的研究：如联动和报复等；

4）与其它安全技术相结合：如IPS即将IDS与Firewall功能合二为一；长远看，IDS作为独立的产品形态可能会消失，其功能会融合到其它设备之中（如防火墙、路由器和交换机等）。;从数据来源和系统结构分类，入侵检测系统分为三类：

基于主机的入侵检测系统-HIDS

基于网络的入侵检测系统-NIDS

分布式入侵检测系统（混合型）-DIDS;HIDS的输入数据来源于系统的审计日志，它只能检测发生在这个主机上的入侵行为。所以，这种检测系统一般应用在系统服务器、用户机器和工作站上。其缺点是对整个网络的保护有限。;能够更加准确地判断攻击是否成功：使用含有已发生事件信息的HIDS，它们可以比NIDS（基于网络的入侵检测系统）做出更加准确地判断；

可监视特定的系统活动：如用户访问文件的活动、非正常行为、用户账号的变化等；

HIDS可以检测到那些基于网络的系统察觉不到的攻击：例如，来自网络内部的攻击；

由于基于主机的系统安装在企业的各种主机上，它们更适用于交换和加密的环境;

检测和响应及时，价格更低。;;分布式入侵检测系统（DistributedIDS，DIDS）综合了基于主机和基于网络的IDS的功能。它通过收集、合并来自多个主机的审计数据和检查网络通信，能够检测出多个主机发起的协同攻击。;单主机

二组件：收集组件和分析组件

分布式结构：

分级组织模型

网络组织模型

混合组织模型;命令和控制节点

;网状体系结构;命令和控制节点

;5.2.2IDS的体系结构;输出：高级中断事件

;(1)缺乏有效性

(2)有限的灵活性

(3)单点失效

(4)有限的响应能力

(5)缺乏对入侵检测关键组件的保护

(6)缺乏有效的协同;基于异常的入侵检测（AnomalyDetection）首先给系统对象(单个用户、一组用户、主机或系统中某个关键程序或文件等)创建一个统计描述，统计正常使用时的一些测量属性。测量属性的平均值将用来与网络、系统的行为进行比较，任何观察值在正常值范围之外，就认为有入侵发生。;5.2.3IDS的检测分析方法;5.2.3IDS的检测分析方法;误用（Misuse）：指“可以用某种规则、方式、模型表示的入侵攻击或其他安全相关行为”。

基于误用的入侵检测（MisuseDetection）技术：通过某种方式预先定义入侵行为，然后监视系统的运行，井根据所建立的这种入侵模式来检测入侵，并从中找出符合预先定义规则的入侵行为。;该模型通过使用某种模式或信号标识来表示攻击，进而发现相同的攻击。这种检测技术可以检测已知的许多甚至全部攻击行为，但是对于未知的攻击手段却无能为力。;2.基于误用的入侵检测;1）模式匹配;;协议匹配;字符串匹配;长度匹配;累积匹配或增量匹配：通过对某些事件出现的量（次数或单位时间次数）来产生新的事件。;单纯模式匹配方法的根本问题是把网络数据包看作无序随意的字节流，造成检测效率低下。

协议分析在攻击检测中充分利用网络通信中标准的、层次化的、格式化的网络数据包结构，进行逐层分析，然后再使用模式匹配方法，提高检测效率。

;0020DAD3C5805254AB27