《入侵检测系统(IDS)教学内容.ppt》由会员分享,可在线阅读,更多相关《入侵检测系统(IDS)教学内容.ppt(43页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、入侵(rqn)检测系统IDS第一页,共43页。黑客攻击日益猖獗,防范问题日趋(rq)严峻v政府、军事、邮电和金融网络是黑客攻击的主要目标。即便已经拥有高性能防火墙等安全产品,依然抵挡不住这些黑客对网络和系统(xtng)的破坏。据统计,几乎每20秒全球就有一起黑客事件发生,仅美国每年所造成的经济损失就超过100亿美元。第二页,共43页。网络(wnglu)入侵的特点v网络入侵的特点v没有地域和时间的限制;v通过(tnggu)网络的攻击往往混杂在大量正常的网络活动之间,隐蔽性强;v入侵手段更加隐蔽和复杂。第三页,共43页。为什么需要(xyo)IDS?v单一防护产品的弱点v防御方法和防御策略的有限性v
2、动态(dngti)多变的网络环境v来自外部和内部的威胁第四页,共43页。为什么需要(xyo)IDS?v关于防火墙v网络边界的设备,只能抵挡外部來的入侵行为v自身存在弱点,也可能被攻破v对某些攻击保护很弱v即使透过防火墙的保护,合法的使用者仍会非法地使用系统,甚至提升自己的权限v仅能拒绝非法的连接請求,但是(dnsh)对于入侵者的攻击行为仍一无所知第五页,共43页。为什么需要(xyo)IDS?v入侵很容易v入侵教程随处可见v各种(zhn)工具唾手可得第六页,共43页。入侵(rqn)检测的概念v入侵检测(Intrusion Detection):通过从计算机网络或计算机系统的关键点收集信息并进行分
3、析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。v入侵检测系统(IDS):入侵检测系统是软件与硬件的组合,是防火墙的合理补充,是防火墙之后的第二道安全闸门。v入侵检测的内容:试图闯入、成功(chnggng)闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。第七页,共43页。入侵检测(jin c)的职责vIDS系统(xtng)主要有两大职责:实时检测和安全审计,具体包含4个方面的内容v 识别黑客常用入侵与攻击v 监控网络异常通信v 鉴别对系统(xtng)漏洞和后门的利用v 完善网络安全管理 第八页,共43页。入侵检测(jin c)系统的功能v监控用户和系统的
4、活动v查找非法用户和合法用户的越权操作v检测系统配置的正确性和安全漏洞v评估关键系统和数据的完整性v识别攻击的活动模式并向网管人员报警v对用户的非正常活动进行统计分析,发现入侵行为的规律 v操作系统审计跟踪管理,识别违反政策的用户活动v检查(jinch)系统程序和数据的一致性与正确性第九页,共43页。入侵检测系统(xtng)模型(Denning)第十页,共43页。入侵检测(jin c)系统模型(CIDF)第十一页,共43页。入侵检测系统的组成(z chn)特点v入侵检测系统一般是由两部分组成:控制中心和探测引擎。控制中心为一台装有控制软件的主机,负责制定入侵监测的策略,收集来自多个探测引擎的上
5、报(shng bo)事件,综合进行事件分析,以多种方式对入侵事件作出快速响应。探测引擎负责收集数据,作处理后,上报(shng bo)控制中心。控制中心和探测引擎是通过网络进行通讯的,这些通讯的数据一般经过数据加密。第十二页,共43页。入侵(rqn)检测的工作过程v信息收集v检测引擎从信息源收集系统、网络、状态和行为信息。v信息分析v从信息中查找和分析表征入侵的异常和可疑信息。v告警与响应(xingyng)v根据入侵性质和类型,做出相应的告警和响应(xingyng)。第十三页,共43页。信息(xnx)收集v入侵检测的第一步是信息收集,收集内容包括系统、网络(wnglu)、数据及用户活动的状态和行
6、为v需要在计算机网络(wnglu)系统中的若干不同关键点(不同网段和不同主机)收集信息,这样做的理由就是从一个来源的信息有可能看不出疑点,但从几个来源的信息的不一致性却是可疑行为或入侵的最好标识。第十四页,共43页。信息(xnx)收集v入侵检测的效果很大程度上依赖于收集信息的可靠性和正确性v要保证用来(yn li)检测网络系统的软件的完整性v特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息 第十五页,共43页。信息(xnx)收集v系统和网络日志文件v目录和文件中的不期望的改变(gibin)v程序执行中的不期望行为v物理形式的入侵信息第十六页,共43页。信息(xnx)
7、分析v模式匹配-误用检测(jin c)(Misuse Detection)v维护一个入侵特征知识库v准确性高v统计分析-异常检测(jin c)(Anomaly Detection)v统计模型v误报、漏报较多v完整性分析 v关注某个文件或对象是否被更改v事后分析17第十七页,共43页。模式匹配v模式匹配就是(jish)将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为v一般来讲,一种攻击模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安
8、全状态的变化)第十八页,共43页。统计分析v统计分析方法首先给系统对象(如用户、文件(wnjin)、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)v测量属性的平均值和偏差被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生第十九页,共43页。完整性分析(fnx)v完整性分析主要关注某个文件或对象是否被更改v包括(boku)文件和目录的内容及属性v在发现被更改的、被安装木马的应用程序方面特别有效第二十页,共43页。响应(xingyng)动作v主动(zhdng)响应v被动响应第二十一页,共43页。入侵检测性能(xngnn
9、g)关键参数v误报(false positive):如果系统错误地将异常活动(hu dng)定义为入侵v漏报(false negative):如果系统未能检测出真正的入侵行为第二十二页,共43页。入侵(rqn)检测系统分类(一)v按照分析方法(检测方法)v异常检测模型(Anomaly Detection):首先总结正常操作应该具有的特征(用户轮廓(lnku)),当用户活动与正常行为有重大偏离时即被认为是入侵 v误用检测模型(Misuse Detection):收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵 23第二十三页,共43
10、页。异常检测(jin c)模型v如果系统错误地将异常活动定义为入侵,称为误报(false positive);如果系统未能检测出真正的入侵行为则称为漏报(false negative)。v特点:异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵行为进行定义,因此能有效(yuxio)检测未知的入侵。同时系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源。第二十四页,共43页。误用检测(jin c)模型v如果入侵特征与正常的用户行为(xngwi)能匹配,则系统会发生误报;如果没有特征能与某种新的攻击行为(xngwi)匹配,则系
11、统会发生漏报。v特点:采用特征匹配,误用检测能明显降低错报率,但漏报率随之增加。攻击特征的细微变化,会使得误用检测无能为力。第二十五页,共43页。入侵(rqn)检测系统分类(二)v根据检测对象分类v基于主机的IDS(Host-Based IDS)vHIDS一般主要使用操作系统的审计日志作为主要数据源输入,试图从日志判断滥用和入侵事件的线索。v基于网络的IDS(Network-Based IDS)vNIDS在计算机网络中的关键点被动地监听网络上传输的原始流量,对获取的网络数据进行分析处理,从中获取有用的信息,以识别(shbi)、判定攻击事件。v混合型IDS第二十六页,共43页。基于(jy)网络的
12、IDS(NIDS)v是网络上的一个监听设备v通过网络适配器捕获数据包并分析数据包v根据判断方法(fngf)分为基于知识的数据模式判断和基于行为的行为判断方法(fngf)v能够检测超过授权的非法访问vIDS发生故障不会影响正常业务的运行 v配置简单第二十七页,共43页。基于(jy)主机的IDS(HIDS)vHIDS是配置在被保护的主机上的,用来检测针对(zhndu)主机的入侵和攻击v主要分析的数据包括主机的网络连接状态、审计日志、系统日志。v实现原理v配置审计信息v系统对审计数据进行分析(日志文件)第二十八页,共43页。NIDS和HIDS比较(bjio)第二十九页,共43页。入侵检测的分类(fn
13、 li)(混合IDS)v基于(jy)网络的入侵检测产品和基于(jy)主机的入侵检测产品都有不足之处,单纯使用一类产品会造成主动防御体系不全面。但是,它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内,则会构架成一套完整立体的主动防御体系,综合了基于(jy)网络和基于(jy)主机两种结构特点的入侵检测系统,既可发现网络中的攻击信息,也可从系统日志中发现异常情况。第三十页,共43页。入侵(rqn)检测系统分类(三)v根据系统工作方式来分:v在线入侵检测(IPS),一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。v离线入侵检测,根据计算
14、机系统对用户操作所做的历史(lsh)审计记录判断用户是否具有入侵行为,如果有就断开连接,并记录入侵证据和进行数据恢复。第三十一页,共43页。入侵(rqn)检测的部署vIDS的部署模式(msh):v共享媒介HUBv交换环境v隐蔽模式(msh)vTap模式(msh)vIn-line模式(msh)第三十二页,共43页。入侵检测(jin c)的部署v检测器部署位置v放在边界防火墙之内v放在边界防火墙之外v放在主要(zhyo)的网络中枢v放在一些安全级别需求高的子网第三十三页,共43页。入侵检测(jin c)的部署部署一Internet部署二部署三部署三部署四部署四第三十四页,共43页。入侵(rqn)检
15、测的部署v检测器放置于防火墙的DMZ区域v可以查看受保护区域主机被攻击状态v可以看出(kn ch)防火墙系统的策略是否合理v可以看出(kn ch)DMZ区域被黑客攻击的重点第三十五页,共43页。入侵检测(jin c)的部署v检测器放置于路由器和边界防火墙之间v可以审计所有来自Internet上面对保护(boh)网络的攻击数目v可以审计所有来自Internet上面对保护(boh)网络的攻击类型第三十六页,共43页。入侵检测(jin c)的部署v检测器放在主要(zhyo)的网络中枢v监控大量的网络数据,可提高检测黑客攻击的可能性v可通过授权用户的权利周界来发现未授权用户的行为第三十七页,共43页。
16、当前(dngqin)主流产品介绍vComputer Associates公司(n s)vSessionWall-3/eTrust Intrusion DetectionvCisco公司(n s)vNetRangervIDSvIntrusion Detection公司(n s)vKane Security MonitorvAxent Technologies公司(n s)vOmniGuard/Intruder Alert第三十八页,共43页。当前(dngqin)主流产品介绍vInternet Security System公司(n s)vRealSecurevNFR公司(n s)vIntrusi
17、on Detection Applicance 4.0v中科网威v“天眼”入侵检测系统v启明星辰vSkyBell(天阗)v免费开源软件vsnort第三十九页,共43页。入侵(rqn)测系统的优点v入侵检测系统能够增强网络的安全性,它的优点:v能够使现有的安防体系(tx)更完善;v能够更好地掌握系统的情况;v能够追踪攻击者的攻击线路;v界面友好,便于建立安防体系(tx);v能够抓住肇事者。第四十页,共43页。入侵检测(jin c)系统的不足v入侵检测系统不是万能的,它同样存在许多不足之处:v不能够在没有(mi yu)用户参与的情况下对攻击行为展开调查;v不能够在没有(mi yu)用户参与的情况下
18、阻止攻击行为的发生;v不能克服网络协议方面的缺陷;v不能克服设计原理方面的缺陷;v响应不够及时,签名数据库更新得不够快。经常是事后才检测到,适时性不好。第四十一页,共43页。入侵检测(jin c)技术的发展趋势 v大规模分布式入侵检测,传统的入侵检测技术一般只局限于单一的主机或网络框架,显然不能适应大规模网络的监测,不同的入侵检测系统之间也不能协同工作。因此,必须发展大规模的分布式入侵检测技术。v宽带(kun di)高速网络的实时入侵检测技术,大量高速网络的不断涌现,各种宽带(kun di)接入手段层出不穷,如何实现高速网络下的实时入侵检测成为一个现实的问题。第四十二页,共43页。入侵(rqn)检测技术的发展趋势 v入侵检测的数据融合技术,目前的IDS还存在着很多缺陷。首先,目前的技术还不能对付训练有素的黑客的复杂的攻击。其次,系统的虚警率太高。最后,系统对大量的数据处理,非但无助于解决问题,还降低了处理能力。数据融合技术是解决这一系列问题的好方法。v与网络安全技术相结合,结合防火墙,病毒防护以及电子商务技术,提供完整(wnzhng)的网络安全保障。第四十三页,共43页。