《IDS入侵检测技术》PPT课件.ppt

《《IDS入侵检测技术》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《IDS入侵检测技术》PPT课件.ppt（29页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、网络信息安全网络信息安全（2011版）版）讲讲 授：授：刘延华刘延华 Email: MyTel:13600811020 福州大学数学与计算机科学学院福州大学数学与计算机科学学院IDS存在与发展的必然性存在与发展的必然性一、网络攻击的破坏性、损失的严重性一、网络攻击的破坏性、损失的严重性二、日益增长的网络安全威胁二、日益增长的网络安全威胁三、防火墙无法防范网络内部攻击三、防火墙无法防范网络内部攻击第第6章章 入侵检测技术入侵检测技术为什么需要为什么需要IDSw关于防火墙关于防火墙n位于网络边界的安全设施位于网络边界的安全设施n自身可能被攻破自身可能被攻破n保护不够全面保护不够全面n不是所有威胁都

2、来自防火墙外部不是所有威胁都来自防火墙外部w入侵很容易入侵很容易n入侵教程随处可见入侵教程随处可见n各种工具唾手可得各种工具唾手可得网络安全工具的特点网络安全工具的特点优点优点局限性局限性防火墙防火墙可简化网络管理，产品成熟可简化网络管理，产品成熟无法处理网络内部的无法处理网络内部的攻击攻击IDS实时监控网络安全状态实时监控网络安全状态误报警，缓慢攻击，误报警，缓慢攻击，新的攻击模式新的攻击模式VPN保护公网上的内部通信保护公网上的内部通信可视为防火墙上的一可视为防火墙上的一个漏洞个漏洞防病毒防病毒针对文件与邮件，产品成熟针对文件与邮件，产品成熟功能单一功能单一n入侵检测（入侵检测（Intru

3、sion Detection）是对是对入侵行为的发觉。入侵行为的发觉。n它通过从计算机网络或计算机系统的关键它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻系统中是否有违反安全策略的行为和被攻击的迹象。击的迹象。入侵检测的定义入侵检测的定义入侵检测的定义入侵检测的定义w对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。w进行入侵检测的软件与硬件的组合便是入侵检测系统。wIDS:Intrusion Detection System IDS基本结构

4、基本结构入侵检测系统包括三个部分：（1）信息收集（2）信息分析（3）结果处理信息收集信息收集w入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为w需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息n尽可能扩大检测范围n从一个源来的信息有可能看不出疑点信息收集信息收集w入侵检测很大程度上依赖于收集信息的可靠性和正确性；w要保证用来检测网络系统的完整性w特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息；信息收集的来源信息收集的来源w系统或网络的日志文件w网络流量w系统目录和文件的异常变化w程序执行中的异常行为系统或网络的日志

5、文件系统或网络的日志文件w攻击者常在系统日志文件中留下他们的踪迹。w日志文件中记录了各种行为类型，每种类型又包含不同的信息，如“用户活动”类型日志包含登录、用户ID改变等内容。w不期望的行为如重复登录失败、登录到不期望的位置等。系统目录和文件的异常变化系统目录和文件的异常变化w网络环境中的包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标；w目录和文件中的不期望的改变，很可能就是一种入侵产生的指示和信号；w入侵者替换、修改和破坏系统上的文件，同时为了隐藏其活动痕迹，会尽力去替换系统程序或修改系统日志文件。信息分析信息分析 模式匹配 统计分析 完整性分析，往往用于事后分析入侵检测性能关键

6、参数入侵检测性能关键参数w误报误报(false positive)：如系统错误地如系统错误地将异常活动定义为入侵；将异常活动定义为入侵；w漏报漏报(false negative)：如系统未能检如系统未能检测出真正的入侵行为；测出真正的入侵行为；入侵检测的分类（1）w按照分析方法（检测方法）n异常检测模型（Anomaly Detection):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。入侵检测的分类（1）w按照分析方法（检测方法）n误用检测模型（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为

7、与库中的记录相匹配时，系统就认为这种行为是入侵。1.1.前提：入侵是异常活动的子集前提：入侵是异常活动的子集 2.2.用户轮廓用户轮廓(Profile):(Profile):通常定义为各种行为参通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围数及其阀值的集合，用于描述正常行为范围3.3.过程过程4.4.监控监控 量化量化 比较比较 判定判定 5.5.6.6.修正修正4.4.指标指标:漏报率低漏报率低,误报率高误报率高异常检测异常检测异常检测特点异常检测特点w异常检测系统的效率取决于用户轮廓的完备性和监控的频率；w因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵；w系统能针对

8、用户行为的改变进行自我调整和优化；1.1.前提：所有的入侵行为都有可被检测到前提：所有的入侵行为都有可被检测到的特征。的特征。2.2.攻击特征库攻击特征库:当监测的用户或系统行为当监测的用户或系统行为与库中的记录相匹配时，系统就认为这与库中的记录相匹配时，系统就认为这种行为是入侵。种行为是入侵。3.3.过程过程4.4.监控监控 特征提取特征提取匹配匹配判定判定 4.4.指标指标:误报低，漏报高。误报低，漏报高。误用检测误用检测入侵检测的分类入侵检测的分类（2）w按照数据来源：n基于主机HIDS：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机。n基于网络NIDS：系统获

9、取的数据是网络传输的数据包，保护的是网络的运行。n混合型InternetInternet基于主机的IDS网络服务器网络服务器1客户端客户端网络服务器网络服务器2X检测内容：系统调用、端口调用、系统日志、安全审记、应用日志HIDSHIDSXHIDSHIDSn监视与分析主机的审计记录监视与分析主机的审计记录n可以不运行在监控主机上可以不运行在监控主机上n能否及时采集到审计记录能否及时采集到审计记录n如何保护作为攻击目标主机审计子系统如何保护作为攻击目标主机审计子系统基于主机的基于主机的IDSInternetInternetNIDSNIDS基于网络入侵检测系统工作原理网络服务器网络服务器1数据包数据

10、包=包头信息包头信息+有效数据部分有效数据部分客户端网络服务器网络服务器2X检测内容：包头信息+有效数据部分两类两类IDS监测软件监测软件w网络IDSn侦测速度快 n隐蔽性好 n视野更宽 n较少的监测器 n占资源少 w主机IDSn视野集中 n易于用户自定义n保护更加周密n对网络流量不敏感 响应策略响应策略w弹出窗口报警wE-mail通知w切断TCP连接w执行自定义程序w与其他安全产品交互nFirewallnSNMP TrapIDS与与Firewall联动联动产品产品w免费nSnort lhttp:/www.snort.orgw商业有ISS，NAI等。产品产品w个人IDS：HIDSnZoneAlarm nLIDS 练习题练习题1.IDS的基本组成。2.IDS的分类及其特点。3.常见的IDS系统名称。