《网络入侵与入侵检测幻灯片.ppt》由会员分享,可在线阅读,更多相关《网络入侵与入侵检测幻灯片.ppt(108页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、网络入侵与入侵检测第1页,共108页,编辑于2022年,星期二第9章入侵检测系统本章要点基本的入侵检测知识入侵检测的基本原理和重要技术几种流行的入侵检测产品第2页,共108页,编辑于2022年,星期二2入侵检测系统是什么入侵检测系统(Intrusion-detectionsystem,下称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于,IDS是一种积极主动的安全防护技术。入侵检测作为动态安全技术的核心技术之一,是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进
2、攻识别和响应),提高了信息安全基础结构的完整性,是安全防御体系的一个重要组成部分。第3页,共108页,编辑于2022年,星期二3理解入侵检测系统理解入侵检测系统(IDS)(IDS)监控室监控室=控制中心控制中心后门后门保安保安=防火墙防火墙摄像机摄像机=探测引擎探测引擎Card KeyCard Key第4页,共108页,编辑于2022年,星期二49.1入侵检测概述首先,入侵者可以找到防火墙的漏洞,绕过防火墙进行攻击。其次,防火墙对来自内部的攻击无能为力。它所提供的服务方式是要么都拒绝,要么都通过,不能检查出经过它的合法流量中是否包含着恶意的入侵代码,这是远远不能满足用户复杂的应用要求的。入侵检
3、测技术正是根据网络攻击行为而进行设计的,它不仅能够发现已知入侵行为,而且有能力发现未知的入侵行为,并可以通过学习和分析入侵手段,及时地调整系统策略以加强系统的安全性。第5页,共108页,编辑于2022年,星期二59.1.1入侵检测概念1.入侵检测与P2DR模型P2DR是Policy(安全策略)、Protection(防护)、Detection(检测)、Response(响应)的缩写。其体系框架如图6-1所示。其中各部分的含义如下。1)安全策略(Policy)2)防护(Protection)3)检测(Detection)4)响应(Response)第6页,共108页,编辑于2022年,星期二69
4、.1.1入侵检测概念2.入侵检测的作用入侵检测技术是通过对计算机网络和主机系统中的关键信息进行实时采集和分析,从而判断出非法用户入侵和合法用户滥用资源的行为,并做出适当反应的网络安全技术。它在传统的网络安全技术的基础上,实现了检测与反应,起主动防御的作用。这使得对网络安全事故的处理,由原来的事后发现发展到了事前报警、自动响应,并可以为追究入侵者的法律责任提供有效证据。第7页,共108页,编辑于2022年,星期二79.1.1入侵检测概念3.入侵检测的概念入侵检测是指“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”(参见国标GB/T18336)。
5、入侵检测系统的作用如图6-2所示。第8页,共108页,编辑于2022年,星期二89.1.1入侵检测概念4.入侵检测系统的发展历史1980年4月,JamesAnderson为美国空军作了一份题为ComputerSecurityThreatMonitoringandSurveillance(计算机安全威胁监控与监视)的技术报告,这份报告被公认为入侵检测技术的开山鼻祖。1987年,乔治敦大学的DorothyDenning提出了第一个实时入侵检测系统模型,取名为IDES。1988年的Morris蠕虫事件发生之后,网络安全才真正引起了军方、学术界和企业的高度重视。1990年是入侵检测系统发展史上的一个分
6、水岭,在这之前,所有的入侵检测系统都是基于主机的,他们对于活动的检查局限于操作系统审计踪迹数据及其他以主机为中心的数据源。从20世纪90年代至今,对入侵检测系统的研发工作已呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。第9页,共108页,编辑于2022年,星期二99.1.2入侵检测功能入侵检测的主要功能包括以下几个方面。对网络流量的跟踪与分析功能。对已知攻击特征的识别功能。对异常行为的分析、统计与响应功能。特征库的在线和离线升级功能。数据文件的完整性检查功能。自定义的响应功能。系统漏洞的预报警功能。IDS探测器集中管理功能。第10页,共108页,编辑于2022年,星期二
7、109.1.2入侵检测功能其工作原理如下:(1)信息收集信息的来源一般来自以下四个方面。系统和网络日志文件。目录和文件中的不期望的改变。程序执行中的不期望行为。物理形式的入侵信息。(2)信息分析(3)响应第11页,共108页,编辑于2022年,星期二119.1.3入侵检测系统分类1.根据数据来源和系统结构分类1)基于主机的入侵检测系统HIDS2)基于网络的入侵检测系统NIDS3)分布式入侵检测系统DIDS第12页,共108页,编辑于2022年,星期二12基于主机的入侵检测系统(HIDS)主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来监测入侵。除了对审计记录和日志文
8、件的监测外,还有对特定端口、检验系统文件和数据文件的校验和。第13页,共108页,编辑于2022年,星期二13优点:能确定攻击是否成功。监控粒度更细。配置灵活。用于加密的以及交换的环境。对网络流量不敏感。不需要额外的硬件。缺点:它会占用主机的资源,在服务器上产生额外的负载。缺乏平台支持,可移植性差,因而应用范围受到严重限制。基于主机的入侵检测系统(HIDS)第14页,共108页,编辑于2022年,星期二14基于网络的入侵检测系统(NIDS)主要用于实时监控网络关键路径的信息,它侦听网络上的所有分组来采集数据,分析可疑现象。基于网络的入侵检测系统使用原始网络包作为数据源。基于网络的IDS通常利用
9、一个运行在混杂模式下的网卡来实时监控并分析通过网络的所有通信业务。第15页,共108页,编辑于2022年,星期二15基于网络的入侵检测系统(NIDS)优点:监测速度快。隐蔽性好。视野更宽。较少的监测器。攻击者不易转移证据。操作系统无关性。可以配置在专用的机器上,不会占用被保护的设备上的任何资源。缺点:只能监视本网段的活动,精确度不高。在交换环境下难以配置。防入侵欺骗的能力较差。难以定位入侵者。第16页,共108页,编辑于2022年,星期二16分布式表现在两个方面:首先数据包过滤的工作由分布在各网络设备(包括联网主机)上的探测代理完成;其次探测代理认为可疑的数据包将根据其类型交给专用的分析层设备
10、处理,这样对网络信息进行分流,既提高了检测速度,解决了检测效率问题,又增加了DIDS本身抗击拒绝服务攻击的能力。分布式入侵检测系统(DIDS)第17页,共108页,编辑于2022年,星期二179.1.3入侵检测系统分类2.根据检测方法分类 1)误用检测模型(MisuseDetection)2)异常检测模型(AnomalyDetection)3.根据系统各个模块运行的分布方式分类1)集中式入侵检测系统2)分布式入侵检测系统第18页,共108页,编辑于2022年,星期二189.2入侵检测技术本节介绍误用检测、异常检测和高级检测技术。在介绍入侵检测技术的同时,也将对入侵响应技术进行介绍。第19页,共
11、108页,编辑于2022年,星期二199.2.1误用检测技术误用检测对于系统事件提出的问题是:这个活动是恶意的吗?误用检测涉及对入侵指示器已知的具体行为的描述信息,然后为这些指示器过滤事件数据。其模型如图所示。第20页,共108页,编辑于2022年,星期二209.2.1误用检测技术1.基于规则的专家系统专家系统是误用检测技术中运用最多的一种方法.用专家系统对入侵进行检测,经常是针对有特征的入侵行为.所谓的规则,即是知识,不同的系统与设置具有不同的规则,将有关入侵的知识转化为if-then结构,if部分为入侵特征,then部分是系统防范措施.当其中某个或某部分条件满足时,系统就会判断为入侵行为发
12、生.运用专家系统防范入侵行为的有效性完全取决于专家系统知识库的完备性,而建立一个完备性的知识库对于一个大型网络系统往往是很难的.第21页,共108页,编辑于2022年,星期二219.2.1误用检测技术2.模式匹配系统模式匹配首先根据已知的入侵定义由独立的事件、事件的序列、事件临界值等通用规则组成入侵模式,然后观察能与入侵模式相匹配的事件数据,达到发现入侵的目的。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。该技术的缺点是需要不断升级以对付不断出现的黑客攻击手法,且不能监测到从未出现过的黑客攻击手段.著名的开源的sno
13、rt就是采用了这种检测手段.第22页,共108页,编辑于2022年,星期二229.2.1误用检测技术3.状态转换分析系统状态转换图是贯穿模型的图形化表示。如图所示第23页,共108页,编辑于2022年,星期二239.2.2异常检测技术基于异常的入侵检测方法主要来源于这样的思想:任何人的正常行为都有一定的规律,并且可以通过分析这些行为产生的日志信息总结出这些规律,而入侵行为通常和正常的行为存在严重的差异,通过检查出这些差异就可以检测出这些入侵。异常检测模型如图6-8所示。第24页,共108页,编辑于2022年,星期二249.2.2异常检测技术1.基于统计的异常入侵检测1)操作模型2)方差模型3)
14、多元模型4)马尔柯夫过程模型2.基于神经网络的入侵检测第25页,共108页,编辑于2022年,星期二259.2.3高级检测技术它们不一定是检测入侵的方法,有的是为解决入侵检测其他方面的问题提出的。1.免疫系统方法2.遗传算法3.数据挖掘方法4.数据融合第26页,共108页,编辑于2022年,星期二269.2.4入侵诱骗技术1.概念2.蜜罐技术及其基本原理1)单机蜜罐系统2)蜜网系统3.分布式入侵诱骗4.虚拟入侵诱骗第27页,共108页,编辑于2022年,星期二279.2.5入侵响应技术当IDS分析出入侵行为或可疑现象后,系统需要采取相应手段,及时做出反应,将入侵造成的损失降到最低程度。一般可以
15、通过生成事件报警、电子邮件或短信息来通知管理员。1.入侵响应的重要性2.入侵响应系统的分类1)通知和警报响应系统2)人工手动响应系统3)自动响应系统第28页,共108页,编辑于2022年,星期二289.2.5入侵响应技术自动响应系统结构如下图所示。第29页,共108页,编辑于2022年,星期二299.2.5入侵响应技术3.入侵响应方式1)主动响应方式(1)针对入侵行为采取必要措施(2)重新修正配置系统(3)设计网络陷阱以收集更为详尽的信息2)被动响应方式(1)警报和通知第30页,共108页,编辑于2022年,星期二309.3入侵检测分析入侵检测技术是一种当今非常重要的动态安全技术,如果与传统的
16、静态安全技术共同使用,可以大大提高系统的安全防护水平。本节将介绍入侵检测的特点、缺点及其和防火墙的比较。第31页,共108页,编辑于2022年,星期二319.3.1入侵检测特点分析在人很少干预的情况下,能连续运行。当系统由于事故或恶意攻击而崩溃时,具有容错能力。当系统重新启动时,入侵检测系统能自动恢复自己的状态。必须能抗攻击。入侵检测系统必须能监测自己的运行,检测自身是否被修改。运行时,尽可能少地占用系统资源,以免干扰系统的正常运行。对被监控系统的安全策略,可以进行配置。必须能适应系统和用户行为的变化。如增加新的应用,或改变用户应用。当要实时监控大量主机时,系统应能进行扩展。入侵检测系统一些部
17、件因为某些原因停止工作时,应尽量减少对其他部分的影响。系统应能允许动态配置。当系统管理员修改配置时,不需要重新启动系统。第32页,共108页,编辑于2022年,星期二329.3.2入侵检测与防火墙1.防火墙的局限防火墙作为访问控制设备,无法检测或拦截嵌入到普通流量中的恶意攻击代码,比如针对Web服务的注入攻击等。防火墙无法发现内部网络中的攻击行为。2.入侵检测系统与防火墙的关系入侵检测系统(IntrusionDetectionSystem)是对防火墙有益的补充,入侵检测系统被认为是防火墙之后的第二道安全闸门,对网络进行检测,提供对内部攻击、外部攻击和误操作的实时监控,提供动态保护,大大提高了网
18、络的安全性。入侵检测工作的主要特点有以下几个方面。事前警告事中防护事后取证第33页,共108页,编辑于2022年,星期二339.3.3入侵检测系统的缺陷1.当前入侵检测系统存在的问题和面临的挑战1)对未知攻击的识别能力差2)误警率高2.入侵检测系统的发展趋势1)分布式入侵检测2)智能化入侵检测3)网络安全技术相结合第34页,共108页,编辑于2022年,星期二349.4常用入侵检测产品介绍IDS的硬件主要产品第35页,共108页,编辑于2022年,星期二359.4常用入侵检测系统9.4.11绿盟科技“冰之眼”IDS第36页,共108页,编辑于2022年,星期二362联想网御IDS第37页,共1
19、08页,编辑于2022年,星期二373瑞星入侵检测系统RIDS-100第38页,共108页,编辑于2022年,星期二384McAfeeIntruShieldIDS第39页,共108页,编辑于2022年,星期二399.4常用入侵检测产品介绍IDS的软件主要产品第40页,共108页,编辑于2022年,星期二409.4常用入侵检测产品介绍CA Session WallComputerAssociates公司的SessionWall-3,现在常称为eTrustIntrusionDetection是业界领先的功能非常强大的基于网络的入侵检测系统。1.入侵检测功能2.会话记录、拦截功能3.防止网络滥用4.
20、活动代码和病毒防护5.与其他安全产品集成与配合6.集中管理第41页,共108页,编辑于2022年,星期二419.4常用入侵检测系统Snort应用一个综合的Snort系统所需软件有Windows平台的Snort、windows版本的抓包驱动WinPcap、windows版本的数据库服务器mysql、基于PHP的入侵检测数据库分析控制台ACID、用于为php服务的活动数据对象数据库adodb(Active2DataObjectsDataBaseforPHP)、Windows版本的apacheWEB服务器apache2、Windows版本的PHP脚本环境、支持php的图形库jpgraph等第42页,共108页,编辑于2022年,星期二42winpcapsnortMysqlAdobeApachePHPacid网络jpgraph第43页,共108页,编辑于2022年,星期二43上述软件可根据下列次序依次安装配置1.安装apache指定安装目录c:idsapache,下载apache,下载网址http:/