入侵监测技术
网络安全领域中的入侵检测技术
网络安全领域中的入侵检测技术随着互联网的发展,网络安全成为人们极为关注的问题。
入侵检测技术是网络安全领域中的一个重要分支,它可以帮助我们发现网络中的攻击行为。
在本文中,我们将讨论入侵检测技术的一些基本概念、技术原理以及应用现状。
一、入侵检测技术的基本概念入侵检测技术(Intrusion Detection Technology,IDT)是指基于一定的规则或模型,利用计算机技术对网络中的攻击行为进行检测、识别和报告的技术。
入侵检测技术主要分为两种:基于主机的入侵检测系统(Host-based Intrusion Detection System,HIDS)和基于网络的入侵检测系统(Network-based Intrusion Detection System,NIDS)。
1. 基于主机的入侵检测系统基于主机的入侵检测系统是一种利用主机上的日志、配置和文件等信息来检测并识别攻击行为的技术。
它可以监测主机的各种事件,如登录、文件修改、进程创建等等,以此来发现恶意行为。
基于主机的入侵检测系统通常运行在被保护的主机上,可以及时发现、记录和报告异常事件。
2. 基于网络的入侵检测系统基于网络的入侵检测系统是一种利用网络中的数据包来检测并识别攻击行为的技术。
它可以监测网络中的数据流,依据规则或模型来判断是否存在异常数据流,以此来发现攻击行为。
基于网络的入侵检测系统通常部署在网络上的节点上,可以发现整个网络中的异常行为。
二、入侵检测技术的技术原理入侵检测技术的核心是识别网络中的恶意行为。
入侵检测技术根据检测对象的不同,其技术原理也有所不同。
1. 基于主机的入侵检测技术原理基于主机的入侵检测技术原理是利用主机上的系统日志、配置和文件等信息,通过分析这些信息来监测主机的各种事件。
基于主机的入侵检测技术可以分为两类:基于签名检测和基于行为分析。
基于签名检测的入侵检测技术是利用已知的攻击特征来进行匹配,以此来判断是否存在攻击行为。
入侵检测技术名词解释
入侵检测技术名词解释入侵检测技术是指一种用于检测网络安全漏洞、攻击、恶意软件和其他安全威胁的技术。
它可以检测网络中的异常活动,例如未经授权的访问、数据泄露、网络攻击等。
入侵检测技术通常由一系列算法和工具组成,用于分析网络数据包、检测恶意软件的行为和识别潜在的安全漏洞。
以下是入侵检测技术的一些主要名词解释:1. 入侵检测系统(IDS):是一种能够检测网络安全威胁的计算机系统,通常使用算法和规则来检测异常活动,例如IP地址欺骗、SYN洪水、恶意软件等。
2. 入侵防御系统(IDS):是一种能够防止网络安全威胁的计算机系统,通常使用算法和规则来检测和阻止未经授权的访问、攻击和其他安全威胁。
3. 入侵者分析器(IA):是一种用于分析网络数据包的计算机系统,可以检测和识别潜在的安全漏洞和恶意软件。
4. 漏洞扫描器:是一种用于扫描网络和系统漏洞的计算机系统,可以检测和识别系统中的漏洞,以便及时修复。
5. 行为分析器:是一种用于分析网络和系统行为的工具,可以检测和识别恶意软件和其他安全威胁。
6. 漏洞报告器:是一种用于向管理员报告漏洞的计算机系统,以便及时修复。
7. 防火墙:是一种用于保护网络和系统的设备,可以过滤网络流量并防止未经授权的访问。
8. 入侵检测和响应计划:是一种用于检测和响应网络安全威胁的系统和计划,通常包括一个IDS和一个IPS(入侵防御系统)的组合,以保护网络和系统免受入侵者的攻击。
随着网络安全威胁的不断增多,入侵检测技术也在不断发展和改进。
IDS和IPS技术已经越来越成熟,并且可以通过结合其他技术和工具来提高其检测和响应能力。
入侵检测技术不仅可以用于个人网络,还可以用于企业、政府机构和其他组织的网络安全。
入侵检测技术
Snort
DMZ 防火墙 Snort
Internet
与防火墙一起承担安全责任
未部署IDS时的企业网络架构
WEBSrv
Internet
没有IDS系统的企业 网络是极不安全的
只能依靠路由器的基本 防护功能来保护内网
显然远远不能满足 企业的安全需求
部署了IDS时的企业网络架构
DMZ
基于主机的 IDS 邮件服务器 IDS控制台 Internet
为什么要用入侵检测系统?
防火墙的局限性
(1)防火墙防外不防内。
(2)防火墙一般不提供对内部的保护。 (3)防火墙不能防范不通过它的连接。
(4)防火墙不能防备全部的威胁。
因此为确保网络的安全,就要对网络内部进行实 时的检测,这就要用到IDS无时不在的防护!
8.4.1 入侵检测概述
为什么要用入侵检测系统?
与防火墙不同的是,IDS是一个旁路监听设备,无 须网络流量流经它便可以工作。IDS的运行方式有 两种,一种是在目标主机上运行以监测其本身的通 信信息,另一种是在一台单独的机器上运行以监测 所有网络设备的通信信息,比如Hub、路由器。 通常对IDS的部署的唯一要求是:IDS应当挂接在所 有所关注的流量都必须流经的链路上。在这里, “所关注的流量”指的是来自高危网络区域的访问 流量和需要进行统计、监视的网络报文。
8.4.6 入侵检测的发展趋势——IPS
IPS是英文“Intrusion Prevention System”的缩写, 中文意思是入侵防御系统。 随着网络攻击技术的不断提高和网络安全漏洞的不 断发现,传统防火墙技术加传统的入侵检测技术, 已经无法应对一些安全威胁。在这种情况下,IPS技 术应运而生,IPS技术可以深度感知并检测流经的数 据流量,对恶意报文进行丢弃以阻断攻击,对滥用 报文进行限流以保护网络带宽资源。
入侵检测技术
10
7.2 入侵检测的原理与技术
网络数据
读取网络数据 网络报文数据
协议分析
比较数据
事件数据库
上报事件
图7-1 网络IDS工作模型
11
7.2 入侵检测的原理与技术
网络IDS优势
22
7.2 入侵检测的原理与技术
7.2.3 IDS采用的技术
2、异常检测技术 通过对系统审计数据的分析建立起系统主体(单个用户、 一组用户、主机,甚至是系统中的某个关键的程序和文件等) 的正常行为特征轮廓;检测时,如果系统中的审计数据与已建 立的主体的正常行为特征有较大出入就认为是一个入侵行为。 这一检测方法称“异常检测技术”。 一般采用统计或基于规则描述的方法建立系统主体的行 为特征轮廓,即统计性特征轮廓和基于规则描述的特征轮廓。
事件数据库
图7-4 控制中心的工作流程
21
7.2 入侵检测的原理与技术
7.2.3 IDS采用的技术
入侵检测主要通过专家系统、模式匹配、协议分析 或状态转换等方法来确定入侵行为。入侵检测技术有:
➢静态配置分析技术 ➢异常检测技术 ➢误用检测技术
1.静态配置分析技术 静态配置分析是通过检查系统的当前系统配置,诸 如系统文件的内容或系统表,来检查系统是否已经或者 可能会遭到破坏。静态是指检查系统的静态特征(系统配 置信息),而不是系统中的活动。
6
7.1 入侵检测系统概述
7
7.1 入侵检测系统概述
7.1.4 入侵检测的发展历程
1980年,概念的诞生 1984~1986年,模型的发展 1990年,形成网络IDS和主机IDS两大阵营 九十年代后至今,百家争鸣、繁荣昌盛
入侵检测技术的名词解释
入侵检测技术的名词解释随着数字化时代的来临,网络安全问题日益严峻,入侵检测技术成为保护网络安全的重要手段之一。
本文将对入侵检测技术的相关名词进行解释和探讨,包括入侵检测系统、入侵检测方法、入侵检测规则、入侵检测引擎以及入侵检测系统的分类等。
一、入侵检测系统首先,我们来解释入侵检测系统这一名词。
入侵检测系统(Intrusion Detection System,IDS)是一个软件或硬件设备,用于监测和识别网络或主机上的异常行为或入侵攻击,并及时作出响应。
入侵检测系统通常分为两种类型:基于主机的入侵检测系统(Host-based Intrusion Detection System,HIDS)和基于网络的入侵检测系统(Network-based Intrusion Detection System,NIDS)。
HIDS主要用于保护单个主机或服务器,通过监测和分析主机上的日志和事件来检测潜在的入侵。
而NIDS则用于监测和分析网络流量,以识别网络中的异常活动和入侵行为。
二、入侵检测方法接下来我们将解释入侵检测技术中常用的几种方法。
入侵检测方法根据数据分析的方式不同,可以分为基于特征的入侵检测(Signature-based Intrusion Detection)和基于异常的入侵检测(Anomaly-based Intrusion Detection)。
基于特征的入侵检测方法是通过事先定义好的规则或特征来识别已知的攻击模式。
它可以将已知的攻击模式和攻击特征与实时监测的网络流量进行匹配,以检测出网络中的攻击行为。
而基于异常的入侵检测方法则是通过监测网络流量或主机运行状态,建立正常行为的模型,当检测到与模型不符的异常行为时,就会发出警告或采取相应的响应措施。
这种方法相对于基于特征的方法,更适用于检测未知的、新型的攻击。
三、入侵检测规则除了入侵检测方法外,入侵检测系统还使用入侵检测规则来定义和识别攻击模式。
入侵检测规则是一系列用于描述攻击特征或行为的规则,通常使用正则表达式等模式匹配技术进行定义。
网络安全入侵检测技术
比较
判定
修正指标:漏报率低,误报率高
异常检测特点
异常检测系统的效率取决于用户轮廓的完备性和监控的频率
不需要对每种入侵行为进行定义,因此能有效检测未知的入侵
系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源
指标:误报低、漏报高
误用检测前提:所有的入侵行为都有可被检测到的特征攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵过程:
如果控制台与IDS同在一台机器,alert信息将显示在监视器上,也可能伴随有声音提示
如果是远程控制台,那么alert将通过IDS的内置方法(通常是加密的)、SNMP(简单网络管理协议,通常不加密)、email、SMS(短信息)或者以上几种方法的混合方式传递给管理员
Alert(警报)
攻击特征是IDS的核心,它使IDS在事件发生时触发特征信息过短会经常触发IDS,导致误报或错报;过长则会影响IDS的工作速度
入侵检测系统(IDS)
入侵检测(Intrusion Detection)的定义:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。
入侵检测系统(IDS):进行入侵检测的软件与硬件的组合。
入侵检测的起源(1)
数据包=包头信息+有效数据部分
网络服务器1 网络服务器2
检测内容:包头信息+有效数据部分 X 客户端 Internet
注意:
在共享网段上对通信数据进行侦听采集数据主机资源消耗少
提供对网络通用的保护如何适应高速网络环境
非共享网络上如何采集数据
入侵检测技术
1.2 入侵检测系统的组成
用专家系统对入侵进行检测,经常是针对有特征的 入侵行为。规则,即是知识,不同的系统与设置具 有不同的规则,且规则之间往往无通用性。专家系 统的建立依赖于知识库的完备性,知识库的完备性 以取决于审计记录的完备性与实时性。入侵的特征 抽取与表达,是入侵检测专家系统的关键。在系统 实现中,将有关入侵的知识转化为if-then结构,条 件部分为入侵特征,then部分是系统防范措施。运 用专家系统防范有特征入侵行为的有效性完全取决 于专家系统知识库的完备性。
由于嗅探技术的限制,网络节点入侵检测仅仅能分析目 的地址是主机地址的包,但是由于网络节点入侵检测的 特性,当网络使用的是一个高速通信网络、加密网络或 者使用了交换式设备,网络节点入侵检测仍然能对所有 的子网进行检测。网络节点入侵检测的优势在于,能有 效的抵御针对特定主机的基于包的攻击。
1.3 常用的入侵检测方法 入侵检测系统常用的检测方法有特征测、统 计检测与专家系统。据公安部计算机信息系 统安全产品质量监督检验中心的报告,国内 送检的入侵检测产品中95%是属于使用入侵 模式匹配的特征检测产品,其他5%是采用 概率统计的统计检测产品与基于日志的专家 知识库型产品。
1.什么是入侵检测 入侵检测系统(IDS,Intrusion detection system)是为保证计算机系统的安全而设计与 配置的一种能够及时发现并报告系统中未授权 或异常现象的系统,是一种用于检测计算机网 络中违反安全策略行为的系统。入侵和滥用都 是违反安全策略的行为。
第9章 入侵检测技术
9.1.4 入侵检测系统的作用
入侵检测系统包括三个功能部件:提供事件记录流 的信息源、发现入侵迹象的分析引擎、基于分析引擎的 结果产生反应的响应部件。因此,IDS可以看作这样的 管理工具:它从计算机网络的各个关键点收集各种系统 和网络资源的信息,然后分析有入侵(来自组织外部的 攻击)和误用(源于内部组织的攻击)迹象的信息,并 识别这些行为和活动,在某些情况下,它可以自动地对 检测到的活动进行响应,报告检测过程的结果,从而帮 助计算机系统对付攻击。
1997年,Ross Anderson和Abida Khattak将信息检索技 术引进到了入侵检测领域。 1998年,W.Lee首次提出了运用数据挖掘技术对审计数据进 行处理。 1999年,Steven Cheung等人又提出了入侵容忍(Intrusion tolerance)的概念,在IDS中引入了容错技术。 2000年,Timm Bass提出了数据融合(Data Fusion)的 概念,将分布式入侵检测理解为在层次化模型下对多感应器的数 据综合问题。
该技术的关键是如何表达入侵的模式,把真正 的入侵行为与正常行为区分开来,因此入侵模式表 达的好坏直接影响入侵检测的能力。
优点:误报少; 缺点:只能发现攻击库中已知的攻击,且其复杂 性将随着攻击数量的增加而增加。
莆田学院计算网络教研室
9.1.5 入侵检测的分类
莆田学院计算网络教研室
9.1.5 入侵检测的分类
2.按照分析的方式
按照分析器所采用的数据分析方式,可分为:
异常检测系统
误用检测系统
混合检测系统。
莆田学院计算网络教研室
9.1.5 入侵检测的分类
异常检测(Anomaly detection)系统:假定 所有的入侵行为都与正常行为不同,建立正常活动 的简档,当主体活动违反其统计规律时,则将其视 为可疑行为。
入侵检测技术
入侵检测技术入侵检测技术是信息安全领域中一项重要的技术,用于监测和防止未经授权的第三方对计算机系统、网络或应用程序的非法访问或攻击。
随着信息技术的发展和网络的普及,入侵检测技术的重要性日益凸显,它可以帮助企业和个人及时发现并应对潜在的安全风险。
入侵检测技术一般可分为两种类型:基于特征的入侵检测和基于行为的入侵检测。
基于特征的入侵检测通过事先确定的特征值或规则来判断是否存在入侵行为。
这种方法需要建立一个特征数据库,并从传感器或网络流量中提取特征,然后与数据库中存储的特征进行匹配。
如果匹配成功,则认为存在入侵行为。
特征值可以包括某个程序的特定代码段、网络流量的特定模式等。
基于行为的入侵检测技术则通过分析计算机或网络系统的正常行为模式,来判断是否存在异常行为。
这种方法通常需要先建立一个正常行为模型,并通过统计学方法或机器学习算法来分析新数据是否与模型一致。
如果发现异常行为,则可能存在入侵行为。
为了有效地进行入侵检测,研究人员和安全专家们提出了各种不同的方法和技术。
其中之一是基于网络流量分析的入侵检测技术。
这种方法通过监测网络中的数据流量,分析其中的异常行为来检测入侵。
例如,当网络中某个主机发送异常数量的请求或大量的无效请求时,很可能存在入侵行为,系统可以及时给予响应并阻止该行为。
另一种常见的入侵检测技术是基于主机日志的入侵检测。
这种方法通过监测主机日志中的异常行为,来判断是否存在入侵行为。
例如,当某个主机的登录次数异常增多、文件的访问权限异常变更等,都可能是入侵行为的迹象。
通过对主机日志进行实时监测和分析,可以及时发现并应对潜在的入侵。
除了上述的方法,还有很多其他的入侵检测技术,如基于模式识别的入侵检测、基于数据挖掘的入侵检测等。
不同的技术和方法适用于不同的场景和情况,需要根据实际需求和情况进行选择和应用。
虽然入侵检测技术可以有效地帮助企业和个人发现和应对安全风险,但它也面临着一些挑战和限制。
首先,随着网络技术的不断发展和攻击手法的不断更新,入侵检测技术需要不断更新和升级,以适应新形势下的安全需求。
入侵检测技术
入侵检测技术
协议分析和状态协议分析与模式匹配比较:
入侵检测技术
3.状态转移分析
状态转移分析是使用高层状态转移图来表示和检测已知 入侵的误用检测技术。所有入侵者的入侵过程都可以看做是从 有限的特权开始,利用系统的弱点,逐步提升自身的权限。系 统状态迁移正是利用这一共性来表示入侵特征。入侵特征的状 态对应于系统状态,并具有迁移到另外状态的触发条件,通过 弧将连续的状态连接起来表示状态改变所需要的事件。在该方 法中,入侵以入侵者执行的活动序列来描述,该序列是从系统 的初始状态到达最终的危害状态。初始状态相对应于入侵开始 的状态,危害状态相对应于入侵完成时的系统状态。
信服的解释。
入侵检测技术
7.数据挖掘
数据挖掘采用的是以数据为中心的观点,它把入 侵检测问题看作一个数据分析过程,从审计数据流或网 络数据流中提取感兴趣的知识表示为概念、规则、规律、 模式等形式,用这些知识去检测异常入侵和已知的入侵。 具体的工作包括利用数据挖掘中的关联算法和序列挖掘 算法提取用户的行为模式,利用分类算法对用户行为和特 权程序的系统调用进行分类预测。
其优点是:原理简单、扩展性好、检测效 率比较高、可以实时检测;系统的实现、配置、维 护比较方便。缺点是:误报率比较高;在编写复杂 的入侵描述匹配规则时,需要的工作量大;不能检 测出未知的入侵行为。
入侵检测技术
2.专家系统
专家系统是最早的误用检测技术,早期的入侵检测系统 多使用这种技术。首先要把入侵行为编码成专家系统的规则, 使用类似于if…then的规则格式输入已有的知识(入侵模式)。 If部分为入侵特征,then部分为系统防范措施,当if部分的条 件全部满足时,触发then部分的防范措施,然后输入检测数据, 系统根据知识库中的内容对检测数据进行评估,判断是否存在 入侵行为。
入侵检测技术
入侵检测技术入侵检测系统IDS是对计算机和网络资源的恶意使用行为进行识别的系统。
它的目的是监测和发现可能存在的攻击行为,包犄来自系统外部的入侵行为和来自内部用户的非授权行为,并采取相应的防护手段。
一入侵检测系统的基本功能包括:监控和分析用户和系统的行为检查系统的配置和漏洞。
评估重要的系统和数据文件的完整性对异常行为的统计分析,识别攻击类型,并向网络管理人员报警对操作系统进行审计,跟踪管理,部分别违反授权的用户活动二入侵检测系统的结构一般是由事件发生器,事件分析器,单元与事件数据库组成。
1.事件发生器通用框架结构将入侵检测系统需要分析的数据统称为事件,它可以是网络中的数据包,也可以是从系统日志等其他途径行到的信息。
事件发生器产生的事件可能是经过协议解析的数据包,或者是从日志文件中提取的相关部分。
2.事件分析器事件分析器根据事件数据库的入侵特征描述,用户历史行为模型等,解析事件发生器产生的事件,行到格式化的描述,判断什么是合法的,什么是非法的。
3.响应单元响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接,张变文件属性或报警等响应。
4.事件数据库事件数据库存放攻击类型数据或者检测规则,它可以是复杂的数据库,也可以是简单的文本文件。
事件数据库储存有入侵特征描述,用户历史行为等模型和专家经验。
三入侵检测技术分类入侵检测技术,可以分为异常检测,误用检测及两种方式结合。
1.异常检测异常检测是指已知网络的正常活动状态,如果当前网络状态不符合正常的状态,则诊断有攻击发生。
异常检测系统的关键是建立一个对应正常网络活动的特征原型。
所用与特征原型中差别很大的行为被视为异常。
显然,入侵活动与异常活动是有区别的,关键剖是如何选择一个区分异常事件的阈值,才能减少漏报和误报的问题。
异常检测方法主要包括:基于统计异常检测,基于数据采掘的异常检测,基于神经网络入侵检测等。
(统计异常,数据采掘,神经网络)(1)检测完整性高,能够发现企图发掘,试探系统未知漏洞的行为(2)较少依赖于特定的操作系统环境(3)对合法用户雪域其权限的违法行为的检测能为很如。
入侵检测技术
作者
唐正军,现在上海交通大学信息与通信工程流动站从事博士后研究工作。近5年来发表学术论文20篇,出版网络安全相关技术著作3部,并参加国家自然科学基金儿863计划等国家重大项目多项。同时,申请技术专利和软件版权各1项。
(2)误用检测模型(MisuseDetection):检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。
(2)信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并发送给控制台。
(3)结果处理:控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。
对象划分
基于主机:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理(agent)来实现的,代理是运行在目标主机上的小的可执行程序,它们与命令控制台(console)通信。
基于网络:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器(sensor)组成,传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。
(网络安全实践技术)第5章入侵检测技术
05
CATALOGUE
案例分析与实践
典型入侵检测案例分析
案例1
某大型企业遭受DDoS攻击,导 致网络瘫痪。通过部署入侵检测 系统,成功识别并拦截攻击流量
,保障了网络正常运行。
案例2
某政府机构遭受高级持久性威胁 (APT)攻击,攻击者长期潜伏 并窃取敏感信息。通过入侵检测 技术,及时发现并处置了威胁,
。
A
B
C
D
经验4
建立安全事件应急响应机制,一旦发现可 疑行为或攻击事件,能够迅速处置并恢复 系统正常运行。
经验3
加强与其他安全组件的协同工作,如防火 墙、安全事件管理等,形成完整的网络安 全防护体系。
THANKS
感谢观看
无特征的入侵检测技术
01
总结词
无特征的入侵检测技术不依赖于攻击模式或正常行为模式,通过分析网
络流量、系统日志等信息中的无特征模式来检测入侵行为。
02 03详ຫໍສະໝຸດ 描述该技术通过分析网络流量、系统日志等信息中的统计特征、时间序列特 征等无特征信息,发现异常行为。由于不依赖于已知的攻击模式或正常 行为模式,该技术能够检测到未知的攻击方式。
总结词
混合入侵检测技术能够提高检测效率和准确性, 减少误报和漏报。
详细描述
该技术同时建立正常行为的模式和已知的攻击模 式,通过综合分析网络流量、系统日志等信息, 既能够检测到与正常模式偏离的行为,也能够检 测到与已知攻击模式匹配的行为。
详细描述
通过结合两种技术,混合入侵检测技术能够更全 面地覆盖各种入侵行为,提高整体检测效果。
混合式部署
结合集中式和分散式部署,以提高入侵检测的覆 盖范围和准确性。
入侵检测系统的实现步骤
入侵检测技术
入侵检测技术一、实验目的通过实验深入理解入侵检测系统的原理和工作方式,熟悉入侵检测系统的配置和使用。
实验具体要求如下:3.掌握Snort的安装、配置和使用等实用技术二、实验原理1、入侵检测概念及其功能入侵检测是指对入侵行为的发现、报警和响应,它通过对电脑网络或电脑系统中的假设干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测系统(intrusion detection system,IDS)是完成入侵检测功能的软件和硬件的集合。
入侵检测的功能主要表达在以下几个方面:1〕. 监视并分析用户和系统的活动。
2〕. 核查系统配置和漏洞。
3〕. 识别已知的攻击行为并报警。
4〕. 统计分析异常行为。
5〕. 评估系统关键资源和数据文件的完整性。
6〕. 操作系统的审计跟踪管理,并识别违反安全策略的用户行为。
2、入侵检测的分类根据IDS检测对象和工作方式的不同,可以将IDS分为基于网络的IDS(简称NIDS)和基于主机的IDS(简称HIDS)。
NIDS和HIDS互为补充,两者的结合使用使得IDS有了更强的检测能力。
1〕. 基于主机的入侵检测系统。
HIDS历史最久,最早用于审计用户的活动,比方用户登录、命令操作、应用程序使用资源情况等。
HIDS主要使用主机的审计记录和日志文件作为输入,某些HIDS也会主动与主机系统进行交互以获得不存在于系统日志的信息。
HIDS所收集的信息集中在系统调用和应用层审计上,试图从日志寻找滥用和入侵事件的线索。
HIDS用于保护单台主机不受网络攻击行为的侵害,需要安装在保护的主机上。
2〕. 基于网络的入侵检测系统。
NIDS是在网络中的某一点被动地监听网络上传输的原始流量,并通过协议分析、特征、统计分析等分析手段发现当前发生的攻击行为。
NIDS通过对流量分析提取牲模式,再与已知攻击牲相匹配或与正常网络行为原形相比较来识别攻击事件。
3、入侵检测系统1〕. 入侵检测系统的特点:入侵检测系统(Intrusion Detection System)是对防火墙有益的补充,它对网络和主机行为进行检测,提供对内部攻击、外部攻击和误操作的实时监控,增强了网络的安全性。
入侵检测技术
IDS旳功能与作用
• 辨认黑客常用入侵与攻击手段。入侵检测系统经过分析多种 攻击特征,能够全方面迅速地辨认探测攻击、拒绝服务攻击、 缓冲区溢出攻击、电子邮件攻击、浏览器攻击等多种常用攻 击手段,并做相应旳防范和向管理员发出警告
内容
• 入侵检测技术旳概念 • 入侵检测系统旳功能 • 入侵检测技术旳分类 • 入侵检测技术旳原理、构造和流程 • 入侵检测技术旳将来发展
基本概念
• 入侵检测技术是为确保计算机系统旳安全而设计与配置旳一种能 够及时发觉并报告系统中未授权或异常现象旳技术 ,是一种用于 检测计算机网络中违反安全策略行为旳技术。
• 监控网络异常通信。 IDS系统会对网络中不正常旳通信连接 做出反应,确保网络通信旳正当性;任何不符合网络安全策 略旳网络数据都会被 IDS侦测到并警告。
IDS旳功能与作用
• 鉴别对系统漏洞及后门旳利用 。 • 完善网络安全管理。 IDS经过对攻击或入侵旳
检测及反应,能够有效地发觉和预防大部分旳 网络入侵或攻击行为,给网络安全管理提供了 一种集中、以便、有效旳工具。使用IDS系统 旳监测、统计分析、报表功能,能够进一步完 善网管。
• 1996年, GRIDS(Graph-based Intrusion Detection System)设计和实现 处理了入侵检测系统伸缩性不足旳 问题,使得对大规模自动或协同攻击旳检测更为便利。 Forrest 等人将免疫原理用到分布式入侵检测领域
IDS旳发展史
• 1997年, Mark crosbie 和 Gene Spafford将 遗传算法利用到入侵检
网络安全与应用技术-第5章 入侵检测技术
IDS基本结构
入侵检测系统包括三个功能部件
(1)信息收集 (2)信息分析 (3)结果处理
信息搜集
信息收集
入侵检测的第一步是信息收集,收集内容包括系统、 网络、数据及用户活动的状态和行为
需要在计算机网络系统中的若干不同关键点(不同 网段和不同主机)收集信息 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点
入侵检测(Intrusion Detection)是对入侵行 为的发觉。它通过从计算机网络或计算机系统 的关键点收集信息并进行分析,从中发现网络 或系统中是否有违反安全策略的行为和被攻击 的迹象
入侵检测的定义
对系统的运行状态进行监视,发现各种攻 击企图、攻击行为或者攻击结果,以保证 系统资源的机密性、完整性和可用性
第五章 入侵检测技术
1. 概述 2. 入侵检测方法 3. 入侵检测系统的设计原理 4. 入侵检测响应机制 5. 入侵检测标准化工作 6. 其它 7. 展望
概述 2. 入侵检测方法 3. 入侵检测系统的设计原理 4. 入侵检测响应机制 5. 入侵检测标准化工作 6. 其它 7. 展望
IDS存在与发展的必然性
CMDS™、NetProwler™、NetRanger™ ISS RealSecure™
由于目前的入侵检测系统大部分是基于各自的需 求和设计独立开发的,不同系统间缺乏操作性和 互用性,这对入侵检测系统的发展造成了障碍, 因此DARPA(Defense Advanced Research Projects Agency,美国国防部高级研究计划局) 于1997年3月开始着手CIDF(Common Intrusion Detection Framework,公共入侵检测框架)标准 的制定,以便更高效地开发入侵检测系统。国内 在这方面的研究刚开始起步,但也已经开始着手 入侵检测标准IDF的研究与制定。
网络安全第10章入侵检测技术
第10章 入侵检测技术
10.1 入侵检测概述 10.2 入侵检测的技术实现 10.3 入侵检测技术的性能指标和评估标准
第10章 入侵检测技术
10.1 入侵检测概述
10.1.1 入侵检测系统的基本概念
Anderson将入侵尝试或威胁定义为:潜在的、有预谋 的、未经授权的访问信息、操作信息、致使系统不可靠 或无法使用的企图。而入侵检测的定义为:发现非授权 使用计算机的个体(如“黑客”)或计算机系统的合法 用户滥用其访问系统的权利以及企图实施上述行为的个 体。执行入侵检测任务的程序即是入侵检测系统。入侵 检测系统也可以定义为:检测企图破坏计算机资源的完 整性,真实性和可用性的行为的软件。
及时性(Timeliness):及时性要求IDS必须尽快地分析数据并把 分析结果传播出去,以使系统安全管理者能够在入侵攻击尚未造成 更大危害以前做出反应,阻止入侵者进一步的破坏活动,和上面的 处理性能因素相比,及时性的要求更高。它不仅要求IDS的处理速 度要尽可能地快,而且要求传播、反应检测结果信息的时间尽可能 少。
入侵检测的目的:(1)识别入侵者;(2)识别入 侵行为;(3)检测和监视以实施的入侵行为;(4) 为对抗入侵提供信息,阻止入侵的发生和事态的扩大;
第10章 入侵检测技术
10.1.2 入侵检测系统的结构
响应单元
输出:反应或事件
输出:高级中断事件
事件分析器
输出:事件的存储信息
事件数据库
输出:原始或低级事件
10.1.4 入侵检测系统的分类
入侵检测系统按其检测的数据来源,可分为基于主机 的入侵检测系统和基于网络的入侵检测系统。
目标系统 审计记录
审计记录收集方法
审计记录预处理
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1998年1月Ptacek&Newsham论文:《Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection》
主要思想
一个网络上被动的设备很难只根据网络上的数据预计受保护的终端 系统的行为,利用IDS对数据包的分析处理方式与终端服务器TCP/IP 实现方式的不同,进行插入、逃避及拒绝服务攻击,使IDS无法正确 地检测到攻击。
分析下一个服务器回应的包,是“250”(成功)还是“550” (失败): ftp_reply:”250”|”550” (应用层状态跟踪)
很难让这种分析产生误报和漏报,而且还能跟 踪攻击是否成功。
对NIDS的规避及对策 NIDS的规避及对策
基于网络层的规避及对策 基于应用层的规避及对策
基于网络层的规避及对策
因为网络拓扑与数据包TTL值的设置,IDS和终端系统 可能收到不同的数据包
更多的不同… 更多的不同…
在进行TCP/IP分片的重组时,IDS与终端系统的所设定 的超时可能不同,造成重组的结果不同 IDS与终端系统的硬件能力不同,导致一方能够完成的 重组对另一方来说不可能完成 所有以上这些的不同,使下面的这几种攻击成为可能。
IDS的实现方式 IDS的实现方式-----网络IDS 网络IDS
IDS的实现方式 IDS的实现方式-----主机IDS 主机IDS
主机IDS运行于被检测的主机之上,通过查 询、监听当前系统的各种资源的使用运行 状态,发现系统资源被非法使用和修改的 事件,进行上报和处理。其监测的资源主 要包括:网络、文件、进程、系统日志等
插入攻击
在数据流中插入多余的字符,而这些多余 的字符会使IDS接受而被终端系统所丢弃。
逃避攻击
想办法使数据流中的某些数据包造成终端 系统会接受而IDS会丢弃局面。
拒绝服务攻击
IDS本身的资源也是有限的,攻击者可以想办法使其耗 尽其中的某种资源而使之失去正常的功能
CPU,攻击者可以迫使IDS去执行一些特别耗费计算时间而又无意义 的事 内存,连接状态的保留、数据包的重组都需要大量的内存,攻击者 可以想办法使IDS不停的消耗内存 日志记录空间,攻击者可以不停地触发某个事件让IDS不停地记录, 最终占满记录空间 IDS需要处理网络上所有的数据包,如果攻击者能使IDS所在的网络 达到很高的流量,IDS的检测能力将急剧下降
IDS的基本结构 IDS的基本结构
IDS系统结构--IDS系统结构---探测引擎
采用旁路方式全面侦听网上信息流,实时分析 将分析结果与探测器上运行的策略集相匹配 执行报警、阻断、日志等功能。 完成对控制中心指令的接收和响应工作。 探测器是由策略驱动的网络监听和分析系统。
IDS的基本结构 IDS的基本结构
基于知识的检测----基于知识的检测-----模型推理
模型推理是指结合攻击脚本推理出入侵行为是否 出现。其中有关攻击者行为的知识被描述为:攻 击者目的,攻击者达到此目的的可能行为步骤, 以及对系统的特殊使用等。根据这些知识建立攻 击脚本库,每一脚本都由一系列攻击行为组成。
基于知识的检测-----状态转换分析 -----状态转换分析
防 火 墙的局限
Dir c:\
%c1%1c %c1%1c
防火墙的局限性
防火墙不能防止通向站点的后门。 防火墙一般不提供对内部的保护。 防火墙无法防范数据驱动型的攻击。 防火墙本身的防攻击能力不够,容易成 为被攻击的首要目标 防火墙不能根据网络被恶意使用和攻击 的情况动态调整自己的策略
防火墙与IDS联动 防火墙与IDS联动
摄像机=探测引擎 摄像机 探测引擎
后门
监控室=控制中心 监控室 控制中心
Card Key
保安=防火墙 保安 防火墙
形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它也是 智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光 摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄象机, 还包括保安员的摄象机,能够对入侵行为自动地进行反击:阻断连接、关闭道路 (与防火墙联动)。
基于知识的检测----基于知识的检测-----专家系统
将有关入侵的知识转化成if-then结构的规则,即将 构成入侵所要求的条件转化为if 部分,将发现入侵 后采取的相应措施转化成then部分。当其中某个或某 部分条件满足时,系统就判断为入侵行为发生。其中 的if-then结构构成了描述具体攻击的规则库,状态 行为及其语义环境可根据审计事件得到,推理机根据 规则和行为完成判断工作。
基本思想是用一系列信息单元(命令)训练神经单元, 这样在给定一组输入后,就可能预测出输出。当前 命令和刚过去的w个命令组成了网络的输入,其中w 是神经网络预测下一个命令时所包含的过去命令集 的大小。根据用户的代表性命令序列训练网络后, 该网络就形成了相应用户的特征表,于是网络对下 一事件的预测错误率在一定程度上反映了用户行为 的异常程度。目前还不很成熟。
Source Host A Host B
Destination Host C Host C
Permit Pass Block
Protocol TCP UDP
根据访问控制规则决 定进出网络的行为
一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同 一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合, 网络安全域之间的一系列部件的组合 网络安全域间通信流的唯一通道 能根据企业有关的安全政策控制 允许、拒绝、 唯一通道, 控制( 网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、 监视、记录)进出网络的访问行为。 监视、记录)进出网络的访问行为。
状态转换法将入侵过程看作一个行为序列,这个行 为序列导致系统从初始状态转入被入侵状态。分析 时首先针对每一种入侵方法确定系统的初始状态和 被入侵状态,以及导致状态转换的转换条件,即导 致系统进入被入侵状态必须执行的操作(特征事件)。 然后用状态转换图来表示每一个状态和特征事件, 这些事件被集成于模型中,所以检测时不需要一个 个地查找审计记录。但是,状态转换是针对事件序 列分析,所以不善于分析过分复杂的事件,而且不 能检测与系统状态无关的入侵。
入侵检测系统
Intranet
攻击者
router
IDS Agent Firewall 发现攻击
报警
DMZ
发现攻击
监控中心
发现攻击
IDS Agent
报警
Servers
常用的安全防护措施-防火墙
访问控制 访问控制 认证 NAT
加密 防病毒、内容过滤 防病毒、内容过滤 流量管理
防火墙
安全域1 Host A Host B 安全域2 Host C Host D 两个安全域之间通 信流的唯一通道
入侵检测技术-----IDS的优点 IDS的优点
实时检测网络系统的非法行为 网络IDS系统不占用系统的任何资源 网络IDS系统是一个独立的网络设备,可以做 到对黑客透明,因此其本身的安全性高 它既是实时监测系统,也是记录审计系统,可 以做到实时保护,事后分析取证 主机IDS系统运行于保护系统之上,可以直接 保护、恢复系统 通过与防火墙的联动,可以更有效地阻止非法 入侵和破坏
神经网络检测思想
基于知识的检测
基于知识的检测指运用已知攻击方法,根据已定义好 的入侵模式,通过判断这些入侵模式是否出现来检测。 因为很大一部分的入侵是利用了系统的脆弱性,通过 分析入侵过程的特征、条件、排列以及事件间关系能 具体描述入侵行为的迹象。基于知识的检测也被称为 违规检测(Misuse Detection)。这种方法由于依据具 体特征库进行判断,所以检测准确度很高,并且因为 检测结果有明确的参照,也为系统管理员做出相应措 施提供了方便。
----引擎的功能结构
IDS系统结构 系统结构-----控制中心 系统结构
提供报警显示 提供对预警信息的记录和检索、 提供对预警信息的记录和检索、统计功能 制定入侵监测的策略; 制定入侵监测的策略; 控制探测器系统的运行状态 收集来自多台引擎的上报事件,综合进行事件分析, 收集来自多台引擎的上报事件,综合进行事件分析, 以多种方式对入侵事件作出快速响应。 以多种方式对入侵事件作出快速响应。 这种分布式结构有助于系统管理员的集中管理, 这种分布式结构有助于系统管理员的集中管理,全面搜 集多台探测引擎的信息,进行入侵行为的分析。 集多台探测引擎的信息,进行入侵行为的分析。
对数据包的不同处理方式
当处理到重叠的TCP/IP分片时,有些系统保留新数据, 有些系统保留老数据,IDS处理重叠时可能与终端系统 不同
Windows NT 4.0保留老数据 Linux保留新数据
终端系统可能会丢弃某些带了不被支持或不寻常的 TCP/IP选项的数据包,IDS则可能还会处理那些包
终端系统可能被配置成丢弃源路由的包 终端系统可能丢弃有老时间戳的包 终端系统可能丢弃某些带有特殊TCP/IP选项组合的包
IDS技术 IDS技术
提纲
什么是入侵行为 入侵检测系统 防火墙的局限性 IDS技术 IDS规避 IDS结构 IDS的发展趋势
什么是入侵行为
入侵行为主要是指对系统资源的非授权 使用,它可以造成系统数据的丢失和破 坏、可以造成系统拒绝对合法用户服务 等危害。
什么是入侵检测系统
IDS(Intrusion Detection System)就是入侵 检测系统,它通过抓取网络上的所有报文,分析处 理后,报告异常和重要的数据模式和行为模式,使 网络安全管理员清楚地了解网络上发生的事件,并 能够采取行动阻止可能的破坏。
主机IDS和网络IDS的比较 主机IDS和网络IDS的比较
基于网络的入侵检测系统的主要优点有: 基于网络的入侵检测系统的主要优点有: (1)成本低。 (2)攻击者转移证据很困难。 (3)实时检测和应答。一旦发生恶意访问或攻击,基于网 络的IDS检测可以随时发现它们,因此能够更快地作出反应。 从而将入侵活动对系统的破坏减到最低。 (4)能够检测未成功的攻击企图。 (5)操作系统独立。基于网络的IDS并不依赖主机的操作 系统作为检测资源。而基于主机的系统需要特定的操作系统 才能发挥作用。 基于主机的IDS的主要优势有: IDS的主要优势有 基于主机的IDS的主要优势有: (1)非常适用于加密和交换环境。 (2)实时的检测和应答。 (3)不需要额外的硬件。