第11章 入侵检测共71页文档
合集下载
入侵探测_精品文档
式探测器
6
1、微波探测器
微波的主要特点:
1、是一种波长很短 的电磁波
波长 1mm-1dm 频 率 300MH-300GH
2、直线传播易反射
3、设备小
4、对非金属(木、 玻璃、墙、塑料)有 穿透力
波段名称 频段名称 波长范围 频率范围
长波
中波 短波
低频 (LF) 10-1km 30-300KH
19
3、被动式红外报警器的缺点 1).容易受到动物体温辐射、阳光照射、热气流温度辐射等多种因素干扰
而引发误报警; 2).当气温与人体温度接近或高于人体温度时,这一类探测器将根本无
法正常工作。
20
被动红外探测器的特点及安装使用要 点
1、属于空间形探测器、 隐蔽性好,功耗低。
5、同一室内安装时, 相互间不产生干扰。
17
3主动式红外报警的优点
1)安全系数全面提高。入侵者在准备进入室内时就报警了,不但阻吓了 入侵者更重要的是保护了室内业主的人身安全,避免了以上被动式红外 探测器安装在室内的各种不利因素;
2)操作简单、方便,可全天候布防。不管仓库内有无员工走动、不管物 品如何繁多,探测器全天都可处于探测状态,不须专人进行布/撒防的繁 锁工作;
2、穿透性差,防区不 应有障碍物,避免探 测盲区。
3、红外探头不能对准 发热体。
4、基本属于室内型。
21
有线红外幕帘/广 吸顶型红外探测器 角探测器产品型号: 产品型号:HW-D
: HW-Y:特点 采用
美国军用红外传感器进行信 号采集探测与摩托罗拉芯片 组合集成单片机智能技术控 制,自动温补偿,微电流省 耗无误报,无漏报,探测距 离远,工作稳定,性能可靠, 外形精巧,美观大方。可防 小动物,阳光等不定因素, 抗电磁干扰。内置防拆开关。
11_IDS_1
缺点
– 可测量性与性能都和模 式数据库的大小和体系 结构有关 – 可扩展性差 – 通常不具备自学习能力, 对新攻击的检测分析必 须补充模式数据库 – 攻击行为难以模式化
IDS引擎对比— IDS引擎对比—异常检测
优点
–符合数据的异常变化理 论,适合事物的发展规 律 –检查算法比较普适化, 对变量的跟踪不需要大 量的内存 – 有能力检测与响应某些 有能力检测与响应某些 新的攻击
网络安全
入侵检测技术
计算机学院
2010/11
崔竞松
提纲
入侵检测技术概述 入侵检测分类与评估 入侵检测产品概况 入侵检测产品
缘起
传统网络安全技术存在着与生俱来的缺陷
– 程序的错误 – 配置的错误
需求的变化决定网络不断发展
– 产品在设计阶段可能是基于一项较为安全的技术 – 但当产品成型后,网络的发展已经使得该技术不再安 全
– 知识的智能推理 – 神经网络理论 – 模式匹配 – 异常统计
工作机理
技术分析的依据
– 历史知识 – 现有的行为状态
实时的监测是保证入侵检测具有实时性的 主要手段 根据实时监测的记录不断修改历史知识保 证了入侵检测具有自适应性
IDS引擎分类 IDS引擎分类
误用检测
– 首先根据已知的入侵,定义由独立的事件、事 件的序列、事件临界值等通用规则组成的入侵 模式 – 然后观察能与入侵模式相匹配的事件,达到发 现入侵的目的 – 入侵模式需要定期更新
– 放置在比较重要的网段内 – 不停地监视网段中的各种数据包。对每一个数 据包或可疑的数据包进行特征分析
IDS实现方式— IDS实现方式—HIDS
优点
– 能够获得更详尽的信息 – 误报率低。 – 对分析“可能的攻击行为” 对分析“可能的攻击行为” 非常有用 – 适用于不需要广泛的入侵 检测、或者传感器与控制 台之间的通信带宽不足的 环境 – 风险较少
第十一章 入侵检测
基于主机的IDS
基于主机的IDS。基于主机的IDS一般监视 Windows NT上的系统、事件、安全日志以及 UNIX环境中的syslog文件。一旦发现这些文件发 生任何变化,IDS将比较新的日志记录与攻击签 名以发现它们是否匹配。如果匹配的话,检测系 统就向管理员发出入侵报警并且发出采取相应的 行动。 基于主机的IDS的主要优势有:(1)非常适用于加 密和交换环境。(2)近实时的检测和应答。(3)不需 要额外的硬件。
网络入侵检测系统的优点
网络入侵检测系统能够检测那些来自网络的攻击,它能够 检测到超过授权的非法访问。 一个网络入侵检测系统不需要改变服务器等主机的配置。 由于它不会在业务系统的主机中安装额外的软件,从而不 会影响这些机器的CPU、I/O与磁盘等资源的使用,不会 影响业务系统的性能。 由于网络入侵检测系统不像路由 器、防火墙等关键设备方式工作,它不会成为系统中的关 键路径。网络入侵检测系统发生故障不会影响正常业务的 运行。布署一个网络入侵检测系统的风险比主机入侵检测 系统的风险少得多。 网络入侵检测系统近年内有向专门的设备发展的趋势,安 装这样的一个网络入侵检测系统非常方便,只需将定制的 设备接上电源,做很少一些配置,将其连到网络上即可。
协议分析技术的优势
解析命令字符串 探测碎片攻击和协议确认 降低误报率 真正高性能
常用检测方法
统计检测 专家系统
入侵检测技术发展方向
入侵技术的发展与演化主要反映在下列几 个方面 :
入侵或攻击的综合化与复杂化 入侵主体对象的间接化,即实施入侵与攻击的
主体的隐蔽化。 入侵或攻击的规模扩大 入侵或攻击技术的分布化
入侵检测执行的任务
最新第11章入侵检测系统ppt课件
第11章入侵检测系统
第11章 入侵检测系统
11.1 引 言
计算机网络的迅猛发展给当今社会所带来的各种便 利是毋庸置疑的,它把人们的工作、生活、学习紧密 地联系在了一起,这使得人们对计算机网络的依赖性 不断增强,所以我们必须确保计算机网络的安全。
第11章 入侵检测系统
第11章 入侵检测系统
第11章 入侵检测系统
早期的入侵检测系统大多都是基于主机的IDS,作 为入侵检测系统的一大重要类型,它具有着明显的优点:
第11章 入ห้องสมุดไป่ตู้检测系统
1) 能够确定攻击是否成功 由于基于主机的IDS使用包含有确实已经发生的事 件信息的日志文件作为数据源,因而比基于网络的IDS 更能准确地判断出攻击是否成功。在这一点上,基于 主机的IDS可谓是基于网络的IDS的完美补充。
第11章 入侵检测系统
由于审计数据是收集系统用户行为信息的主要方法, 因而必须保证系统的审计数据不被修改。但是,当系统 遭到攻击时,这些数据很可能被修改。这就要求基于主 机的入侵检测系统必须满足一个重要的实时性条件:检 测系统必须在攻击者完全控制系统并更改审计数据之前 完成对审计数据的分析、产生报警并采取相应的措施。
第11章 入侵检测系统
检测结果即检测模型输出的结果,由于单一的检测模 型的检测率不理想,往往需要利用多个检测模型进行 并行分析处理,然后对这些检测结果进行数据融合处 理,以达到满意的效果。安全策略是指根据安全需求 设置的策略。响应处理主要是指综合安全策略和检测 结果所作出的响应过程,包括产生检测报告、通知管 理员、断开网络连接或更改防火墙的配置等积极的防 御措施。
第11章 入侵检测系统
3) 近实时的检测和响应 基于主机的IDS不能提供真正的实时响应,但是由 于现有的基于主机的IDS大多采取的是在日志文件形成 的同时获取审计数据信息,因而就为近实时的检测和 响应提供了可能。
第11章 入侵检测系统
11.1 引 言
计算机网络的迅猛发展给当今社会所带来的各种便 利是毋庸置疑的,它把人们的工作、生活、学习紧密 地联系在了一起,这使得人们对计算机网络的依赖性 不断增强,所以我们必须确保计算机网络的安全。
第11章 入侵检测系统
第11章 入侵检测系统
第11章 入侵检测系统
早期的入侵检测系统大多都是基于主机的IDS,作 为入侵检测系统的一大重要类型,它具有着明显的优点:
第11章 入ห้องสมุดไป่ตู้检测系统
1) 能够确定攻击是否成功 由于基于主机的IDS使用包含有确实已经发生的事 件信息的日志文件作为数据源,因而比基于网络的IDS 更能准确地判断出攻击是否成功。在这一点上,基于 主机的IDS可谓是基于网络的IDS的完美补充。
第11章 入侵检测系统
由于审计数据是收集系统用户行为信息的主要方法, 因而必须保证系统的审计数据不被修改。但是,当系统 遭到攻击时,这些数据很可能被修改。这就要求基于主 机的入侵检测系统必须满足一个重要的实时性条件:检 测系统必须在攻击者完全控制系统并更改审计数据之前 完成对审计数据的分析、产生报警并采取相应的措施。
第11章 入侵检测系统
检测结果即检测模型输出的结果,由于单一的检测模 型的检测率不理想,往往需要利用多个检测模型进行 并行分析处理,然后对这些检测结果进行数据融合处 理,以达到满意的效果。安全策略是指根据安全需求 设置的策略。响应处理主要是指综合安全策略和检测 结果所作出的响应过程,包括产生检测报告、通知管 理员、断开网络连接或更改防火墙的配置等积极的防 御措施。
第11章 入侵检测系统
3) 近实时的检测和响应 基于主机的IDS不能提供真正的实时响应,但是由 于现有的基于主机的IDS大多采取的是在日志文件形成 的同时获取审计数据信息,因而就为近实时的检测和 响应提供了可能。
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7
3. 一个成功的IDS应具有的功能 ●及时反映网络系统的任何变更; ●为网络安全策略的制订提供指南; ●管理简单、容易配置; ●入侵检测的规模能根据网络威胁、系统构造和 安全需求的改变而改变; ●记录事件和报警等。
8
11.1.2 入侵检测系统的需求特性 一个成功的IDS要满足以下要求: ⑴实时性要求; ⑵可扩展性要求; ⑶适应性要求; ⑷安全性与可用性要求; ⑸有效性要求。
6
2. IDS的主要职责和任务 IDS系统主要有两大职责:实时检测和安全审计。 ●监视、分析用户及系统活动; ●系统构造和弱点的审计; ●识别反映已知进攻的活动模式并报警; ●异常行为模式的统计分析; ●评估重要系统和数据文件的完整性; ●对操作系统的审计追踪管理,并识别用户违反 安全策略的行为。
10
异常检测系统的效率取决于用户轮廓的完备性和 监控的频率。
优点:因为不需要对每种入侵行为进行定义,因 此能检测未知的入侵。
缺点:虽然系统能针对用户用户行为的改变进行 自我调整和优化,但随着检测模型的逐步精确,异常 检测会消耗更多的系统资源。
11
2. 误用检测 进行误用检测的前提是所有的入侵行为都有可被 检测到的特征。误用检测系统提供攻击特征库,当监 测的用户或系统行为与库中的记录相匹配时,系统就 认为这种行为是入侵。 如果正常的用户行为与入侵特征相匹配错报; 如果没有特征能与某种新的攻击行为匹配漏报。
11.1 入侵检测原理与技术
入侵检测(Intrusion Detection) 是对入侵行为的 发觉,入侵检测系统(IDS)从计算机网络或计算机系 统的关键点收集信息并进行分析,从中发现网络或 系统中是否有违反安全策略的行为和被攻击的迹象。 并在不影响网络性能的情况下,对网络进行检测, 提供对内部攻击、外部攻击和误操作的实时保护。
此模式降低错报率,但增加了漏报率,因为攻击 特征的细微变化,就会使错误检测无能为力。
12
3. 特征检测 特征检测关注的是系统本身的行为,它定义系统 行为轮廓,并将系统行为与轮廓进行比较,对未指明 为正常行为的事件定义为入侵。
此方法的错报与行为特征定义的准确度有关,当 系统不能囊括所有的状态时就会产生漏报。
9
11.1.3 入侵检测原理 IDS是根据入侵行为与正常访问行为的差别来识别 入侵行为,根据识别采用的原理,可以分为异常检测、 误用检测和特征检测三种。 1. 异常检测 异常检测系统通过运行在系统或应用层的监控程 序监控用户的行为,将当前主体的活动情况和用户轮 廓进行比较。 用户轮廓通常定义为各种行为参数及其阈值的集 合,用于描述正常行为范围。当用户活动与正常行为 有重大偏离时即被认为是入侵。
大型网络环境中跟踪网络用户和文件; 从发生在系统不同的抽象层次的事件中发现相关数
据或事件。
5
1. 相关术语 虚警(错报):检测系统在检测时,把系统的正常 行为判为入侵行为被称为虚警。相应地,所出现虚 警的概率称为系统的虚警率。 漏警(漏报):检测系统在检测时,没有能够正确 的识别某些入侵行为,因而没有报警现象被称为漏 警。相应地,所出现的漏警的概率被称为系统的漏 警率。
优点:可以通过提高行为特征定义的准确度和覆 盖范围,大幅度降低漏报和错报率。
缺点:定义安全策略必须严格,而这需要经验和 技巧;耗时长。
入侵检测系统通常同时采用两种以上的方法实现。
13
11.1.4 入侵检测分类 按控制方式分类
⑴集中式控制 ⑵与网络管理工具相结合 按具体的检测方法分类 ⑴基于行为的检测(异常检测) ⑵基于知识的检测(误用检测) 按检测系统所分析的原始数据分类 ⑴来自系统日志的检测 ⑵来自网络数据包的检测
入侵检测技术是动态安全技术的最核心技术之 一,它是防火墙的合理补充,被认为是防火墙的第 二道安全防线。
3
入侵检测技术能够: ●帮助系统主动对付网络攻击; ●扩展了系统管理员的安全管理能力(包括安全 审计、安全监视和检测、入侵识别、入侵取证和响 应); ●提高了信息安全基础结构的完整性。
4
11.1.1 入侵检测的起源 1980年 Anderson提出入侵检测的概念; 1987年Denning提出了一种通用的入侵检测模型, 它独立于任何特殊的系统、应用环境、系统脆弱性和 入侵种类,并由IDES原形系统实现。 1990年后,分布式入侵检测系统(DIDS)产生,它 试图将基于主机和网络监视的方法集成在一起,解决 了两大难题:
14
按系统运行特性分类 ⑴实时检测 ⑵周期性检测
按检测到入侵行为后是否采取相应措施分类 ⑴主动型 ⑵被动型
按系统的工作方式分类 ⑴离线检测 ⑵在线检测
按检测的监控位置(对象)分类 ⑴基于主机的入侵检测系统(HIDS) ⑵基于网络的入侵检测系统(NIDS) ⑶分布式的入侵检测系统
15
1. 基于主机的入侵检测系统(HIDS) HIDS为早期的入侵检测系统结构,如图11-1所 示。其检测目标主要是主机系统和系统本地用户。 检测原理:在每一个需要保护的主机(端系统) 上运行代理程序,根据主机的审计数据和系统的日志 发现可疑事件,从而实现监控。如图11-2所示。
教学目标
本章重点介绍入侵检测的概念、分类、原理; 入侵检测的响应机制;入侵检测的标准化工作。
⑴ 理解入侵检测的概念、分类、原理; ⑵ 理解入侵响应机制; ⑶ 理解漏洞扫描技术; ⑷审计追踪技术。
教学内容
● 11.1 入侵检测原理与技术 ● 11.2 入侵检测的数学模型 ● 11.3 入侵检测的特征分析和协议分析 ● 11.4 入侵检测响应机制 ● 11.5 绕过入侵检测的若干技术 ● 11.6 入侵检测标准化工作 ● 补充知识
HIDS依赖于审计数据或系统日志的准确性和完 整性,以及安全事件的定义。
16
HIDS的优势: ⑴能够精确地判断入侵行为,并及时响应; ⑵监控主机上特定用户活动、系统运行情况; ⑶能够检测到NIDS无法检测的攻击; ⑷适用加密和交换的环境; ⑸检测和响应接近实时性; ⑹没有带宽的限制、不需要额外的硬件设备。
3. 一个成功的IDS应具有的功能 ●及时反映网络系统的任何变更; ●为网络安全策略的制订提供指南; ●管理简单、容易配置; ●入侵检测的规模能根据网络威胁、系统构造和 安全需求的改变而改变; ●记录事件和报警等。
8
11.1.2 入侵检测系统的需求特性 一个成功的IDS要满足以下要求: ⑴实时性要求; ⑵可扩展性要求; ⑶适应性要求; ⑷安全性与可用性要求; ⑸有效性要求。
6
2. IDS的主要职责和任务 IDS系统主要有两大职责:实时检测和安全审计。 ●监视、分析用户及系统活动; ●系统构造和弱点的审计; ●识别反映已知进攻的活动模式并报警; ●异常行为模式的统计分析; ●评估重要系统和数据文件的完整性; ●对操作系统的审计追踪管理,并识别用户违反 安全策略的行为。
10
异常检测系统的效率取决于用户轮廓的完备性和 监控的频率。
优点:因为不需要对每种入侵行为进行定义,因 此能检测未知的入侵。
缺点:虽然系统能针对用户用户行为的改变进行 自我调整和优化,但随着检测模型的逐步精确,异常 检测会消耗更多的系统资源。
11
2. 误用检测 进行误用检测的前提是所有的入侵行为都有可被 检测到的特征。误用检测系统提供攻击特征库,当监 测的用户或系统行为与库中的记录相匹配时,系统就 认为这种行为是入侵。 如果正常的用户行为与入侵特征相匹配错报; 如果没有特征能与某种新的攻击行为匹配漏报。
11.1 入侵检测原理与技术
入侵检测(Intrusion Detection) 是对入侵行为的 发觉,入侵检测系统(IDS)从计算机网络或计算机系 统的关键点收集信息并进行分析,从中发现网络或 系统中是否有违反安全策略的行为和被攻击的迹象。 并在不影响网络性能的情况下,对网络进行检测, 提供对内部攻击、外部攻击和误操作的实时保护。
此模式降低错报率,但增加了漏报率,因为攻击 特征的细微变化,就会使错误检测无能为力。
12
3. 特征检测 特征检测关注的是系统本身的行为,它定义系统 行为轮廓,并将系统行为与轮廓进行比较,对未指明 为正常行为的事件定义为入侵。
此方法的错报与行为特征定义的准确度有关,当 系统不能囊括所有的状态时就会产生漏报。
9
11.1.3 入侵检测原理 IDS是根据入侵行为与正常访问行为的差别来识别 入侵行为,根据识别采用的原理,可以分为异常检测、 误用检测和特征检测三种。 1. 异常检测 异常检测系统通过运行在系统或应用层的监控程 序监控用户的行为,将当前主体的活动情况和用户轮 廓进行比较。 用户轮廓通常定义为各种行为参数及其阈值的集 合,用于描述正常行为范围。当用户活动与正常行为 有重大偏离时即被认为是入侵。
大型网络环境中跟踪网络用户和文件; 从发生在系统不同的抽象层次的事件中发现相关数
据或事件。
5
1. 相关术语 虚警(错报):检测系统在检测时,把系统的正常 行为判为入侵行为被称为虚警。相应地,所出现虚 警的概率称为系统的虚警率。 漏警(漏报):检测系统在检测时,没有能够正确 的识别某些入侵行为,因而没有报警现象被称为漏 警。相应地,所出现的漏警的概率被称为系统的漏 警率。
优点:可以通过提高行为特征定义的准确度和覆 盖范围,大幅度降低漏报和错报率。
缺点:定义安全策略必须严格,而这需要经验和 技巧;耗时长。
入侵检测系统通常同时采用两种以上的方法实现。
13
11.1.4 入侵检测分类 按控制方式分类
⑴集中式控制 ⑵与网络管理工具相结合 按具体的检测方法分类 ⑴基于行为的检测(异常检测) ⑵基于知识的检测(误用检测) 按检测系统所分析的原始数据分类 ⑴来自系统日志的检测 ⑵来自网络数据包的检测
入侵检测技术是动态安全技术的最核心技术之 一,它是防火墙的合理补充,被认为是防火墙的第 二道安全防线。
3
入侵检测技术能够: ●帮助系统主动对付网络攻击; ●扩展了系统管理员的安全管理能力(包括安全 审计、安全监视和检测、入侵识别、入侵取证和响 应); ●提高了信息安全基础结构的完整性。
4
11.1.1 入侵检测的起源 1980年 Anderson提出入侵检测的概念; 1987年Denning提出了一种通用的入侵检测模型, 它独立于任何特殊的系统、应用环境、系统脆弱性和 入侵种类,并由IDES原形系统实现。 1990年后,分布式入侵检测系统(DIDS)产生,它 试图将基于主机和网络监视的方法集成在一起,解决 了两大难题:
14
按系统运行特性分类 ⑴实时检测 ⑵周期性检测
按检测到入侵行为后是否采取相应措施分类 ⑴主动型 ⑵被动型
按系统的工作方式分类 ⑴离线检测 ⑵在线检测
按检测的监控位置(对象)分类 ⑴基于主机的入侵检测系统(HIDS) ⑵基于网络的入侵检测系统(NIDS) ⑶分布式的入侵检测系统
15
1. 基于主机的入侵检测系统(HIDS) HIDS为早期的入侵检测系统结构,如图11-1所 示。其检测目标主要是主机系统和系统本地用户。 检测原理:在每一个需要保护的主机(端系统) 上运行代理程序,根据主机的审计数据和系统的日志 发现可疑事件,从而实现监控。如图11-2所示。
教学目标
本章重点介绍入侵检测的概念、分类、原理; 入侵检测的响应机制;入侵检测的标准化工作。
⑴ 理解入侵检测的概念、分类、原理; ⑵ 理解入侵响应机制; ⑶ 理解漏洞扫描技术; ⑷审计追踪技术。
教学内容
● 11.1 入侵检测原理与技术 ● 11.2 入侵检测的数学模型 ● 11.3 入侵检测的特征分析和协议分析 ● 11.4 入侵检测响应机制 ● 11.5 绕过入侵检测的若干技术 ● 11.6 入侵检测标准化工作 ● 补充知识
HIDS依赖于审计数据或系统日志的准确性和完 整性,以及安全事件的定义。
16
HIDS的优势: ⑴能够精确地判断入侵行为,并及时响应; ⑵监控主机上特定用户活动、系统运行情况; ⑶能够检测到NIDS无法检测的攻击; ⑷适用加密和交换的环境; ⑸检测和响应接近实时性; ⑹没有带宽的限制、不需要额外的硬件设备。