入侵检测与安全审计课件
合集下载
了解计算机网络中的安全审计和入侵检测
了解计算机网络中的安全审计和入侵检测计算机网络在当今社会中发挥着重要的作用,它连接了世界各地的计算机和设备,使信息的传递变得迅速而方便。
然而,随着网络的普及和应用,网络安全问题也日益突出,因此,安全审计和入侵检测成为了保护计算机网络的重要手段和技术。
安全审计是指对计算机网络中进行全面的检查和记录,以识别潜在的安全隐患和漏洞。
通过安全审计,可以发现网络中可能存在的安全问题,及时采取相应的措施进行修复和防范。
安全审计常常包括网络日志的分析、网络流量的监控和用户行为的跟踪等。
通过这些手段,可以发现网络中的异常活动和不法行为,帮助网络管理员做出相应的应对措施。
入侵检测是指对计算机网络中进行实时的监测和检测,以发现任何未经授权的访问和活动。
入侵检测系统可以通过监控网络流量和分析网络日志来识别潜在的入侵行为,并及时向网络管理员发出警报。
入侵检测系统可以被部署在网络的边缘和内部,它可以以主动或被动的方式进行检测,以便发现和阻止入侵者对网络的非法访问和攻击。
在网络安全领域,安全审计和入侵检测经常被用作互补的技术,以实现对网络的全面保护。
安全审计可以发现网络中的潜在问题和漏洞,而入侵检测系统可以实时监控和检测网络中的异常活动和入侵行为。
通过结合使用这两项技术,可以提高网络的安全性,并及时应对威胁和攻击。
在进行安全审计和入侵检测时,需要使用一些专门的工具和技术。
网络日志分析工具可以帮助管理员对网络日志进行分析和统计,以发现异常的访问和活动。
网络流量监控工具可以帮助管理员实时地监控和检测网络中的流量,以发现可能的攻击和入侵行为。
用户行为跟踪工具可以帮助管理员追踪和监控用户的行为,以发现可能的异常和非法活动。
除了工具和技术外,安全审计和入侵检测还需要有专门的人员进行操作和管理。
专门的网络安全团队可以负责进行安全审计和入侵检测工作,并对发现的问题和威胁进行分析和处理。
网络管理员也需要具备一定的安全审计和入侵检测的知识和技能,以能够及时应对网络安全问题。
(ppt版)网络安全入侵检测培训课程
传统平安措施不能满足这一点
第五页,共四十八页。
入侵检测 系统概述 (jiǎn cè) 第六页,共四十八页。
入侵(rùqīn)检测系统的定义
入侵〔Intrusion〕
企图进入或滥用计算机或网络系统的行为
可能来自于网络内部的合法用户 入侵检测〔Intrusion Detection〕
对系统的运行状态进行监视,发现(fāxiàn)各种攻击企图、攻击 行为或者攻击结果,以保证系统资源的机密性、完整性和可 用性
利用snmp了解网络结构
搜集网络管理信息 网络管理软件也成为黑客入侵的一直辅助手段
第二十六页,共四十八页。
自身 隐藏 (zìshēn)
典型的黑客使用如下技术来隐藏IP地址 通过telnet在以前(yǐqián)攻克的Unix主机上
跳转 通过终端管理器在windows主机上跳转 配置代理效劳器 更高级的黑客,精通利用 交换侵入主机
入侵检测(jiǎn cè)引擎工作流程 - 2
监听局部 网络接口混杂模式
根据设置过滤一些数据包
协议分析
IP,IPX,PPP,......
数据分析
根据相应的协议调用(diàoyòng)相应的数据分析函数
一个协议数据有多个数据分析函数处理 数据分析的方法是入侵检测系统的核心
引擎管理
数据的完整、可用 数据保密性
信息的加密存储和传输
第二页,共四十八页。
平安的分层结构和主要(zhǔyào)技术
数据平安层 应用平安层 用户平安层
加密
访问控制
授权
用户/组管理
单机登录
身份认证
系统平安层 反病毒
风险评估
入侵检测
审计分析
网络(wǎngluò) 平安层
第五页,共四十八页。
入侵检测 系统概述 (jiǎn cè) 第六页,共四十八页。
入侵(rùqīn)检测系统的定义
入侵〔Intrusion〕
企图进入或滥用计算机或网络系统的行为
可能来自于网络内部的合法用户 入侵检测〔Intrusion Detection〕
对系统的运行状态进行监视,发现(fāxiàn)各种攻击企图、攻击 行为或者攻击结果,以保证系统资源的机密性、完整性和可 用性
利用snmp了解网络结构
搜集网络管理信息 网络管理软件也成为黑客入侵的一直辅助手段
第二十六页,共四十八页。
自身 隐藏 (zìshēn)
典型的黑客使用如下技术来隐藏IP地址 通过telnet在以前(yǐqián)攻克的Unix主机上
跳转 通过终端管理器在windows主机上跳转 配置代理效劳器 更高级的黑客,精通利用 交换侵入主机
入侵检测(jiǎn cè)引擎工作流程 - 2
监听局部 网络接口混杂模式
根据设置过滤一些数据包
协议分析
IP,IPX,PPP,......
数据分析
根据相应的协议调用(diàoyòng)相应的数据分析函数
一个协议数据有多个数据分析函数处理 数据分析的方法是入侵检测系统的核心
引擎管理
数据的完整、可用 数据保密性
信息的加密存储和传输
第二页,共四十八页。
平安的分层结构和主要(zhǔyào)技术
数据平安层 应用平安层 用户平安层
加密
访问控制
授权
用户/组管理
单机登录
身份认证
系统平安层 反病毒
风险评估
入侵检测
审计分析
网络(wǎngluò) 平安层
第六章入侵检测与安全审计系统46页PPT
基于网路的IDS不依赖于被保护主机的操作系统
2024/3/29
25
缺点
对加密通信无能为力
对高速网络无能为力 不能预测命令的执行后果
2024/3/29
26
集成入侵检测
概念:综合前几种技术的入侵检测方法 优点
具有每一种检测技术的优点,并试图弥补各自的不足 趋势分析 稳定性好 节约成本
2024/3/29
23
优点:
监视所有系统行为 有些攻击在网络的数据流中很难发现,或根本没有通过
网络在本地进行,此时基于网络的IDS系统将无能为力 适应交换和加密 不要求额外的硬件
缺点:
看不到网络活动的状况
运行审计功能要占用额外系统资源
主机监视感应器对不同的平台不能通用 管理和实施比较复杂
6.1 入侵检测系统 6.2 安全审计系统
2024/3/29
1
6.1 入侵检测系统
6.1.1 入侵检测系统的概念
入侵(Intrusion)是指任何企图危及资源的完整性、机密性 和可用性的活动。
入侵检测顾名思义,是指通过对计算机网络或计算机系 统中的若干关键点收集信息并对其进行分析,从中发现 网络或系统中是否有违反安全策略的行为和被攻击的迹 象。
不能够在没有用户参与的情况下阻止攻击行为的发 生
不能克服网络协议方面的缺陷 不能克服设计原理方面的缺陷 响应不够快时,签名数据库更新不够快。
2024/3/29
29
6.1.7 入侵检测体系结构
集中式结构
IDS发展初期,大都采用单一的体系结构,即所 有的工作包括数据的采集、分析都由单一主机上 的单一程序来完成。
入侵检测系统——Intrusion Detection System,简称IDS, 入侵检测的软件与硬件的组合。
2024/3/29
25
缺点
对加密通信无能为力
对高速网络无能为力 不能预测命令的执行后果
2024/3/29
26
集成入侵检测
概念:综合前几种技术的入侵检测方法 优点
具有每一种检测技术的优点,并试图弥补各自的不足 趋势分析 稳定性好 节约成本
2024/3/29
23
优点:
监视所有系统行为 有些攻击在网络的数据流中很难发现,或根本没有通过
网络在本地进行,此时基于网络的IDS系统将无能为力 适应交换和加密 不要求额外的硬件
缺点:
看不到网络活动的状况
运行审计功能要占用额外系统资源
主机监视感应器对不同的平台不能通用 管理和实施比较复杂
6.1 入侵检测系统 6.2 安全审计系统
2024/3/29
1
6.1 入侵检测系统
6.1.1 入侵检测系统的概念
入侵(Intrusion)是指任何企图危及资源的完整性、机密性 和可用性的活动。
入侵检测顾名思义,是指通过对计算机网络或计算机系 统中的若干关键点收集信息并对其进行分析,从中发现 网络或系统中是否有违反安全策略的行为和被攻击的迹 象。
不能够在没有用户参与的情况下阻止攻击行为的发 生
不能克服网络协议方面的缺陷 不能克服设计原理方面的缺陷 响应不够快时,签名数据库更新不够快。
2024/3/29
29
6.1.7 入侵检测体系结构
集中式结构
IDS发展初期,大都采用单一的体系结构,即所 有的工作包括数据的采集、分析都由单一主机上 的单一程序来完成。
入侵检测系统——Intrusion Detection System,简称IDS, 入侵检测的软件与硬件的组合。
《网络入侵检测技术》PPT课件
➢进行入侵检测的软件与硬件的组合便是入侵检测系统
入侵检测产品的起源
➢审计技术:产生、记录并检查按时间顺序排列的系统事件
记录的过程
➢审计的目标:
–确定和保持系统活动中每个人的责任 –重建事件
–评估损失 –监测系统的问题区 –提供有效的灾难恢复
–阻止系统的不正当使用
为什么需要安装入侵检测系统
网络中已经安装了防火墙系统,为什么还 需要安装入侵检测系统?
传统的操作系统加固技术和防火墙隔离技 术等都是静态安全防御技术,它们主要是 基于各种形式的静态禁止策略,对网络环 境下日新月异的攻击手段缺乏主动的反应。
入侵检测是最近发展起来的一种动态的监 控、预防或抵御系统入侵行为的安全机制, 主要通过实时监控网络和系统的状态、行 为以及系统的使用情况,来检测系统用户 的越权使用以及系统外部的入侵者利用系 统的安全缺陷对系统进行入侵的企图。
基于网络的入侵检测系统 (NIDS) 在计算机网络中的关 键点被动地监听网络上传输的原始流量,对获取的网络 数据包进行分析处理,从中获取有用的信息,以识别、 判定攻击事件。
HIDS:基于主机的入侵检测系统
基于主机的入侵检测系统 (HIDS) 一般主要使用操作系 统的审计日志作为主要数据源输入,试图从日志判断滥 用和入侵事件的线索。
什么导致黑客入侵
服务(service)导致黑客入侵
– 没有开启任何服务的主机绝对是安全的主机
信息安全的隐患存在于信息的共享和传递 过程中
小结
网络入侵概念的广泛性 服务导致黑客的入侵 网络安全的核心就是信息的安全
第二节:攻击的一般步骤
恶意用户为什么总是能成功入侵系统?前提 条件就是系统的安全问题有漏洞,没有百 分百的安全。任何系统都会有这样那样的 弱点,即时使用了最新的技术,但由于系 统的用户的错误操作也会使系统产生漏洞。
入侵检测产品的起源
➢审计技术:产生、记录并检查按时间顺序排列的系统事件
记录的过程
➢审计的目标:
–确定和保持系统活动中每个人的责任 –重建事件
–评估损失 –监测系统的问题区 –提供有效的灾难恢复
–阻止系统的不正当使用
为什么需要安装入侵检测系统
网络中已经安装了防火墙系统,为什么还 需要安装入侵检测系统?
传统的操作系统加固技术和防火墙隔离技 术等都是静态安全防御技术,它们主要是 基于各种形式的静态禁止策略,对网络环 境下日新月异的攻击手段缺乏主动的反应。
入侵检测是最近发展起来的一种动态的监 控、预防或抵御系统入侵行为的安全机制, 主要通过实时监控网络和系统的状态、行 为以及系统的使用情况,来检测系统用户 的越权使用以及系统外部的入侵者利用系 统的安全缺陷对系统进行入侵的企图。
基于网络的入侵检测系统 (NIDS) 在计算机网络中的关 键点被动地监听网络上传输的原始流量,对获取的网络 数据包进行分析处理,从中获取有用的信息,以识别、 判定攻击事件。
HIDS:基于主机的入侵检测系统
基于主机的入侵检测系统 (HIDS) 一般主要使用操作系 统的审计日志作为主要数据源输入,试图从日志判断滥 用和入侵事件的线索。
什么导致黑客入侵
服务(service)导致黑客入侵
– 没有开启任何服务的主机绝对是安全的主机
信息安全的隐患存在于信息的共享和传递 过程中
小结
网络入侵概念的广泛性 服务导致黑客的入侵 网络安全的核心就是信息的安全
第二节:攻击的一般步骤
恶意用户为什么总是能成功入侵系统?前提 条件就是系统的安全问题有漏洞,没有百 分百的安全。任何系统都会有这样那样的 弱点,即时使用了最新的技术,但由于系 统的用户的错误操作也会使系统产生漏洞。
入侵检测系统ppt课件
网络入侵的特点
没有地域和时间的限制; 通过网络的攻击往往混杂在大量正常的网络活动之间,
隐蔽性强; 入侵手段更加隐蔽和复杂。
3
为什么需要IDS?
单一防护产品的弱点
防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁
4
为什么需要IDS?
关于防火墙
网络边界的设备,只能抵挡外部來的入侵行为 自身存在弱点,也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护,合法的使用者仍会非法地使用
入侵检测系统IDS
1
黑客攻击日益猖獗,防范问题日趋 严峻
政府、军事、邮电和金融网络是黑客攻击的主要目 标。即便已经拥有高性能防火墙等安全产品,依然 抵挡不住这些黑客对网络和系统的破坏。据统计, 几乎每20秒全球就有一起黑客事件发生,仅美国每 年所造成的经济损失就超过100亿美元。
2
网络入侵的特点
包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效
20
主动响应 被动响应
响应动作
21
入侵检测性能关键参数
误报(false positive):如果系统错误地将异常活动定 义为入侵
漏报(false negative):如果系统未能检测出真正的 入侵行为
12
入侵检测的工作过程
信息收集
检测引擎从信息源收集系统、网络、状态和行为信息。
信息分析
从信息中查找和分析表征入侵的异常和可疑信息。
告警与响应
根据入侵性质和类型,做出相应的告警和响应。
13
信息收集
入侵检测的第一步是信息收集,收集内容包括系统 、网络、数据及用户活动的状态和行为
没有地域和时间的限制; 通过网络的攻击往往混杂在大量正常的网络活动之间,
隐蔽性强; 入侵手段更加隐蔽和复杂。
3
为什么需要IDS?
单一防护产品的弱点
防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁
4
为什么需要IDS?
关于防火墙
网络边界的设备,只能抵挡外部來的入侵行为 自身存在弱点,也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护,合法的使用者仍会非法地使用
入侵检测系统IDS
1
黑客攻击日益猖獗,防范问题日趋 严峻
政府、军事、邮电和金融网络是黑客攻击的主要目 标。即便已经拥有高性能防火墙等安全产品,依然 抵挡不住这些黑客对网络和系统的破坏。据统计, 几乎每20秒全球就有一起黑客事件发生,仅美国每 年所造成的经济损失就超过100亿美元。
2
网络入侵的特点
包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效
20
主动响应 被动响应
响应动作
21
入侵检测性能关键参数
误报(false positive):如果系统错误地将异常活动定 义为入侵
漏报(false negative):如果系统未能检测出真正的 入侵行为
12
入侵检测的工作过程
信息收集
检测引擎从信息源收集系统、网络、状态和行为信息。
信息分析
从信息中查找和分析表征入侵的异常和可疑信息。
告警与响应
根据入侵性质和类型,做出相应的告警和响应。
13
信息收集
入侵检测的第一步是信息收集,收集内容包括系统 、网络、数据及用户活动的状态和行为
入侵检测系统基本知识ppt课件
三、入侵检测系统构件
1、IDS框架介绍 2、入侵检测系统构件 3、事件产生器 4、事件分析器 5、响应单元 6、事件数据库 7、管理器
1、IDS框架介绍(1)
理论界:CIDF
Common Intrusion Detection Framework
由DARPA于1997年3月开始着手制定
为了解决不同入侵检测系统
1、异常检测技术-概念
2、异常检测技术的优势
入侵检测技术分为滥用检测和异常检测两 种。滥用检测技术的局限性: 不能检测未知攻击和新的攻击,特征库需要不 断升级更新 检测系统知识库中的入侵攻击知识与系统的运 行环境有关 对于系统内部攻击者的越权行为,由于他们没 有利用系统的缺陷,因而很难检测出来
2、异常检测技术的优势
硬件平台 操作系统 系统中运行的应用程序
4、完整性分析
通过检查系统的当前系统配置,诸如系统文件 的内容或者系统表,来检查系统是否已经或者 可能会遭到破坏。
其优点是不管模式匹配方法和统计分析方法能 否发现入侵,只要是成功的攻击导致了文件或 其它对象的任何改变,它都能够发现。
缺点是一般以批处理方式实现,不用于实时响 应。
防火墙不能保证绝对的安全
网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 防火墙是锁,入侵检测系统是监视器
5、IDS的优点
提高信息安全构造的其他部分的完整性 提高系统的监控能力 从入口点到出口点跟踪用户的活动 识别和汇报数据文件的变化 侦测系统配置错误并纠正 识别特殊攻击类型,并向管理人员发出警报
基于网络的入侵检测系统
视野更宽 、隐蔽性好 、攻击者不易转移证据
3、根据检测技术进行分类
异常入侵检测
入侵检测与安全审计系统(ppt 46页)
正误判——将一个合法操作判断为异常行为。
后果:导致用户不理会IDS的报警,使IDS形同虚设。
负误判——将一个攻击动作判断为非攻击行为, 并允许其通过检测。
后果:背离了安全防护的宗旨,IDS系统成为例行公事。
失控误判——攻击者修改了IDS系统的操作,使它 总出现负误判的情况。
后果:不易察觉,长此以往,IDS将不会报警。
事件——IDS需要分析的数据,可以是网络中的数据包,也可以是从 系统日志等其他途径得到的信息。
事件产生器:从整个计算环境中获得事 件,并向系统的其他部分提供此事件。 事件分析器:分析得到的数据,并产生 分析结果。 响应单元:对分析结果作出反应的功能 单元,它可以作出切断连接、改变文件 属性 等强烈反应,或是简单的报警。 事件数据库:存放各种中间和最终数据 的地方的统称,既可以是复杂的数据库, 也可以是简单的文本文件。
28.12.2019
电子科技大学成都学院
22
主要类型
应用软件入侵检测
概念:在应用级收集信息 优点:控制性好 缺点:
需要支持的应用软件数量多 只能保护一个组件
28.12.2019
电子科技大学成都学院
23
基于主机的入侵检测
概念
在宿主系统审计日志文件中寻找攻击特征,然后 给出统计分析报告。
28.12.2019
电子科技大学成都学院
31
缺点:
可扩展性差。在单一主机上处理所有的信 息限制了受监视网络的规模;分布式的数 据收集常会引起网络数据过载问题。
难于重新配置和添加新功能。要使新的设 置和功能生效,IDS通常要重新启动。
监视所有系统行为 有些攻击在网络的数据流中很难发现,或根本没
后果:导致用户不理会IDS的报警,使IDS形同虚设。
负误判——将一个攻击动作判断为非攻击行为, 并允许其通过检测。
后果:背离了安全防护的宗旨,IDS系统成为例行公事。
失控误判——攻击者修改了IDS系统的操作,使它 总出现负误判的情况。
后果:不易察觉,长此以往,IDS将不会报警。
事件——IDS需要分析的数据,可以是网络中的数据包,也可以是从 系统日志等其他途径得到的信息。
事件产生器:从整个计算环境中获得事 件,并向系统的其他部分提供此事件。 事件分析器:分析得到的数据,并产生 分析结果。 响应单元:对分析结果作出反应的功能 单元,它可以作出切断连接、改变文件 属性 等强烈反应,或是简单的报警。 事件数据库:存放各种中间和最终数据 的地方的统称,既可以是复杂的数据库, 也可以是简单的文本文件。
28.12.2019
电子科技大学成都学院
22
主要类型
应用软件入侵检测
概念:在应用级收集信息 优点:控制性好 缺点:
需要支持的应用软件数量多 只能保护一个组件
28.12.2019
电子科技大学成都学院
23
基于主机的入侵检测
概念
在宿主系统审计日志文件中寻找攻击特征,然后 给出统计分析报告。
28.12.2019
电子科技大学成都学院
31
缺点:
可扩展性差。在单一主机上处理所有的信 息限制了受监视网络的规模;分布式的数 据收集常会引起网络数据过载问题。
难于重新配置和添加新功能。要使新的设 置和功能生效,IDS通常要重新启动。
监视所有系统行为 有些攻击在网络的数据流中很难发现,或根本没
网络安全攻击与入侵检测技术资料PPT课件
计算机网络安全概述 加密与认证技术 防火墙技术 网络安全与入侵检测技术 网络防病毒技术 网络管理技术 网络安全测评
第26页/共27页
感谢您的观看!
第27页/共27页
第13页/共27页
1.故障管理(Fault Management)
• 是对网络环境中的问题和故障进行定位的过程。 • 包括故障检测、隔离和纠正三方面,主要功能:
(1)维护并检查错误日志 (2)接受错误检测报告并做出响应 (3)跟踪、辨认故障 (4)执行诊断测试 (5)纠正错误,重新开始服务
第14页/共27页
第21页/共27页
网络安全测评标准
• 1.可信计算机标准评价准则 • 2.计算机信息安全保护等级划分准则
第22页/共27页
1.可信计算机标准评价准则
• 1983年美国国防部发表的《可信计算机标准评价准则》,简称TCSEC,又称桔皮书 • 把计算机安全等级分为4类7个级别。依据安全性从低到高的级别,依次为D、C1、C2、B1、B2、B3、A,
网络安全测评内容
• 网络安全测评的内容大致有以下几个方面: (1)安全策略测评 (2)网络物理安全测评 (3)网络体系的安全性测评 (4)安全服务测评 (5)病毒防护安全性测评 (6)其它测评,如审计的安全性测评、备份的安全性测评、紧急事件响应测评、安全组织和管理测评等
第25页/共27页
本讲小结
第10页/共27页
网络管理系统
• 网络管理涉及以下三个方面: (1)网络服务 (2)网络维护 (3)网络处理
• 网络管理系统 是一个软硬件结合以软件为主的分布式网络应用系统,可以帮助网络管理者维护和监视网络的运行,生 成网络信息日志,分析和研究网络。
第11页/共27页
第26页/共27页
感谢您的观看!
第27页/共27页
第13页/共27页
1.故障管理(Fault Management)
• 是对网络环境中的问题和故障进行定位的过程。 • 包括故障检测、隔离和纠正三方面,主要功能:
(1)维护并检查错误日志 (2)接受错误检测报告并做出响应 (3)跟踪、辨认故障 (4)执行诊断测试 (5)纠正错误,重新开始服务
第14页/共27页
第21页/共27页
网络安全测评标准
• 1.可信计算机标准评价准则 • 2.计算机信息安全保护等级划分准则
第22页/共27页
1.可信计算机标准评价准则
• 1983年美国国防部发表的《可信计算机标准评价准则》,简称TCSEC,又称桔皮书 • 把计算机安全等级分为4类7个级别。依据安全性从低到高的级别,依次为D、C1、C2、B1、B2、B3、A,
网络安全测评内容
• 网络安全测评的内容大致有以下几个方面: (1)安全策略测评 (2)网络物理安全测评 (3)网络体系的安全性测评 (4)安全服务测评 (5)病毒防护安全性测评 (6)其它测评,如审计的安全性测评、备份的安全性测评、紧急事件响应测评、安全组织和管理测评等
第25页/共27页
本讲小结
第10页/共27页
网络管理系统
• 网络管理涉及以下三个方面: (1)网络服务 (2)网络维护 (3)网络处理
• 网络管理系统 是一个软硬件结合以软件为主的分布式网络应用系统,可以帮助网络管理者维护和监视网络的运行,生 成网络信息日志,分析和研究网络。
第11页/共27页
安全防护和入侵检测- PowerPoint Presentation-PPT课件
5.1.2 Sniffer Pro的登录与界面
1.Sniffer Pro的登录(单块网卡时)
5.1.2 Sniffer Pro的登录与界面
1.Sniffer Pro的登录(多块网卡时)
5.1.2 Sniffer Pro的登录与界面
2.Sniffer Pro的界面
菜单栏 捕获栏 工具栏 状态栏
5.1.2 Sniffer Pro的登录与界面
5.2.3 入侵测系统的分类
1.按照检测类型划分
(1)异常检测模型(Anomaly detection)
(2)特征检测模型(Signature-based detection)
5.2.3 入侵检测系统的分类
2.按照检测对象划分
(1)基于主机的入侵检测产品(HIDS) 安装在被检测的主机上,对该主机的 网络进行实时连接以及系统审计日志进行 智能分析和判断。 (2)基于网络的入侵检测产品(NIDS) 放置在比较重要的网段内,不停地监 视网段中的各种数据包。
OSI模型的层次 应用层与表示层 应用层与表示层 会话层 数据链路层 网络层 数据链路层与物理层
入侵检测系统
5.2 入侵检测系统
5.2.1 入侵检测的概念与原理
入侵检测是指“通过对行为、安全日志或审计数据或其他 网络上可以获得的信息进行操作,检测到对系统的闯入或 闯入的企图。 入侵检测技术是用来发现内部攻击、外部攻击和误操作的 一种方法。是一种动态的网络安全技术,传统的操作系统 加固技术等都是静态安全防御技术。 入侵检测被认为是防火墙之后的第二道安全闸门,在不影 响网络性能的情况下能对网络进行检测,从而提供对内部 攻击、外部攻击和误操作的实时保护。
定义过滤器
捕获ARP帧的结果
5.1.4 Sniffer Pro的高级应用
入侵检测与安全审计课件
4.3 入侵检测系统构造
1.公共入侵检测框架模型 2.分布式入侵检测系统 3.基于智能代理技术的分布式入侵检测系统 4.自适应入侵检测系统 5.智能卡式入侵检测系统 6.典型的入侵检测系统
——Snort
一是作为领导干部一定要树立正确的 权力观 和科学 的发展 观,权 力必须 为职工 群众谋 利益, 绝不能 为个人 或少数 人谋取 私利
异常 行为
一是作为领导干部一定要树立正确的 权力观 和科学 的发展 观,权 力必须 为职工 群众谋 利益, 绝不能 为个人 或少数 人谋取 私利
4.1入侵检测系统概述
误用检测原理:根据已经知道的入侵方式来检测 入侵。
模式库
报警
攻击者
一是作为领导干部一定要树立正确的 权力观 和科学 的发展 观,权 力必须 为职工 群众谋 利益, 绝不能 为个人 或少数 人谋取 私利
一是作为领导干部一定要树立正确的 权力观 和科学 的发展 观,权 力必须 为职工 群众谋 利益, 绝不能 为个人 或少数 人谋取 私利
4.1入侵检测系统概述
入侵检测系统必须具备的特点:
经济性 时效性 平安性 可扩展性
2. 入侵检测的开展及未来
一是作为领导干部一定要树立正确的 权力观 和科学 的发展 观,权 力必须 为职工 群众谋 利益, 绝不能 为个人 或少数 人谋取 私利
4.1入侵检测系统概述
3.入侵检测模型
通用入侵检测系统流程图:
数据
数 据 提 数据 取
数 据 分 事件 析
结 果 处 事件 理
一是作为领导干部一定要树立正确的 权力观 和科学 的发展 观,权 力必须 为职工 群众谋 利益, 绝不能 为个人 或少数 人谋取 私利
4.1入侵检测系统概述
1.公共入侵检测框架模型 2.分布式入侵检测系统 3.基于智能代理技术的分布式入侵检测系统 4.自适应入侵检测系统 5.智能卡式入侵检测系统 6.典型的入侵检测系统
——Snort
一是作为领导干部一定要树立正确的 权力观 和科学 的发展 观,权 力必须 为职工 群众谋 利益, 绝不能 为个人 或少数 人谋取 私利
异常 行为
一是作为领导干部一定要树立正确的 权力观 和科学 的发展 观,权 力必须 为职工 群众谋 利益, 绝不能 为个人 或少数 人谋取 私利
4.1入侵检测系统概述
误用检测原理:根据已经知道的入侵方式来检测 入侵。
模式库
报警
攻击者
一是作为领导干部一定要树立正确的 权力观 和科学 的发展 观,权 力必须 为职工 群众谋 利益, 绝不能 为个人 或少数 人谋取 私利
一是作为领导干部一定要树立正确的 权力观 和科学 的发展 观,权 力必须 为职工 群众谋 利益, 绝不能 为个人 或少数 人谋取 私利
4.1入侵检测系统概述
入侵检测系统必须具备的特点:
经济性 时效性 平安性 可扩展性
2. 入侵检测的开展及未来
一是作为领导干部一定要树立正确的 权力观 和科学 的发展 观,权 力必须 为职工 群众谋 利益, 绝不能 为个人 或少数 人谋取 私利
4.1入侵检测系统概述
3.入侵检测模型
通用入侵检测系统流程图:
数据
数 据 提 数据 取
数 据 分 事件 析
结 果 处 事件 理
一是作为领导干部一定要树立正确的 权力观 和科学 的发展 观,权 力必须 为职工 群众谋 利益, 绝不能 为个人 或少数 人谋取 私利
4.1入侵检测系统概述
第4章安全审计与入侵检测
全审计跟踪; 审计调度器:将分布式安全审计跟踪的某些部分或全部传输到该审
计调度器。
2.安全审计系统的基本功能
内容审计系统。内容审计系统专用于防止非法 信息恶意传播,避免国家机密、商业信息、科 研成果泄漏的产品;并可实时监控网络资源使 用情况,提高整体工作效率。 该系统一般具有如下功能:
① 对用户的网络行为监控、网络传输内容审计 ② 掌握网络使用情况,提高工作效率 ③ 网络传输信息的实时采集、海量存储、统计分析 ④ 网络行为后期取证,对网络潜在威胁者予以威慑
第 4 章 安全审计与入侵检测
4.1 安全审计 4.1.1 安全审计概念 4.1.2 安全审计目的 4.1.3 安全审计内容 4.1.4 安全审计分类和过程 4.1.5 审计日志管理 4.1.6 安全审计系统的组成、功能与特点
4.2 入侵检测 4.2.1 入侵检测概述 4.2.2 入侵检测侧方法 4.2.3 入侵检测系统的部署 4.2.4 入侵检测技术发展 4.2.5 与入侵检测有关的新技术
4.1 安全审计
安全审计即是对安全方案中的功能提供持续的 评估。安全审计可以为安全官员提供一组可进 行分析的管理数据,以发现在何处发生了违反 安全方案的事件。为了保证信息系统安全可靠 的运行,需加强信息安全审计。
4.1.1 安全审计概念
从总体上说,安全审计是采用数据挖掘和数据 仓库技术,实现在不同网络环境中终端对终端 的监控和管理,必要时通过多种途径向管理员 发出警告或自动采取排错措施,能对历史数据 进行分析、处理和追踪。利用安全审计结果, 可调整安全政策,堵住出现的漏洞。
正确轮转日志以后,还必须注意备份。 经常是已经发现了攻击,要回过头来看看攻击
者还要试图做什么。要完成这一点,需要对日 志做索引;需要滚动旧的日志以离线存储;需 要检索离线日志,并尽可能快地找出合适的日 志项。
计调度器。
2.安全审计系统的基本功能
内容审计系统。内容审计系统专用于防止非法 信息恶意传播,避免国家机密、商业信息、科 研成果泄漏的产品;并可实时监控网络资源使 用情况,提高整体工作效率。 该系统一般具有如下功能:
① 对用户的网络行为监控、网络传输内容审计 ② 掌握网络使用情况,提高工作效率 ③ 网络传输信息的实时采集、海量存储、统计分析 ④ 网络行为后期取证,对网络潜在威胁者予以威慑
第 4 章 安全审计与入侵检测
4.1 安全审计 4.1.1 安全审计概念 4.1.2 安全审计目的 4.1.3 安全审计内容 4.1.4 安全审计分类和过程 4.1.5 审计日志管理 4.1.6 安全审计系统的组成、功能与特点
4.2 入侵检测 4.2.1 入侵检测概述 4.2.2 入侵检测侧方法 4.2.3 入侵检测系统的部署 4.2.4 入侵检测技术发展 4.2.5 与入侵检测有关的新技术
4.1 安全审计
安全审计即是对安全方案中的功能提供持续的 评估。安全审计可以为安全官员提供一组可进 行分析的管理数据,以发现在何处发生了违反 安全方案的事件。为了保证信息系统安全可靠 的运行,需加强信息安全审计。
4.1.1 安全审计概念
从总体上说,安全审计是采用数据挖掘和数据 仓库技术,实现在不同网络环境中终端对终端 的监控和管理,必要时通过多种途径向管理员 发出警告或自动采取排错措施,能对历史数据 进行分析、处理和追踪。利用安全审计结果, 可调整安全政策,堵住出现的漏洞。
正确轮转日志以后,还必须注意备份。 经常是已经发现了攻击,要回过头来看看攻击
者还要试图做什么。要完成这一点,需要对日 志做索引;需要滚动旧的日志以离线存储;需 要检索离线日志,并尽可能快地找出合适的日 志项。
网络安全22入侵检测系统ppt课件
入侵很容易 – 入侵教程随处可见 – 各种工具唾手可得
IDS与Firewall联动
通过在防火墙中驻留的一个IDS Agent对象,以接收来自 IDS的控制消息,然后再增加防火墙的过滤规则,最终实 现联动
Cisco ISS
CIDF(CISL) Checkpoint
一个国产入侵检测系统: 系统规则库的选择界面
入侵检测的发展简史
最早可追溯到1980年,James P. Anderson在一份技 监
术报告中提出审计记录可用于检测计算机误用行为的思 想,这可谓是入侵检测的开创性的先河。
视
Dorothy E. Denning在1987年的一篇论文[3]中提出了 主
实时入侵检测系统模型
机
L. Todd Heberlien 在 1990 年 提 出 的 NSM(Network
检测结果即检测模型输出的结果 由于单一的检测模型的检测率不理想,往往需要利用多个检测模型 进行并行分析处理,然后对这些检测结果进行数据融合处理,以达 到满意的效果。
安全策略是指根据安全需求设置的策略。 响应处理主要是指综合安全策略和检测结果所作出的响应过程
包括产生检测报告、通知管理员、断开网络连接或更改防火墙的配 置等积极的防御措施
入侵检测系统
Network Security & Privacy
引言
• 计算机安全的三大中心目标是: 保密性(Confidentiality)、完整性(Integrity)、可用性
(Availability) • 其中比较突出的技术有: 身份认证与识别,访问控制机制,加密技术,防火墙技术
静态安全(防御)技术 自适应网络安全技术(动态安全技术)和动态安全模型应运而
IDS与Firewall联动
通过在防火墙中驻留的一个IDS Agent对象,以接收来自 IDS的控制消息,然后再增加防火墙的过滤规则,最终实 现联动
Cisco ISS
CIDF(CISL) Checkpoint
一个国产入侵检测系统: 系统规则库的选择界面
入侵检测的发展简史
最早可追溯到1980年,James P. Anderson在一份技 监
术报告中提出审计记录可用于检测计算机误用行为的思 想,这可谓是入侵检测的开创性的先河。
视
Dorothy E. Denning在1987年的一篇论文[3]中提出了 主
实时入侵检测系统模型
机
L. Todd Heberlien 在 1990 年 提 出 的 NSM(Network
检测结果即检测模型输出的结果 由于单一的检测模型的检测率不理想,往往需要利用多个检测模型 进行并行分析处理,然后对这些检测结果进行数据融合处理,以达 到满意的效果。
安全策略是指根据安全需求设置的策略。 响应处理主要是指综合安全策略和检测结果所作出的响应过程
包括产生检测报告、通知管理员、断开网络连接或更改防火墙的配 置等积极的防御措施
入侵检测系统
Network Security & Privacy
引言
• 计算机安全的三大中心目标是: 保密性(Confidentiality)、完整性(Integrity)、可用性
(Availability) • 其中比较突出的技术有: 身份认证与识别,访问控制机制,加密技术,防火墙技术
静态安全(防御)技术 自适应网络安全技术(动态安全技术)和动态安全模型应运而
第4章安全审计与入侵检测-PPT文档资料
审计的工作流程
根据相应的审计条件判断事件是否是审计事件。 对审计事件的内容按日志的模式记录到审计日 志中。对满足报警条件的事件向审计员发送报 警信息并记录其内容。当事件在一定时间内频 繁发生,满足逐出系统的条件值时,则将引起 该事件的用户逐出系统并记录其内容。审计员 可以查询、检索审计日志以形成审计报告。
3.入侵响应机制
入侵响应是入侵检测技术的配套技术,一般的 入侵检测系统会同时使用这两种技术。
入侵响应技术可分为主动响应和被动响应两种 类型。
主动响应和被动响应并不是相互排斥的。不管 使用哪一种响应机制,作为任务的一个重要部 分,入侵检测系统应该总能以日志的形式记录 下检测结果。
4.1 安全审计
安全审计即是对安全方案中的功能提供持续的 评估。安全审计可以为安全官员提供一组可进 行分析的管理数据,以发现在何处发生了违反 安全方案的事件。为了保证信息系统安全可靠 的运行,需加强信息安全审计。
4.1.1 安全审计概念
从总体上说,安全审计是采用数据挖掘和数据 仓库技术,实现在不同网络环境中终端对终端 的监控和管理,必要时通过多种途径向管理员 发出警告或自动采取排错措施,能对历史数据 进行分析、处理和追踪。利用安全审计结果, 可调整安全政策,堵住出现的漏洞。
实际上,这样的日志只能适用于某些有特殊需 要的系统,因为它所付出的代价太大,因此, 最好根据系统的安全目标和操作环境单独设计 日志。
日志中的典型信息列举如下:
➢ 事件的性质; ➢ 全部相关组件的标识; ➢ 有关事件的信息。
日志的作用
当雇员涉嫌欺骗、贪污或有其他非法使用系统 的行为时,日志可以为调查处理工作提供有效 的证明。
安全审计与报警的目的是根据适当安全机构的 安全策略,确保与开放系统互联的安全有关的 事件得到处理,安全审计只在定义的安全策略 范围内提供。
安全防护与入侵检测课件
安全防护与入侵检测
➢步骤2:输入名称,如codered,如图5.23所示。 ➢步骤3:单击“OK”按钮,接着单击“完成” • (Done)按钮,退回到高级选项(Advanced) • 视图。
安全防护与入侵检测
图5.23 Sniffer Pro过滤器配置
安全防护与入侵检测
➢步骤4:选中TCP下面的HTTP复选框,如图5.24所示。
• 1.Sniffer Pro的登录
图5.1 选择网络适配器
安全防护与入侵检测
图5.2 Sniffer Pro的工作界面
安全防护与入侵检测
2.Sniffer Pro的界面
• (1)仪表盘 • (2)主机列表 • (3)矩阵 • (4)应用程序响应时间 • (5)历史抽样
安全防护与入侵检测
图5.3 Sniffer Pro的仪表盘
安全防护与入侵检测
•
如果发现这些内容,那么该系统已经遭受“红色代码Ⅱ”的
攻击。
•
可以通过Sniffer Pro检测网络中的数据包是否含有Code
Red Ⅱ的特征码,断定网络上是否有中毒的主机。
安全防护与入侵检测
➢步骤1:单击定义过滤器按钮,单击“高级”选项卡,单 击“配置文件”(Profile)按钮,在弹出的捕获配置文件 对话框中单击“新建”按钮。
安全防护与入侵检测
• ② 基于网络的入侵检测产品(NIDS)放置在比较重要的网段 内,不停地监视网段中的各种数据包。对每一个数据包或可疑的 数据包进行特征分析。
安全防护与入侵检测
5.2.4 入侵检测系统的部署
图5.29 入侵检测系统一般部署图
安全防护与入侵检测
5.2.5 入侵检测系统的选型
•
在此基础上,可以参照表5.5选择适合于自身网络的入侵检
➢步骤2:输入名称,如codered,如图5.23所示。 ➢步骤3:单击“OK”按钮,接着单击“完成” • (Done)按钮,退回到高级选项(Advanced) • 视图。
安全防护与入侵检测
图5.23 Sniffer Pro过滤器配置
安全防护与入侵检测
➢步骤4:选中TCP下面的HTTP复选框,如图5.24所示。
• 1.Sniffer Pro的登录
图5.1 选择网络适配器
安全防护与入侵检测
图5.2 Sniffer Pro的工作界面
安全防护与入侵检测
2.Sniffer Pro的界面
• (1)仪表盘 • (2)主机列表 • (3)矩阵 • (4)应用程序响应时间 • (5)历史抽样
安全防护与入侵检测
图5.3 Sniffer Pro的仪表盘
安全防护与入侵检测
•
如果发现这些内容,那么该系统已经遭受“红色代码Ⅱ”的
攻击。
•
可以通过Sniffer Pro检测网络中的数据包是否含有Code
Red Ⅱ的特征码,断定网络上是否有中毒的主机。
安全防护与入侵检测
➢步骤1:单击定义过滤器按钮,单击“高级”选项卡,单 击“配置文件”(Profile)按钮,在弹出的捕获配置文件 对话框中单击“新建”按钮。
安全防护与入侵检测
• ② 基于网络的入侵检测产品(NIDS)放置在比较重要的网段 内,不停地监视网段中的各种数据包。对每一个数据包或可疑的 数据包进行特征分析。
安全防护与入侵检测
5.2.4 入侵检测系统的部署
图5.29 入侵检测系统一般部署图
安全防护与入侵检测
5.2.5 入侵检测系统的选型
•
在此基础上,可以参照表5.5选择适合于自身网络的入侵检
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Step2:分析样本
对每次采集到的样本进行计算,得出一系列的参数变量来对这些行为进行 描述,从而产生行为轮廓,将每次采样后得到的行为轮廓与以后轮廓进行 合并,最终得到系统和用户的正常行为轮廓。
入侵检测与安全审计
Step3:检查入侵行为
通过将当前采集到的行为轮廓与正常行为轮廓相比较,来检测 是否存在网络入侵行为。
第四章 入侵检测与安全审计
入侵检测与安全审计
主要内容
• 入侵检测系统基础 • 入侵检测分析方法 • 入侵检测系统实例 • 安全审计
概念 功能 I基DS于的异基常本的结检构测 技 术分基分类于布误式用入的侵检检测测系 技统术 典型的入侵检测系 统——snort IDS的应用
入侵检测与安全审计
使用统计学的方法来学习和检测用户的行为。
• 预测模式生成法
利用动态的规则集来检测入侵。
• 神经网络方法
将神经网络用于对系统和用户行为的学习。
入侵检测与安全审计
2.1.1 基于统计学的异常检测系统
步骤: Step1:收集样本
对系统和用户的行为按照一定的时间间隔进行采样,样本的内容包括每个 会话的登录、退出情况,CPU和内存的占用情况,硬盘等存储介质的使用 情况等。
1.1 入侵检测基础
Internet
× 路由器 防火墙
内部网络 SSN网络
邮件服务器 WWW服务器 FTP服务器
考虑: 如何防火墙被攻破了,该怎么来保护系统的安全?
入侵检测与安全审计
• 入侵检测(ID)
是对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结 果,以保证系统资源的机密性、完整性和可用性。 通过对数据包的分析,从数据流中过滤出可疑数据包,通过与已知的入侵 方式进行比较,确定入侵是否发生以及入侵的类型并进行报警。
• 特点
• 经济性:IDS不能妨碍系统的正常运行。 • 时效性:及时地发现入侵行为。 • 安全性:保证自身安全。 • 可扩展性:机制与数据分离;体系结构的可扩展性。
入侵检测与安全审计
• 工作流程
数
数
结
数据
据 提
数据
据 分
事件
果 处
事件
取
析
理
入侵检测与安全审计
❖数据提取模块
为系统提供数据,经过简单的处理后提交给数据分析模块。
入侵检测与安全审计
• 优点
• 检测准确度较高
• 可以检测到没有明显行 为特征的入侵
• 成本较低
• 不会因网络流量影响性 能
• 适合加密和交换环境
• 缺点
• 实时性较差 • 无法检测数据包的全部 • 检测效果取决于日志系
统 • 占用主机资源 • 隐蔽性较差
入侵检测与安全审计
• 基于网络的入侵检测系统
作为一个独立的个体放置在被保护的网络上,使用原始的网络 分组数据包作为进行攻击分析的数据源。
基于网络的入侵检测系统
网络数据 原始网 收集器 络数据
网络数据 相关网 过滤器 络数据
网络数据 检测结果 分析器
安全 管理 人员
入侵检测系统
主机A
主机B
主机C
入侵检测与安全审计
主机D
• 优点
• 可以提供实时的网络行
入侵检测与安全审计
Honeypot模型
虚拟网络主机 可疑数据流
高层交换
Internet
防火墙
内部网
入侵检测与安全审计
关键 应用系统
2.1 基于异常的入侵检测
也称为基于行为的检测技术,在总结出的正常行为规律基础上,检 查入侵和滥用行为特征与其之间的差异,以此来判断是否有入侵行 为。 • 基于统计学方法的异常检测系统
为检测
• 可以同时保护多台网络 主机
• 具有良好的隐蔽性
• 有效保护入侵证据
• 不影响被保护主机的性 能
• 缺点
• 防止入侵欺骗的能力较
差
• 在交换式网络环境中难 以配置
• 检测性能受硬件条件限 制
• 不能处理加密后的数据
入侵检测与安全审计
1.4 蜜罐技术
• 原理
蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易攻击的主 机,给攻击者提供一个容易攻击的目标。 ✓ 用来观测黑客如何探测并最终入侵系统; ✓ 用于拖延攻击者对真正目标的攻击。
• 入侵检测系统(IDS)
为完成入侵检测任务而设计的计算机系统称为入侵检测系统(Intrusion Detection System, IDS),这是防火墙之后的第二道安全闸门。
入侵检测与安全审计
• 功能
• 发现和制止来自系统内部/外部的攻击,迅速采取保护措施 • 记录入侵行为的证据,动态调整安全策略
算法:
M1,M2,…,Mn表示行为轮廓中的特征变量,S1,S2,…,Sn分别表示各 个变量的异常性测量值,Si的值越大就表示异常性越大。ai表示 变量Mi的权重值。将各个异常性测量值的平均加权求和得出特
征值 M a 1 S 1 2 a 2 S 2 2 . .a n S .n 2 ( a i 0 , 1 i n )
基于主机的入侵检测系统
审计数据 原始审 收集器 计数据
审计数据 相关审 过滤器 计数据
审计数据 检测结果 分析器
安全 管理 人员
入பைடு நூலகம்检测与安全审计
根据检测对象的不同,基于主机的IDS可分为: ❖ 网络连接检测
对试图进入该主机的数据流进行检测,分析确定是否有入侵行为。
❖ 主机文件检测
检测主机上的各种相关文件,发现入侵行为或入侵企图。
然后选取阈值,例如选择标准偏差
M (n1)
2
其中均值取μ=M/n,如果S值超出了μ±dσ的范围就认为异常。
入侵检测与安全审计
2.1.2 预测模式生成法
利用动态的规则集来检测入侵,这些规则是由系统的归纳引擎,根 据已发生的事件的情况来预测将来发生的事件的概率来产生的,归 纳引擎为每一种事件设置可能发生的概率。 归纳出来的规律一般为: E1,…,Ek: -(Ek+1,P(Ek+1)),…,(En,P(En)) 例如: 规则A,B: -(C,50%),(D, 30%),(E,15%),(F,5%),如果AB已经发生,而F多 次发生,远远大于5%,或者发生了事件G,都认为是异常行为。
❖数据分析模块
两方面功能:一是分析数据提取模块搜集到的数据;二是对数据库保存的 数据做定期的统计分析。
❖结果处理模块
作用在于告警与反应。
❖事件数据库
记录分析结果,并记录下所有的时间,用于以后的分析与检查。
入侵检测与安全审计
1.2 IDS分类
• 基于主机的入侵检测系统
用于保护单台主机不受网络攻击行为的侵害, 需要安装在被保护的主机上。
对每次采集到的样本进行计算,得出一系列的参数变量来对这些行为进行 描述,从而产生行为轮廓,将每次采样后得到的行为轮廓与以后轮廓进行 合并,最终得到系统和用户的正常行为轮廓。
入侵检测与安全审计
Step3:检查入侵行为
通过将当前采集到的行为轮廓与正常行为轮廓相比较,来检测 是否存在网络入侵行为。
第四章 入侵检测与安全审计
入侵检测与安全审计
主要内容
• 入侵检测系统基础 • 入侵检测分析方法 • 入侵检测系统实例 • 安全审计
概念 功能 I基DS于的异基常本的结检构测 技 术分基分类于布误式用入的侵检检测测系 技统术 典型的入侵检测系 统——snort IDS的应用
入侵检测与安全审计
使用统计学的方法来学习和检测用户的行为。
• 预测模式生成法
利用动态的规则集来检测入侵。
• 神经网络方法
将神经网络用于对系统和用户行为的学习。
入侵检测与安全审计
2.1.1 基于统计学的异常检测系统
步骤: Step1:收集样本
对系统和用户的行为按照一定的时间间隔进行采样,样本的内容包括每个 会话的登录、退出情况,CPU和内存的占用情况,硬盘等存储介质的使用 情况等。
1.1 入侵检测基础
Internet
× 路由器 防火墙
内部网络 SSN网络
邮件服务器 WWW服务器 FTP服务器
考虑: 如何防火墙被攻破了,该怎么来保护系统的安全?
入侵检测与安全审计
• 入侵检测(ID)
是对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结 果,以保证系统资源的机密性、完整性和可用性。 通过对数据包的分析,从数据流中过滤出可疑数据包,通过与已知的入侵 方式进行比较,确定入侵是否发生以及入侵的类型并进行报警。
• 特点
• 经济性:IDS不能妨碍系统的正常运行。 • 时效性:及时地发现入侵行为。 • 安全性:保证自身安全。 • 可扩展性:机制与数据分离;体系结构的可扩展性。
入侵检测与安全审计
• 工作流程
数
数
结
数据
据 提
数据
据 分
事件
果 处
事件
取
析
理
入侵检测与安全审计
❖数据提取模块
为系统提供数据,经过简单的处理后提交给数据分析模块。
入侵检测与安全审计
• 优点
• 检测准确度较高
• 可以检测到没有明显行 为特征的入侵
• 成本较低
• 不会因网络流量影响性 能
• 适合加密和交换环境
• 缺点
• 实时性较差 • 无法检测数据包的全部 • 检测效果取决于日志系
统 • 占用主机资源 • 隐蔽性较差
入侵检测与安全审计
• 基于网络的入侵检测系统
作为一个独立的个体放置在被保护的网络上,使用原始的网络 分组数据包作为进行攻击分析的数据源。
基于网络的入侵检测系统
网络数据 原始网 收集器 络数据
网络数据 相关网 过滤器 络数据
网络数据 检测结果 分析器
安全 管理 人员
入侵检测系统
主机A
主机B
主机C
入侵检测与安全审计
主机D
• 优点
• 可以提供实时的网络行
入侵检测与安全审计
Honeypot模型
虚拟网络主机 可疑数据流
高层交换
Internet
防火墙
内部网
入侵检测与安全审计
关键 应用系统
2.1 基于异常的入侵检测
也称为基于行为的检测技术,在总结出的正常行为规律基础上,检 查入侵和滥用行为特征与其之间的差异,以此来判断是否有入侵行 为。 • 基于统计学方法的异常检测系统
为检测
• 可以同时保护多台网络 主机
• 具有良好的隐蔽性
• 有效保护入侵证据
• 不影响被保护主机的性 能
• 缺点
• 防止入侵欺骗的能力较
差
• 在交换式网络环境中难 以配置
• 检测性能受硬件条件限 制
• 不能处理加密后的数据
入侵检测与安全审计
1.4 蜜罐技术
• 原理
蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易攻击的主 机,给攻击者提供一个容易攻击的目标。 ✓ 用来观测黑客如何探测并最终入侵系统; ✓ 用于拖延攻击者对真正目标的攻击。
• 入侵检测系统(IDS)
为完成入侵检测任务而设计的计算机系统称为入侵检测系统(Intrusion Detection System, IDS),这是防火墙之后的第二道安全闸门。
入侵检测与安全审计
• 功能
• 发现和制止来自系统内部/外部的攻击,迅速采取保护措施 • 记录入侵行为的证据,动态调整安全策略
算法:
M1,M2,…,Mn表示行为轮廓中的特征变量,S1,S2,…,Sn分别表示各 个变量的异常性测量值,Si的值越大就表示异常性越大。ai表示 变量Mi的权重值。将各个异常性测量值的平均加权求和得出特
征值 M a 1 S 1 2 a 2 S 2 2 . .a n S .n 2 ( a i 0 , 1 i n )
基于主机的入侵检测系统
审计数据 原始审 收集器 计数据
审计数据 相关审 过滤器 计数据
审计数据 检测结果 分析器
安全 管理 人员
入பைடு நூலகம்检测与安全审计
根据检测对象的不同,基于主机的IDS可分为: ❖ 网络连接检测
对试图进入该主机的数据流进行检测,分析确定是否有入侵行为。
❖ 主机文件检测
检测主机上的各种相关文件,发现入侵行为或入侵企图。
然后选取阈值,例如选择标准偏差
M (n1)
2
其中均值取μ=M/n,如果S值超出了μ±dσ的范围就认为异常。
入侵检测与安全审计
2.1.2 预测模式生成法
利用动态的规则集来检测入侵,这些规则是由系统的归纳引擎,根 据已发生的事件的情况来预测将来发生的事件的概率来产生的,归 纳引擎为每一种事件设置可能发生的概率。 归纳出来的规律一般为: E1,…,Ek: -(Ek+1,P(Ek+1)),…,(En,P(En)) 例如: 规则A,B: -(C,50%),(D, 30%),(E,15%),(F,5%),如果AB已经发生,而F多 次发生,远远大于5%,或者发生了事件G,都认为是异常行为。
❖数据分析模块
两方面功能:一是分析数据提取模块搜集到的数据;二是对数据库保存的 数据做定期的统计分析。
❖结果处理模块
作用在于告警与反应。
❖事件数据库
记录分析结果,并记录下所有的时间,用于以后的分析与检查。
入侵检测与安全审计
1.2 IDS分类
• 基于主机的入侵检测系统
用于保护单台主机不受网络攻击行为的侵害, 需要安装在被保护的主机上。