第十一章 入侵检测PPT课件

统计信息
首先给系统对象创建一个统计描述，统计 正常使用时的一些测量属性，凡是在正常 值以外的就认为是入侵行为，优点是可检 测未知的入侵和更为复杂的入侵，缺点是 误报、漏报率高，不适应用户正常行为的 突然改变。
完整性分析
完整性分析主要是关注某个文件或对象是 否被更改，它在发现被更改、被特洛伊化 的应用程序方面特别有效，优点是只要是 成功的攻击导致了文件或其他对象的任何 改变都能发现，确定是不能用于实时响应。
入侵检测Байду номын сангаас过程
入侵信息的搜集 搜集的内容包括系统、网络、数据以及用
户或等的状态和行为。通常需要在计算机 网络系统中的若干不同关键点搜集信息。 入侵检测很大程度上依赖于收集信息的可 靠性和正确性。
入侵检测系统利用的信息一般来自四个方面
系统和网络日志
日志提供了当前系统的细节，充分利用系统和网络日 志文件信息是检测入侵的必要条件。日志包含了发生 在网络和系统上的不许昌和不期望活动的证据，通过 产看日志文件，能够发现成功的入侵或入侵企图，启 动相应的应急响应程序。
程序执行中的不期望行为
攻击者通过将程序或服务的运行分解，导 致其失败或是以非用户或管理员意图的方 式操作。
物理形式的入侵
两个方面的内容，一是未授权的对网络硬 件的连接，二是对物理资源的未授权访问。
信号分析
对收集到的信息，通过三种技术手段进行 分析：模式匹配、统计分析和完整性分析。 其中模式匹配、统计分析用于实时入侵检 测，完整性分析用于事后分析。
第十一章入侵检测
入侵检测
入侵检测是对入侵行为的发觉，是一种试 图通过观察行为、安全日志或审计数据来 检测入侵的技术。
基本概念
入侵检测技术是主动保护自己免受攻击的 一种网络安全技术。作为防火墙的合理补 充，入侵检测技术能够帮助系统对付网络 攻击，扩展了系统管理员的安全管理能力 （包括安全审计、监视、攻击识别和响 应），提高了信息安全基础结构的完整性。 它从计算机网络系统中的若干关键点收集 信息，并分析这些信息。
入侵检测系统的分类(3)
根据工作方式 离线检测系统：在事后分析审计事件，检查入侵活动，
由网络管理人员进行，不具有实时性。 在线检测系统：实时联机的检测系统，包含对实时网络
数据包的分析，实时主机审计分析。工作过程是实时入 侵检测在网络过程中进行，系统根据用户的历史行为模 型、存储在计算机中的专家只是以及神经网络模型对用 户当前的操作进行判断，一旦发现入侵行为立即断开入 侵者与主机的连接，并搜集证据和实施数据恢复。
所有系统必须定期做日志，而且日志应定期保存和备 份
目录和文件中的不期望的改变
文件系统包含很多软件和数据文件，包含 重要信息的文件和私有的数据文件经常成 为攻击者修改或破坏的目标，目录和文件 中的不期望的改变可能是一种入侵产生的 指示和信号。攻击者通常会替换、修改和 破坏他们获得访问权的系统上的文件，， 而且会修改系统日志文件。
根据其采用的技术 异常检测 特征检测
入侵检测系统的分类(2)
根据其检测的对象 基于主机的入侵检测系统：通过监视与分析主
机的审计记录检测入侵 基于网络的入侵检测系统：通过网络的入侵检
测系统通过在共享网段上对通信数据的侦听 采 集数据，分析可疑现象。 分布式入侵检测系统：检测每一个网段，集中 式管理
入侵者进入系统的三种方式
物理入侵：入侵者通过物理方式访问一个机器进 行破坏活动。
系统入侵：入侵者在拥有系统的一个低级帐号权 限下进行的破坏活动，如果系统没有打补丁，那 么拥有低级权限的用户就可能利用系统漏洞获取 更高的管理权限
远程入侵：入侵者通过网络渗透到一个系统中， 通过漏洞扫描或端口扫描等技术发现攻击目标， 再利用相关技术执行破坏活动。
异常活动：由<Event，Time-stamp， Profile>组成。用以表示异常事件的发生情 况。
活动规则：规则集是检查入侵行为是否发 生的处理引擎，结合活动简档用专家系统 或统计方法等分析接受到的审计记录，调 整内部规则或统计信息，在判断入侵发生 时采取相应的措施。
入侵检测系统的分类(1)
策略的行为
入侵检测的模型
主体（Subjects）：在目标系统上活动的实体 对象（Objects）：系统资源 审计记录：由六部分组成<Subject，Action，Object，
Exception-Condition，Resource-Usage，Time-Stamp>。 活动（Action）是主体对目标的操作，对操作系统而言， 这些操作包括读、写、登录、退出等；异常条件 （Exception-Condition）是指系统对主体的该活动的异常 报告；资源使用状况（Resource-Usage）是系统的资源 消耗情况；时间戳（Time-Stamp）是活动发生时间。 活动简档：用以保存主体正常活动的有关信息
入侵检测是防火墙的合理补充，帮助系统对付网络攻击， 扩展了系统管理员的安全管理能里，提高信息安全基础结 构的完整性。
入侵检测执行的任务
监视、分析用户及系统活动，查找非法用户和合 法用户的越权操作。
系统构造和弱点审计，并提示管理员修补漏洞 识别反映已知的活动模式并报警，能够实时对检
测到的入侵行为进行反应。 异常行为模式的统计分析，发现入侵的规律。 评估重要系统和数据文件的完整性。 操作系统的审计跟踪管理，并识别用户违反安全
入侵检测的内容
试图闯入、成功闯入、冒充其他用户、违 反安全策略、合法用户的泄漏、独占资源 以及恶意使用。
入侵检测系统（IDS）
是入侵检测的软件和硬件的集合。通过从计算机网络或计 算机系统的关键点搜集信息并进行分析，从而发现网络或 系统中是否有违反安全策略的行为或被攻击的迹象并且作 出反应.
入侵检测技术是动态安全技术的最核心技术之一。通过对 入侵行为的过程和特征进行研究，使安全系统对入侵事件 和入侵过程能做出实时响应。
模式匹配
将收集到的信息与已知的网络入侵和系统 误用模式数据库进行比较，从而发现未被 安全策略的行为，一般讲，一种进攻模式 可以用一个过程或一个输出来表示，该方 法的优点是只需要收集相关的数据集合， 显著减少系统负担，技术相当成熟，弱点 是需要不断升级对付黑可的攻击手法，不 能检测未知的攻击手段。