第八章 入侵检测系统
151-第8章 入侵检测系统
2019 +350001500 msec,subject,cxl,root, staff,cxl,staff,431,422,24 2 192.168.0.123,text,bad auth.for user root,return,failure,2
从上例的输出可以看到,用户mht从 192.168.0.9成功地远程登录到审计所在主 机;来自192.168.0.123的用户cxl试图将用 户更换为root,但没有成功。
事件类型、时间、用户组、有效的用户 身份号以及成功/出错信息也一目了然。
(2)系统日志
系统日志是反映各种系统事件和配置的 文件。
文件名
尽信书,则不如无书
入侵检测(Intrusion Detection),
顾名思义,就是对入侵行为的发觉,它通 过对计算机网络或计算机系统中的若干关 键点收集信息并对其进行分析,从中发现 网络或系统中是否有违反安全策略的行为 和被攻击的迹象。
进行入侵检测的软件与硬件的组合便
是入侵检测系统(IDS)。
事件时间
主体信息token
用户ID 用户有效ID
审计ID 进程ID 组ID
文件属性token 存取权限 文件属主 inode号 设备号
路径信息token 路径名 串长度
Solaris2.6给系统程序员提供了简单的编程接口,使之能够根据自己的需 要增加审计内容。auditsvc(2)指定当前的审计日志文件,audit(2)写入表 示一条审计记录。
Solaris2.6的审计事件涵盖系统调用和安全相关 命令,如下表所示。
审计事件类 fr nt ad lo ip …
描述 文件读取事件
第8章 入侵检测系统
8.3.3 分布式入侵检测系统
❖ 基于网络与基于主机的IDS相比具有明显的优点, 如部署数量少,能实时监测、具有0S独立性等,但 同时也有较大的缺陷:只能检查一个广播型网段上 的通信、难以处理加密的会话过程。
❖ 由此看出,二者各有优势,且具有互补性,把二者 结合起来使用,有可能改善入侵检测系统的检测效 果,这就是分布式入侵检测系统(Distributed IDS,DIDS)形成的原因。
图8.5 CIDF定义的体系结构
输入:原始事件源
❖ 其次,探测代理认为可疑的数据包将被根据 其类型交给专用的分析层设备处理。
❖ 各探测代理不仅实现信息过滤,同时监视所 在系统;而分析层和管理层则可对全局的信 息进行关联性分析。
❖ 这样对网络信息进行分流,提高了检测速度, 解决了检测效率低的问题,使得DIDS本身抗 击拒绝服务攻击的能力也得到了增强。
❖ 目前,随着网络规模的发展,大部分入侵检 测系统都采用分布式结构。分布式结构采用 分级组织模型,网状组织模型,或者这两种 的混和组织模型。
❖ 分级体系结构采用树形结构,命令和控制组 件在上层,信息汇聚中间层,操作单元位于 叶节点。操作单元可以是基于网络的IDS、基 于主机IDS、防病毒以及攻击响应系统。
8.2.2入侵检测系统的现状
❖ 入侵检测系统目前主要存在的问题有: ❖ (1)IDS产品的检测准确率比较低,漏报和
误报比较多。 ❖ (2)入侵检测系统不能对攻击做出响应 ❖ (3) IDS维护比较难 ❖ (4) 缺乏国际国内标准,IDS产品的测评缺
乏统一的标准和平台
8.2.3入侵检测系统的发展
❖ (1)体系结构的发展 ❖ 现有入侵检测系统多采用单一体系结构,即所
图8.4 混和体系结构
入侵检测系统
IDES是一个混合型的入侵检测系统,使用一个在当时来说是创新的统计分析算法来检测异常入侵行为,同时该系统还使用一个专家系统检测模块来对已知的入侵攻击模式进行检测。
DIDS系统设计的目标环境是一组经由以太局域网连接起来的主机,并且这些主机系统都满足C2等级的安全审计功能要求。
DIDS所要完成的任务是监控网络中各个主机的安全状态,同时检测针对局域网本身的攻击行为。
入侵检测是对企图入侵,正在进行的入侵或者已经发生的入侵检测系统,其中包括软件系统以及软硬件结合的系统。
审计数据的获取工作主要考虑下列问题:1.确定审计数据的来源和类型2.审计数据的预处理工作,其中包括记录标准格式的设计,过滤和映射操作等3.审计数据的获取方式包括审计数据获取模块的结果设计和传输协议等审计数据模块的主要作用是获取目标系统的审计数据,并经过预处理工作后,最终目标是为入侵检测的处理模块提供一条单一的审计记录块数据流,供其使用。
邻域接口包括两个主要部件:目标系统组建(Agen)和IDES组件(Arpool)。
是一个动态的计算机系统安全理论模型.P DR特点是动态性和基于时间的特性P2DR模型的内容包括如下。
⑴策略:P2DR模型的核心内容。
具体实施过程中,策略规定了系统所要达到的安全目标和为达到目标所采取的各种具体安全措施及其实施强度等。
⑵防护:具体包括制定安全管理规则、进行系统安全配置工作以及安装各种安全防护设备。
⑶检测:在采取各种安全措施后,根据系统运行情况的变化,对系统安全状态进行实时的动态监控。
⑷响应:当发现了入侵活动或入侵结果后,需要系统作出及时的反应并采取措施,其中包括记录入侵行为、通知管理员、阻断进一步的入侵活动以及恢复系统正常运行等。
STAT系统架构示意图基于状态转移分析的检测模型,将攻击者的入侵行为描绘为一系列的特征操作及其所引起的一系列系统状态转换过程,从而使得目标系统从初始状态转移到攻击者所期望的危害状态。
它所具有的优点如下:①直接采用审计记录序列来表示攻击行为的方法不具备直观性。
入侵检测系统
1)从数据来源角度分类
分基析于。主机和分布式入
侵检测系统。
2)从检测的策略角度分类
18:34:44
18:34:44
入侵检测系统
入侵检测系统构成 入侵检测系统的分类 基于主机的入侵检测系统 基于网络的入侵检测系统 分布式入侵检测系统
基于主机的入侵检测系统
基于主机的入侵检测系统(HIDS):其检 测的主要目标主要是主机系统和系统本地用户。 检测原理是根据主机的审计数据和系统日志发 现可疑事件,基本过程如图所示
基于网络的入侵检测系统使用原始网络包作为 数据源。基于网络的IDS通常利用一个运行在随机 模式下的网络适配器来实时监视并分析通过网络的 所有通信业务。它的攻击辨识模块通常采用四种常 用技术来识别攻击标志。
1)模式、表达式或字节匹配。 2)频率或穿越阈值。 3)低级事件的相关性。 4)统计学意义上的非常规现象检测。
18:34:45
分布式入侵检测系统
基于上述情况,分布式的入侵检测系统就应运 而生。分布式IDS系统通常由数据采集构件、通信 传输构件、入侵检测分析构件、应急处理构件和管 理构件组成,如图所示。
18:34:45
分布式入侵检测系统结构示意图
网络信息安全技术
网络信息安全技术
入侵检测系统
入侵检测通过对计算机网络或计算机系统中的若 干关键点收集信息并进行分析,从中发现网络或系统 中是否有违反安全策略的行为和被攻击的迹象。
入侵检测系统执行的主要任务包括:监视、 分析用户及系统活动;审计系统构造和弱点;识别、 反映已知进攻的活动模式,向相关人士报警;统计分 析异常行为模式;评估重要系统和数据文件的完整性; 审计、跟踪管理操作系统,识别用户违反安全策略的 行为。入侵检测一般分为三个步骤,依次为信息收集、 数据分析、响应(被动响应和主动响应)。
计算机网络安全第八章IDS
误用检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
误用检测
入侵行为
攻击模式描述库
规则匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
2 之 2
误报率低,漏报率高。攻击特征的细微变化,会使得误用检测无能为力。
按照数据来源分
目录
10 之 8
建立预警机制采取灾备措施提高保障意识
从预警到保障
IDS发展过程
— 概念的诞生
目录
10 之 9
1980年4月,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视):
异常检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
异常检测
入侵行为
正常行为描述库
规则不匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
异常检测系统的效率取决于用户轮廓的完备性和监控的频率;因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源;漏报率低,误报率高。
统计分析
目录>>IDS的基本结构>>信息分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。 测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
第八章-入侵检测
8.4 入侵检测系统实现
• 入侵检测系统对收集的数据进行分析并以此判断是否为入 侵行为,具体的实现方法有以下几种:特征检测、统计检 测和专家系统。 特征检测
特征检测对已知的攻击或入侵方式做确定性的描述,形成相 应的事件模式,当被审计的事件与已知的入侵事件模式相匹 配时即报警。
• 定义
– 误用检测在系统中建立异常行为的特征库,然后将 系统或用户的行为与特征库进行比较
• 存在问题
– 不能预知新的攻击,只能检测出已发生过的攻击。
2015/11/22
8.3 入侵检测系统
• 8.3.1 入侵检测系统的设计准则
• 8.3.2 基于网络的入侵检测系统(NIDS)
• 8.3.3 基于主机的入侵检测系统(HIDS)
2015/11/22
8.3.5 其它类型的入侵检测系统
• 系统完整性验证者(SIVs)
– 一直监测系统中的核心文件(例如系统文件或注册 表)来检测是否被入侵者更改
• 日志文件监督(LFM)
– 监测网络服务创建的日志记录,并将其与关键字进 行匹配来判断入侵者是否正在攻击
• 蜜罐
– 包含漏洞,诱使入侵者对其进行攻击从而获取攻击 者攻击工具和攻击方法的信息
2015/11/22
4. 哪种入侵者是最危险的,为什么? A. 外部入侵者,因为他们在攻击之前会大量的收集目标系统的信息。 B. 内部入侵者,因为他们掌握更多关于系统的信息。 C. 外部入侵者,因为大部分入侵者都在外部。 D. 内部入侵者,因为很多外部入侵者都是新手。 5. 对于有特征的入侵行为,哪种类型的入侵检测更适用: A. 误用检测 B. 异常检测 C. 恶意检测 D. 外部检测 6. IDS规则的目的是什么: A. 告诉IDS检测那些端口 B. 限制系统行为,如果违反了,就触发警报 C. 告诉IDS那些包需要被监测,并在包中检测什么内容 D. 告诉防火墙哪些数据包可以穿过IDS
第8章 入侵检测系统(IDS)及应用 网络维护与安全技术教程与实训电子教案
入侵检测过程示意图
报警 日志记录
入侵检测
记录
内部入侵
终止入侵
重新配置 防火墙 路由器
入侵检测
记录入侵 过程
3、入侵检测的发展
❖ 入侵检测技术的发展过程: ❖概念诞生阶段:1980年 James P. Anderson第一
次详细阐述了入侵检测的概念。《Computer Security Threat Monitoring and Surveillance》。 ❖模型产生阶段:1986年 Denning提出了一种通 用的入侵检测模型。研究出了一个实时入侵检测 系统模型—IDES(入侵检测专家系统)。 ❖ 百家争鸣阶段:90年初-至今(基于数据挖掘、 基于神经网络的入侵检测等)。
4.入侵检测系统的工作过程
❖ IDS处理过程分为四个阶段。 ❖ 数据采集阶段:数据采集是入侵检测的基础。在
数据采集阶段,入侵检测系统主要收集目标系统 中引擎提供的主机通信数据包和系统使用等情况。
❖ 数据处理及过滤阶段:把采集到的数据进行处理, 转换为可以识别是否发生入侵的形式。
❖ 分析及检测入侵阶段:通过分析上一阶段提供的 数据来判断是否发生入侵。这一阶段是整个入侵 检测系统的核心阶段。
入侵过程示意图
入侵:是指试图破坏计
算机系统的完整性、机 密性和可用性的行为
➢入侵者取得超出合 法身份的系统控制 权 ➢ 收集漏洞信息和拒 绝服务攻击
互联网
防火墙
入侵者进入用户系统的方式
❖ 入侵者进入用户系统主要有以下三种方式: ❖ 物理入侵:在未授权的情况对网络硬件的连接,
或对系统物理资源的直接破坏等。
它的特点是实时入侵检测 在网络连接过程中进行。系统对 实时网络数据包分析,对实时主机审计分析,一旦发现入 侵迹象立即断开入侵者与主机的连接,并收集证据和实施数 据恢复。
第8章 入侵检测系统(IDS)及应用习题答案
习题答案一、填空题1. 入侵者进入我们的系统主要有三种方式:物理入侵、系统入侵、远程入侵。
2. 入侵检测系统是进行入侵检测的软件与硬件的组合。
3. 入侵检测系统由三个功能部分组成,它们分别是感应器(Sensor)、分析器(Analyzer)和管理器(Manager)。
4. 入侵检测系统根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。
5.入侵检测系统根据工作方式分为在线检测系统和离线检测系统。
6. 通用入侵检测模型由主体、客体、审计记录、活动参数、异常记录、活动规则六部分组成。
二、选择题1.IDS产品相关的等级主要有(BCD)等三个等级:A: EAL0 B: EAL1 C: EAL2 D: EAL32. IDS处理过程分为(ABCD )等四个阶段。
A: 数据采集阶段B: 数据处理及过滤阶段C: 入侵分析及检测阶段D: 报告以及响应阶段3. 入侵检测系统的主要功能有(ABCD ):A: 监测并分析系统和用户的活动B: 核查系统配置和漏洞C: 评估系统关键资源和数据文件的完整性。
D: 识别已知和未知的攻击行为4. IDS产品性能指标有(ABCD ):A:每秒数据流量B: 每秒抓包数C: 每秒能监控的网络连接数D:每秒能够处理的事件数5. 入侵检测产品所面临的挑战主要有(ABCD ):A:黑客的入侵手段多样化B:大量的误报和漏报C:恶意信息采用加密的方法传输D:客观的评估与测试信息的缺乏三、判断题1. 有了入侵检测系统以后,我们可以彻底获得网络的安全。
(F )2. 最早关于入侵检测的研究是James Anderson在1980年的一份报告中提出的。
( T )3. 基于网络的入侵检测系统比基于主机的入侵检测系统性能优秀一些。
( F )4. 现在市场上比较多的入侵检测产品是基于网络的入侵检测系统。
( T )四、简答题1. 什么是入侵检测系统?简述入侵检测系统的作用?答:入侵检测系统(Intrusion Detection System,简称IDS)是进行入侵检测的软件与硬件的组合,事实上入侵检测系统就是“计算机和网络为防止网络小偷安装的警报系统”。
第8章入侵检测技术PPT讲义
入侵 行为
时间信息
添加新 的规则
如果正常的用户行为与入侵特征匹配,则系统会发生误报 如果没有特征能与某种新的攻击行为匹配,则系统会发生漏报
异常检测技术
1. 前提:入侵是异常活动的子集
2. 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合,用于描述 正常行为范围;检查实际用户行为和系统的运行情况是否偏离预设的门限?
较,得出是否有入侵行为
异常检测(Anomaly Detection) ——基于行为的检测
总结正常操作应该具有的特征,得出正常操作的模型 对后续的操作进行监视,一旦发现偏离正常操作模式,即进
行报警
误用检测技术
1. 前提:所有的入侵行为都有可被检测到的特征
2. 攻击特征库: 当监测的用户或系统行为与库中的记录相匹 配时,系统就认为这种行为是入侵
中止连接
Internet
商务伙伴
外外部部攻攻击击
类程序附在电子邮件上传输
入侵检测系统的作用
摄像机=IDS探测引擎
监控室=控制中心
后门 Card Key
保安=防火墙
形象地说,IDS就是一台智能的X光摄像机,它能够捕获并记录网络上的所有数据, 分析并提炼出可疑的、异常的内容,尤其是它能够洞察一些巧妙的伪装,抓住内 容的实质。此外,它还能够对入侵行为自动地进行响应:报警、阻断连接、关闭 道路(与防火墙联动)
通过提交上千次相同命令,来实施对POP3服务器的拒绝 服务攻击.
入侵检测系统发现该行为发生次数超过预定义阈值,认 为是异常事件。
实例二:暴力破解FTP账号密码
黑客得知FTP Server存在用户名admin 使用字典程序对admin用户暴力猜密码 入侵检测系统会发现在很短的时间内会出现大量如下数
入侵检测系统原理
入侵检测系统原理入侵检测系统(Intrusion Detection System, IDS)是一种用于监测计算机网络或系统中是否发生未经授权的入侵行为的安全设备。
通过检测网络流量和系统日志来发现潜在的入侵,并及时采取相应的防御措施。
本文将介绍入侵检测系统的原理及其工作过程。
一、入侵检测系统的分类入侵检测系统可分为主机入侵检测系统(Host-based IDS, HIDS)和网络入侵检测系统(Network-based IDS, NIDS)两种类型。
主机入侵检测系统主要针对主机级别的入侵行为进行监测。
它通过监控主机上的日志文件、系统调用、文件完整性等信息,来检测是否存在异常行为。
网络入侵检测系统主要针对网络层次的入侵行为进行监测。
它通过监控网络传输的数据包,来检测是否有非法入侵的行为。
二、入侵检测系统的原理入侵检测系统的原理可以分为基于签名的检测和基于异常的检测两种。
1. 基于签名的检测基于签名的检测是一种静态检测方法,依据预先确定的已知攻击特征(也称为签名),对网络流量或主机行为进行匹配。
当检测到与已知攻击特征相匹配时,就会发出警报,并采取相应的防御措施。
这种方法的优点是准确性高,能够精确识别已知的攻击行为。
然而,对于新型的未知攻击行为,基于签名的检测方法无法发现。
2. 基于异常的检测基于异常的检测是一种动态检测方法,通过学习正常网络流量或主机行为的基准,并监测实时的流量或行为数据,以检测出异常行为。
这种方法通过建立正常行为的模型,识别与模型不一致的行为,来发现潜在的入侵。
它能够检测到未知攻击行为,但也容易误报和漏报现象。
三、入侵检测系统的工作过程入侵检测系统的工作过程主要包括数据采集、数据预处理、特征提取、异常检测和报警等步骤。
1. 数据采集入侵检测系统通过监测网络流量和主机行为,收集数据用于后续的检测和分析。
网络入侵检测系统通常通过网络监测设备(如IDS传感器)获取网络流量数据,而主机入侵检测系统则通过监测主机上的系统日志、进程信息等数据。
入侵检测系统ppt课件
没有地域和时间的限制; 通过网络的攻击往往混杂在大量正常的网络活动之间,
隐蔽性强; 入侵手段更加隐蔽和复杂。
3
为什么需要IDS?
单一防护产品的弱点
防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁
4
为什么需要IDS?
关于防火墙
网络边界的设备,只能抵挡外部來的入侵行为 自身存在弱点,也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护,合法的使用者仍会非法地使用
入侵检测系统IDS
1
黑客攻击日益猖獗,防范问题日趋 严峻
政府、军事、邮电和金融网络是黑客攻击的主要目 标。即便已经拥有高性能防火墙等安全产品,依然 抵挡不住这些黑客对网络和系统的破坏。据统计, 几乎每20秒全球就有一起黑客事件发生,仅美国每 年所造成的经济损失就超过100亿美元。
2
网络入侵的特点
包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效
20
主动响应 被动响应
响应动作
21
入侵检测性能关键参数
误报(false positive):如果系统错误地将异常活动定 义为入侵
漏报(false negative):如果系统未能检测出真正的 入侵行为
12
入侵检测的工作过程
信息收集
检测引擎从信息源收集系统、网络、状态和行为信息。
信息分析
从信息中查找和分析表征入侵的异常和可疑信息。
告警与响应
根据入侵性质和类型,做出相应的告警和响应。
13
信息收集
入侵检测的第一步是信息收集,收集内容包括系统 、网络、数据及用户活动的状态和行为
入侵检测系统(IDS)
Intrusion Detection公司
Kane Security Monitor
Axent Technologies公司
OmniGuard/Intruder Alert
当前主流产品介绍
Internet Security System公司
RealSecure
特点:采用特征匹配,误用检测能明显降低错报 率,但漏报率随之增加。攻击特征的细微变化, 会使得误用检测无能为力。
入侵检测系统分类(二)
根据检测对象分类
基于主机的IDS(Host-Based IDS)
HIDS一般主要使用操作系统的审计日志作为主要数据源输入, 试图从日志判断滥用和入侵事件的线索。
网络入侵的特点
没有地域和时间的限制; 通过网络的攻击往往混杂在大量正常的网络活动之间,
隐蔽性强; 入侵手段更加隐蔽和复杂。
为什么需要IDS?
单一防护产品的弱点
防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁
为什么需要IDS?
关于防火墙
网络边界的设备,只能抵挡外部來的入侵行为 自身存在弱点,也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护,合法的使用者仍会非法地使用
入侵检测系统(IDS):入侵检测系统是软件与硬 件的组合,是防火墙的合理补充,是防火墙之后 的第二道安全闸门。
入侵检测的内容:试图闯入、成功闯入、冒充其 他用户、违反安全策略、合法用户的泄漏、独占 资源以及恶意使用。
入侵检测的职责
IDS系统主要有两大职责:实时检测和安全审计, 具体包含4个方面的内容
入侵检测系统分类(三)
根据系统工作方式来分:
第八章 防火墙与入侵检测技术
第八章防火墙与入侵检测技术一、选择题1.防火墙是计算机网络安全中常用到的一种技术,它通常被用在。
A LAN内部B LAN和WAN之间C PC和PC之间D PC和LAN之间标准答案:B2.为HTTP协议开放的端口是。
A 80B 139C 135D 99标准答案:A3.防火墙一般由分组过滤路由器和两部分组成。
A 应用网关B 网桥C 杀毒软件D防病毒卡标准答案:A4,下列选项是入侵检测常用的方法。
A 模式匹配B 统计分析C 静态配置分析D 完整性分析标准答案:C5,如果内部网络的地址网段为192.168.1.0/24 ,需要用到防火墙的功能,才能使用户上网。
A 地址映射B 地址转换C IP地址和MAC地址绑定功能D URL过滤功能标准答案:B6.下面哪种安全技术被称为是信息安全的第一道闸门?。
A 入侵检测技术B 防火墙技术C 防病毒技术D 加密技术标准答案:B7.下面哪种安全技术被称为是信息安全的第二道闸门?。
A 防火墙技术B 防病毒技术C 入侵检测技术D 加密技术标准答案:C8.下列不属于系统安全的技术是。
A 防火墙B 加密狗C 认证D 防病毒标准答案:B9.电路级网关是以下哪一种软/硬件的类型?。
A 防火墙B 入侵检测软件C 入侵防御软件D 商业支付程序标准答案:A10. 对于防火墙不足之处,描述错误的是。
A无法防护基于操作系统漏洞的攻击B 无法防护端口反弹木马的攻击C 无法防护病毒的侵袭D 无法进行带宽管理标准答案:D11.防火墙对数据包进行状态检测包过滤时,不可以进行过滤的是。
A 源和目的IP地址B 源和目的端口C IP协议号D 数据包中的内容标准答案:D12.包过滤防火墙不能对进行过滤。
A IP地址B 病毒C 协议D 端口标准答案:B13,加强网络安全性的最重要的基础措施是。
A 设计有效的网络安全策略B 选择更安全的操作系统C 安装杀毒软件D 加强安全教育标准答案:A14. 下面关于包过滤描述错误的是。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1988年之后,美国开展对分布式入侵检测系统 (DIDS)的研究,将基于主机和基于网络的检测 方法集成到一起。
DIDS是分布式入侵检测系统历史上的一个里程碑式 的产品。
从20世纪90年代到现在,入侵检测系统的研发 呈现出百家争鸣的繁荣局面,并在智能化和分 布式两个方向取得了长足的进展。
IDS的基本工作原理 当前系统或 网络行为
入侵检测 分析引擎
模式知识库
入侵行为模式 安全策略
入侵
否
正常行为模式
是
证据记录
数据采集
响应处理
8.1 概 述
检测IDS性能的两个关键参数
误报(false positive)
实际无害的事件却被IDS检测为攻击事件
漏报(false negative)
修正
异常检测
特点
异常检测系统的效率取决于用户轮廓的完备性 和监控的频率
不需要对每种入侵行为进行定义,因此能有效 检测未知的入侵
系统能针对用户行为的改变进行自我调整和优 化,但随着检测模型的逐步精确,异常检测会 消耗更多的系统资源
误用检测
前提
所有的入侵行为都有可以被检测到的特征
攻击特征库
模式匹配(与已知的攻击进行比较)
统计分析(确定对象的异常行为)
完整性分析(常用于事后分析)
8.1 概 述 警报信息 事件分析器
IDS的通用模型
事件数据库
存放各种中间和最终数据的地方 从事件产生器或事件分析器接收
数据,一般会将数据进行较长时 间的保存,以便于今后的关联分 析等。
响应单元
IDS
IDS
NIDS
Internet
IDS
IDS
IDS
检测内容:数据包
DMZ
(包头信息+有效数
据部分)
两类IDS的比较
HIDS
视野集中 易于用户自定义 保护更加周密 对网络流量不敏感
NIDS
侦测速度快 隐藏性好 视野更宽 较少的监测器 占资源少
8.1 概 述
入侵检测系统分类
➢模型推理滥用检测
8.2 入侵检测技术
高级检测技术
➢文件完整性检查
➢计算
➢数据融合
8.2 入侵检测技术
入侵诱骗技术
用特有的特征吸引攻击者,同时对攻击者的各 种攻击进行分析,并进而找到有效地对付方法
试图将攻击者从关键系统引诱开的诱骗系统 蜜罐技术(Honepot)
8.1 概 述
IDS的工作模式
从系统的不同环节收集信息 分析该信息,试图寻找入侵活动的特征 自动对检测到的行为作出响应 记录并报告检测过程及结果
8.1 概 述
IDS的通用模型
事件产生器 事件分析器
警报信息
事件数据库 事件分析器 响应单元
响应单元
响应动作
事件 数据库
事件产生器
审计数据等
当检测的用户或系统行为与库中的记录相匹配 时,系统就认为这种行为是入侵
过程
监控
特征提取
匹配
判定
指标
误报率低、漏报率高
误用检测
特点
采用模式匹配,误用模式能明显降低误报率, 但漏报率随之增加,攻击特征的细微变化,会 使得误用检测无能为力。
8.1 概 述
入侵检测系统分类
根据数据来源可分为
基本术语
Signatures (特征)
攻击特征是IDS的核心,它使IDS在事件发生时 触发
特征信息过短会经常触发IDS,导致误报或错 报;过长则会影响IDS的工作速度
有人将IDS所支持的特征数视为IDS好坏的标准, 但是有的厂商用一个特征涵盖许多攻击,而有 些厂商则会将这些特征单独列出,这就会给人 一种印象:好像它包含了更多的特征,是更好 的IDS
根据系统的工作方式可分为
离线检测系统 非实时工作,在行为发生后,对产生的数据进行 分析(事后分析) 成本低,可分析大量事件,分析长期情况;但无 法提供及时保护
在线检测系统 实时工作,在数据产生的同时或者发生改变时进 行分析 反应迅速,及时保护系统;但系统规模较大时, 实时性难以得到实际保证
知识回顾
防火墙的局限性?
削弱了网络的功能
信息受阻 增大了网络开销
并非万无一失
防外不防内
第八章 入侵检测系统
8.1 概 述
IDS存在与发展的必然性
网络安全本身的复杂性,被动式的防御方式显 得力不从心。
有关防火墙
网络边界的设备 自身可以被攻破 对某些攻击保护很弱 并非所有威胁均来自防火墙外部
基本术语
Promiscuous (混杂模式)
默认状态下,IDS网络接口只能“看到”进出 主机的信息,也就是所谓的non-promiscuous (非混杂模式)
如果网络接口是混杂模式,就可以“看到”网 段中所有的网络通信量,不管其来源或目的地
这对于网络IDS是必要的
本章学习目标
了解IDS存在和发展的必然性 掌握入侵检测的相关概念 掌握IDS的工作模式及其通用模型 掌握IDS的分类 了解各种入侵检测技术 了解IDS的发展方向
误用检测(Misuse Detection) 假设所有入侵行为和手段都能表达为一种模式或 特征,又称特征检测 利用特征匹配的方法
异常检测
前提
入侵是异常活动的子集
用户轮廓(Profile)
通常定义为各种行为参数及其阈值的集合,用 于描述正常行为范围
过程
监控
量化
比较
判定
指标
漏报率低,误报率高
8.1 概 述
入侵检测系统的功能
监控、分析用户和系统的活动 发现入侵企图或异常现象 审计系统的配置和弱点 评估关键系统和数据文件的完整性 对异常活动的统计分析 识别攻击的活动模式 实时报警和主动响应 审计跟踪
8.2 入侵检测技术
异常检测技术 误用/滥用检测技术 高级检测技术 入侵诱骗技术 入侵响应技术
基本术语
Alert (警报)
当一个入侵正在发生或者试图发生时,IDS将 发布一个alert信息通知系统管理员
如果控制台与IDS同在一台机器,alert信息将 显示在监视器上,也可能伴随有声音提示
如果是远程控制台,那么alert将通过IDS的内 置方法(通常是加密的),SNMP(简单网络 管理协议,通常不加密),email,SMS(短信 息)或者以上几种方法的混合方式传递给管理 员
目标系统
8.1 概 述 警报信息 事件分析器
IDS的通用模型
响应单元
响应动作
事件 数据库
事件产生器
事件产生器
负责收集、采集各种原始数据, 且将其转换为事件,向系统的其
审计数据等
目标系统
他部分提供此事件。
收集内容:系统、网络数据及用户活动的状态和行 为。
不同关键点的信息:系统或网络的日志文件、网络 流量、系统目录和文件的异常变化、程序执行中的 异常行为
1990年,加州大学戴维斯分校的L. T. Heberlein 等人开发出了NSM (Network Security Monitor)
第一次直接将网络数据流作为审计数据来源,因而 可以在不将审计数据转换成统一格式的情况下监控 异种主机。
两大阵营正式形成:基于网络的IDS和基于主机的 IDS
8.1 概 述
一个攻击事件未被IDS检测到或被分析人员认为是 无害的
8.1 概 述
入侵检测系统分类
根据其采用的分析方法(检测原理) 根据数据来源 根据体系结构 根据系统的工作方式
8.1 概 述
入侵检测系统分类
根据其采用的分析方法(检测原理)可分为
异常检测(Anomaly Detection) 假设入侵行为与正常行为不同 对正常行为用定量的方式加以描述,当用户活动 与正常行为有重大偏离时即被认为是入侵。 利用统计的分析方法
响应动作
事件 数据库
事件产生器
审计数据等
目标系统
8.1 概 述 警报信息 事件分析器
IDS的通用模型
响应单元
响应动作
事件 数据库
响应单元
事件产生器
根据告警信息作出反应, 是IDS中的主动武器
审计数据等
目标系统
可作出
强烈反应:切断连接、改变文件属性等
简单的报警:给管理员发送短信等。
8.1 概 述
功能与性能提高 检测和防范分布式攻击和拒绝服务攻击 应用层入侵检测 响应策略与恢复研究 入侵检测评测方法 全面的安全防御
入侵检测系统实例
入侵检测系统Snort
免费、开放源代码的基于网络的入侵检测 系统
下载网址 提供抓包、记录包、入侵检测三个功能 可运行于Linux/Unix、Windows操作系统
诱饵:留有安全后门或是有用的信息 记录:攻击者的所有操作。 地位:本身并不是一种安全解决方案,它只是一种
工具,而且只有Honeypot受到攻击,它的作用才能 发挥出来。
蜜网技术(Honeynet)
8.2 入侵检测技术
入侵响应技术
主动响应
IDS在检测到入侵后能够阻断攻击、影响进而改变 攻击的进程
入侵检测系统(IDS)
用于进行入侵检测的自动化工具,是入侵检测的软 件与硬件的组合。
8.1 概 述
入侵检测的起源
从审计技术发展而来 1980年,James P. Anderson的《计算机安全威
胁监控与监视》
第一次详细阐述了入侵检测的概念 计算机系统威胁分类:外部渗透、内部渗透和不法
被动响应
IDS仅仅简单地报告和记录所检测出的问题
二者并不互斥,无论采用哪种响应机制,IDS 均应以日志的形式记录下检测结果。
8.3 入侵检测的发展与演化
入侵和攻击的复杂化与综合化 入侵主体的间接化 入侵和攻击的规模扩大化 入侵和攻击技术的分布化 攻击对象的转移