入侵检测技术
网络安全领域中的入侵检测技术
网络安全领域中的入侵检测技术随着互联网的发展,网络安全成为人们极为关注的问题。
入侵检测技术是网络安全领域中的一个重要分支,它可以帮助我们发现网络中的攻击行为。
在本文中,我们将讨论入侵检测技术的一些基本概念、技术原理以及应用现状。
一、入侵检测技术的基本概念入侵检测技术(Intrusion Detection Technology,IDT)是指基于一定的规则或模型,利用计算机技术对网络中的攻击行为进行检测、识别和报告的技术。
入侵检测技术主要分为两种:基于主机的入侵检测系统(Host-based Intrusion Detection System,HIDS)和基于网络的入侵检测系统(Network-based Intrusion Detection System,NIDS)。
1. 基于主机的入侵检测系统基于主机的入侵检测系统是一种利用主机上的日志、配置和文件等信息来检测并识别攻击行为的技术。
它可以监测主机的各种事件,如登录、文件修改、进程创建等等,以此来发现恶意行为。
基于主机的入侵检测系统通常运行在被保护的主机上,可以及时发现、记录和报告异常事件。
2. 基于网络的入侵检测系统基于网络的入侵检测系统是一种利用网络中的数据包来检测并识别攻击行为的技术。
它可以监测网络中的数据流,依据规则或模型来判断是否存在异常数据流,以此来发现攻击行为。
基于网络的入侵检测系统通常部署在网络上的节点上,可以发现整个网络中的异常行为。
二、入侵检测技术的技术原理入侵检测技术的核心是识别网络中的恶意行为。
入侵检测技术根据检测对象的不同,其技术原理也有所不同。
1. 基于主机的入侵检测技术原理基于主机的入侵检测技术原理是利用主机上的系统日志、配置和文件等信息,通过分析这些信息来监测主机的各种事件。
基于主机的入侵检测技术可以分为两类:基于签名检测和基于行为分析。
基于签名检测的入侵检测技术是利用已知的攻击特征来进行匹配,以此来判断是否存在攻击行为。
入侵检测技术名词解释
入侵检测技术名词解释入侵检测技术是指一种用于检测网络安全漏洞、攻击、恶意软件和其他安全威胁的技术。
它可以检测网络中的异常活动,例如未经授权的访问、数据泄露、网络攻击等。
入侵检测技术通常由一系列算法和工具组成,用于分析网络数据包、检测恶意软件的行为和识别潜在的安全漏洞。
以下是入侵检测技术的一些主要名词解释:1. 入侵检测系统(IDS):是一种能够检测网络安全威胁的计算机系统,通常使用算法和规则来检测异常活动,例如IP地址欺骗、SYN洪水、恶意软件等。
2. 入侵防御系统(IDS):是一种能够防止网络安全威胁的计算机系统,通常使用算法和规则来检测和阻止未经授权的访问、攻击和其他安全威胁。
3. 入侵者分析器(IA):是一种用于分析网络数据包的计算机系统,可以检测和识别潜在的安全漏洞和恶意软件。
4. 漏洞扫描器:是一种用于扫描网络和系统漏洞的计算机系统,可以检测和识别系统中的漏洞,以便及时修复。
5. 行为分析器:是一种用于分析网络和系统行为的工具,可以检测和识别恶意软件和其他安全威胁。
6. 漏洞报告器:是一种用于向管理员报告漏洞的计算机系统,以便及时修复。
7. 防火墙:是一种用于保护网络和系统的设备,可以过滤网络流量并防止未经授权的访问。
8. 入侵检测和响应计划:是一种用于检测和响应网络安全威胁的系统和计划,通常包括一个IDS和一个IPS(入侵防御系统)的组合,以保护网络和系统免受入侵者的攻击。
随着网络安全威胁的不断增多,入侵检测技术也在不断发展和改进。
IDS和IPS技术已经越来越成熟,并且可以通过结合其他技术和工具来提高其检测和响应能力。
入侵检测技术不仅可以用于个人网络,还可以用于企业、政府机构和其他组织的网络安全。
入侵检测技术
Snort
DMZ 防火墙 Snort
Internet
与防火墙一起承担安全责任
未部署IDS时的企业网络架构
WEBSrv
Internet
没有IDS系统的企业 网络是极不安全的
只能依靠路由器的基本 防护功能来保护内网
显然远远不能满足 企业的安全需求
部署了IDS时的企业网络架构
DMZ
基于主机的 IDS 邮件服务器 IDS控制台 Internet
为什么要用入侵检测系统?
防火墙的局限性
(1)防火墙防外不防内。
(2)防火墙一般不提供对内部的保护。 (3)防火墙不能防范不通过它的连接。
(4)防火墙不能防备全部的威胁。
因此为确保网络的安全,就要对网络内部进行实 时的检测,这就要用到IDS无时不在的防护!
8.4.1 入侵检测概述
为什么要用入侵检测系统?
与防火墙不同的是,IDS是一个旁路监听设备,无 须网络流量流经它便可以工作。IDS的运行方式有 两种,一种是在目标主机上运行以监测其本身的通 信信息,另一种是在一台单独的机器上运行以监测 所有网络设备的通信信息,比如Hub、路由器。 通常对IDS的部署的唯一要求是:IDS应当挂接在所 有所关注的流量都必须流经的链路上。在这里, “所关注的流量”指的是来自高危网络区域的访问 流量和需要进行统计、监视的网络报文。
8.4.6 入侵检测的发展趋势——IPS
IPS是英文“Intrusion Prevention System”的缩写, 中文意思是入侵防御系统。 随着网络攻击技术的不断提高和网络安全漏洞的不 断发现,传统防火墙技术加传统的入侵检测技术, 已经无法应对一些安全威胁。在这种情况下,IPS技 术应运而生,IPS技术可以深度感知并检测流经的数 据流量,对恶意报文进行丢弃以阻断攻击,对滥用 报文进行限流以保护网络带宽资源。
入侵检测技术
10
7.2 入侵检测的原理与技术
网络数据
读取网络数据 网络报文数据
协议分析
比较数据
事件数据库
上报事件
图7-1 网络IDS工作模型
11
7.2 入侵检测的原理与技术
网络IDS优势
22
7.2 入侵检测的原理与技术
7.2.3 IDS采用的技术
2、异常检测技术 通过对系统审计数据的分析建立起系统主体(单个用户、 一组用户、主机,甚至是系统中的某个关键的程序和文件等) 的正常行为特征轮廓;检测时,如果系统中的审计数据与已建 立的主体的正常行为特征有较大出入就认为是一个入侵行为。 这一检测方法称“异常检测技术”。 一般采用统计或基于规则描述的方法建立系统主体的行 为特征轮廓,即统计性特征轮廓和基于规则描述的特征轮廓。
事件数据库
图7-4 控制中心的工作流程
21
7.2 入侵检测的原理与技术
7.2.3 IDS采用的技术
入侵检测主要通过专家系统、模式匹配、协议分析 或状态转换等方法来确定入侵行为。入侵检测技术有:
➢静态配置分析技术 ➢异常检测技术 ➢误用检测技术
1.静态配置分析技术 静态配置分析是通过检查系统的当前系统配置,诸 如系统文件的内容或系统表,来检查系统是否已经或者 可能会遭到破坏。静态是指检查系统的静态特征(系统配 置信息),而不是系统中的活动。
6
7.1 入侵检测系统概述
7
7.1 入侵检测系统概述
7.1.4 入侵检测的发展历程
1980年,概念的诞生 1984~1986年,模型的发展 1990年,形成网络IDS和主机IDS两大阵营 九十年代后至今,百家争鸣、繁荣昌盛
入侵检测技术的名词解释
入侵检测技术的名词解释随着数字化时代的来临,网络安全问题日益严峻,入侵检测技术成为保护网络安全的重要手段之一。
本文将对入侵检测技术的相关名词进行解释和探讨,包括入侵检测系统、入侵检测方法、入侵检测规则、入侵检测引擎以及入侵检测系统的分类等。
一、入侵检测系统首先,我们来解释入侵检测系统这一名词。
入侵检测系统(Intrusion Detection System,IDS)是一个软件或硬件设备,用于监测和识别网络或主机上的异常行为或入侵攻击,并及时作出响应。
入侵检测系统通常分为两种类型:基于主机的入侵检测系统(Host-based Intrusion Detection System,HIDS)和基于网络的入侵检测系统(Network-based Intrusion Detection System,NIDS)。
HIDS主要用于保护单个主机或服务器,通过监测和分析主机上的日志和事件来检测潜在的入侵。
而NIDS则用于监测和分析网络流量,以识别网络中的异常活动和入侵行为。
二、入侵检测方法接下来我们将解释入侵检测技术中常用的几种方法。
入侵检测方法根据数据分析的方式不同,可以分为基于特征的入侵检测(Signature-based Intrusion Detection)和基于异常的入侵检测(Anomaly-based Intrusion Detection)。
基于特征的入侵检测方法是通过事先定义好的规则或特征来识别已知的攻击模式。
它可以将已知的攻击模式和攻击特征与实时监测的网络流量进行匹配,以检测出网络中的攻击行为。
而基于异常的入侵检测方法则是通过监测网络流量或主机运行状态,建立正常行为的模型,当检测到与模型不符的异常行为时,就会发出警告或采取相应的响应措施。
这种方法相对于基于特征的方法,更适用于检测未知的、新型的攻击。
三、入侵检测规则除了入侵检测方法外,入侵检测系统还使用入侵检测规则来定义和识别攻击模式。
入侵检测规则是一系列用于描述攻击特征或行为的规则,通常使用正则表达式等模式匹配技术进行定义。
网络安全入侵检测技术
比较
判定
修正指标:漏报率低,误报率高
异常检测特点
异常检测系统的效率取决于用户轮廓的完备性和监控的频率
不需要对每种入侵行为进行定义,因此能有效检测未知的入侵
系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源
指标:误报低、漏报高
误用检测前提:所有的入侵行为都有可被检测到的特征攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵过程:
如果控制台与IDS同在一台机器,alert信息将显示在监视器上,也可能伴随有声音提示
如果是远程控制台,那么alert将通过IDS的内置方法(通常是加密的)、SNMP(简单网络管理协议,通常不加密)、email、SMS(短信息)或者以上几种方法的混合方式传递给管理员
Alert(警报)
攻击特征是IDS的核心,它使IDS在事件发生时触发特征信息过短会经常触发IDS,导致误报或错报;过长则会影响IDS的工作速度
入侵检测系统(IDS)
入侵检测(Intrusion Detection)的定义:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。
入侵检测系统(IDS):进行入侵检测的软件与硬件的组合。
入侵检测的起源(1)
数据包=包头信息+有效数据部分
网络服务器1 网络服务器2
检测内容:包头信息+有效数据部分 X 客户端 Internet
注意:
在共享网段上对通信数据进行侦听采集数据主机资源消耗少
提供对网络通用的保护如何适应高速网络环境
非共享网络上如何采集数据
入侵检测技术
1.2 入侵检测系统的组成
用专家系统对入侵进行检测,经常是针对有特征的 入侵行为。规则,即是知识,不同的系统与设置具 有不同的规则,且规则之间往往无通用性。专家系 统的建立依赖于知识库的完备性,知识库的完备性 以取决于审计记录的完备性与实时性。入侵的特征 抽取与表达,是入侵检测专家系统的关键。在系统 实现中,将有关入侵的知识转化为if-then结构,条 件部分为入侵特征,then部分是系统防范措施。运 用专家系统防范有特征入侵行为的有效性完全取决 于专家系统知识库的完备性。
由于嗅探技术的限制,网络节点入侵检测仅仅能分析目 的地址是主机地址的包,但是由于网络节点入侵检测的 特性,当网络使用的是一个高速通信网络、加密网络或 者使用了交换式设备,网络节点入侵检测仍然能对所有 的子网进行检测。网络节点入侵检测的优势在于,能有 效的抵御针对特定主机的基于包的攻击。
1.3 常用的入侵检测方法 入侵检测系统常用的检测方法有特征测、统 计检测与专家系统。据公安部计算机信息系 统安全产品质量监督检验中心的报告,国内 送检的入侵检测产品中95%是属于使用入侵 模式匹配的特征检测产品,其他5%是采用 概率统计的统计检测产品与基于日志的专家 知识库型产品。
1.什么是入侵检测 入侵检测系统(IDS,Intrusion detection system)是为保证计算机系统的安全而设计与 配置的一种能够及时发现并报告系统中未授权 或异常现象的系统,是一种用于检测计算机网 络中违反安全策略行为的系统。入侵和滥用都 是违反安全策略的行为。
第9章 入侵检测技术
9.1.4 入侵检测系统的作用
入侵检测系统包括三个功能部件:提供事件记录流 的信息源、发现入侵迹象的分析引擎、基于分析引擎的 结果产生反应的响应部件。因此,IDS可以看作这样的 管理工具:它从计算机网络的各个关键点收集各种系统 和网络资源的信息,然后分析有入侵(来自组织外部的 攻击)和误用(源于内部组织的攻击)迹象的信息,并 识别这些行为和活动,在某些情况下,它可以自动地对 检测到的活动进行响应,报告检测过程的结果,从而帮 助计算机系统对付攻击。
1997年,Ross Anderson和Abida Khattak将信息检索技 术引进到了入侵检测领域。 1998年,W.Lee首次提出了运用数据挖掘技术对审计数据进 行处理。 1999年,Steven Cheung等人又提出了入侵容忍(Intrusion tolerance)的概念,在IDS中引入了容错技术。 2000年,Timm Bass提出了数据融合(Data Fusion)的 概念,将分布式入侵检测理解为在层次化模型下对多感应器的数 据综合问题。
该技术的关键是如何表达入侵的模式,把真正 的入侵行为与正常行为区分开来,因此入侵模式表 达的好坏直接影响入侵检测的能力。
优点:误报少; 缺点:只能发现攻击库中已知的攻击,且其复杂 性将随着攻击数量的增加而增加。
莆田学院计算网络教研室
9.1.5 入侵检测的分类
莆田学院计算网络教研室
9.1.5 入侵检测的分类
2.按照分析的方式
按照分析器所采用的数据分析方式,可分为:
异常检测系统
误用检测系统
混合检测系统。
莆田学院计算网络教研室
9.1.5 入侵检测的分类
异常检测(Anomaly detection)系统:假定 所有的入侵行为都与正常行为不同,建立正常活动 的简档,当主体活动违反其统计规律时,则将其视 为可疑行为。
入侵检测技术
入侵检测技术入侵检测技术是信息安全领域中一项重要的技术,用于监测和防止未经授权的第三方对计算机系统、网络或应用程序的非法访问或攻击。
随着信息技术的发展和网络的普及,入侵检测技术的重要性日益凸显,它可以帮助企业和个人及时发现并应对潜在的安全风险。
入侵检测技术一般可分为两种类型:基于特征的入侵检测和基于行为的入侵检测。
基于特征的入侵检测通过事先确定的特征值或规则来判断是否存在入侵行为。
这种方法需要建立一个特征数据库,并从传感器或网络流量中提取特征,然后与数据库中存储的特征进行匹配。
如果匹配成功,则认为存在入侵行为。
特征值可以包括某个程序的特定代码段、网络流量的特定模式等。
基于行为的入侵检测技术则通过分析计算机或网络系统的正常行为模式,来判断是否存在异常行为。
这种方法通常需要先建立一个正常行为模型,并通过统计学方法或机器学习算法来分析新数据是否与模型一致。
如果发现异常行为,则可能存在入侵行为。
为了有效地进行入侵检测,研究人员和安全专家们提出了各种不同的方法和技术。
其中之一是基于网络流量分析的入侵检测技术。
这种方法通过监测网络中的数据流量,分析其中的异常行为来检测入侵。
例如,当网络中某个主机发送异常数量的请求或大量的无效请求时,很可能存在入侵行为,系统可以及时给予响应并阻止该行为。
另一种常见的入侵检测技术是基于主机日志的入侵检测。
这种方法通过监测主机日志中的异常行为,来判断是否存在入侵行为。
例如,当某个主机的登录次数异常增多、文件的访问权限异常变更等,都可能是入侵行为的迹象。
通过对主机日志进行实时监测和分析,可以及时发现并应对潜在的入侵。
除了上述的方法,还有很多其他的入侵检测技术,如基于模式识别的入侵检测、基于数据挖掘的入侵检测等。
不同的技术和方法适用于不同的场景和情况,需要根据实际需求和情况进行选择和应用。
虽然入侵检测技术可以有效地帮助企业和个人发现和应对安全风险,但它也面临着一些挑战和限制。
首先,随着网络技术的不断发展和攻击手法的不断更新,入侵检测技术需要不断更新和升级,以适应新形势下的安全需求。
入侵检测技术
入侵检测技术
协议分析和状态协议分析与模式匹配比较:
入侵检测技术
3.状态转移分析
状态转移分析是使用高层状态转移图来表示和检测已知 入侵的误用检测技术。所有入侵者的入侵过程都可以看做是从 有限的特权开始,利用系统的弱点,逐步提升自身的权限。系 统状态迁移正是利用这一共性来表示入侵特征。入侵特征的状 态对应于系统状态,并具有迁移到另外状态的触发条件,通过 弧将连续的状态连接起来表示状态改变所需要的事件。在该方 法中,入侵以入侵者执行的活动序列来描述,该序列是从系统 的初始状态到达最终的危害状态。初始状态相对应于入侵开始 的状态,危害状态相对应于入侵完成时的系统状态。
信服的解释。
入侵检测技术
7.数据挖掘
数据挖掘采用的是以数据为中心的观点,它把入 侵检测问题看作一个数据分析过程,从审计数据流或网 络数据流中提取感兴趣的知识表示为概念、规则、规律、 模式等形式,用这些知识去检测异常入侵和已知的入侵。 具体的工作包括利用数据挖掘中的关联算法和序列挖掘 算法提取用户的行为模式,利用分类算法对用户行为和特 权程序的系统调用进行分类预测。
其优点是:原理简单、扩展性好、检测效 率比较高、可以实时检测;系统的实现、配置、维 护比较方便。缺点是:误报率比较高;在编写复杂 的入侵描述匹配规则时,需要的工作量大;不能检 测出未知的入侵行为。
入侵检测技术
2.专家系统
专家系统是最早的误用检测技术,早期的入侵检测系统 多使用这种技术。首先要把入侵行为编码成专家系统的规则, 使用类似于if…then的规则格式输入已有的知识(入侵模式)。 If部分为入侵特征,then部分为系统防范措施,当if部分的条 件全部满足时,触发then部分的防范措施,然后输入检测数据, 系统根据知识库中的内容对检测数据进行评估,判断是否存在 入侵行为。
入侵检测技术
入侵检测技术入侵检测系统IDS是对计算机和网络资源的恶意使用行为进行识别的系统。
它的目的是监测和发现可能存在的攻击行为,包犄来自系统外部的入侵行为和来自内部用户的非授权行为,并采取相应的防护手段。
一入侵检测系统的基本功能包括:监控和分析用户和系统的行为检查系统的配置和漏洞。
评估重要的系统和数据文件的完整性对异常行为的统计分析,识别攻击类型,并向网络管理人员报警对操作系统进行审计,跟踪管理,部分别违反授权的用户活动二入侵检测系统的结构一般是由事件发生器,事件分析器,单元与事件数据库组成。
1.事件发生器通用框架结构将入侵检测系统需要分析的数据统称为事件,它可以是网络中的数据包,也可以是从系统日志等其他途径行到的信息。
事件发生器产生的事件可能是经过协议解析的数据包,或者是从日志文件中提取的相关部分。
2.事件分析器事件分析器根据事件数据库的入侵特征描述,用户历史行为模型等,解析事件发生器产生的事件,行到格式化的描述,判断什么是合法的,什么是非法的。
3.响应单元响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接,张变文件属性或报警等响应。
4.事件数据库事件数据库存放攻击类型数据或者检测规则,它可以是复杂的数据库,也可以是简单的文本文件。
事件数据库储存有入侵特征描述,用户历史行为等模型和专家经验。
三入侵检测技术分类入侵检测技术,可以分为异常检测,误用检测及两种方式结合。
1.异常检测异常检测是指已知网络的正常活动状态,如果当前网络状态不符合正常的状态,则诊断有攻击发生。
异常检测系统的关键是建立一个对应正常网络活动的特征原型。
所用与特征原型中差别很大的行为被视为异常。
显然,入侵活动与异常活动是有区别的,关键剖是如何选择一个区分异常事件的阈值,才能减少漏报和误报的问题。
异常检测方法主要包括:基于统计异常检测,基于数据采掘的异常检测,基于神经网络入侵检测等。
(统计异常,数据采掘,神经网络)(1)检测完整性高,能够发现企图发掘,试探系统未知漏洞的行为(2)较少依赖于特定的操作系统环境(3)对合法用户雪域其权限的违法行为的检测能为很如。
入侵检测技术
作者
唐正军,现在上海交通大学信息与通信工程流动站从事博士后研究工作。近5年来发表学术论文20篇,出版网络安全相关技术著作3部,并参加国家自然科学基金儿863计划等国家重大项目多项。同时,申请技术专利和软件版权各1项。
(2)误用检测模型(MisuseDetection):检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。
(2)信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并发送给控制台。
(3)结果处理:控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。
对象划分
基于主机:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理(agent)来实现的,代理是运行在目标主机上的小的可执行程序,它们与命令控制台(console)通信。
基于网络:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器(sensor)组成,传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。
(网络安全实践技术)第5章入侵检测技术
05
CATALOGUE
案例分析与实践
典型入侵检测案例分析
案例1
某大型企业遭受DDoS攻击,导 致网络瘫痪。通过部署入侵检测 系统,成功识别并拦截攻击流量
,保障了网络正常运行。
案例2
某政府机构遭受高级持久性威胁 (APT)攻击,攻击者长期潜伏 并窃取敏感信息。通过入侵检测 技术,及时发现并处置了威胁,
。
A
B
C
D
经验4
建立安全事件应急响应机制,一旦发现可 疑行为或攻击事件,能够迅速处置并恢复 系统正常运行。
经验3
加强与其他安全组件的协同工作,如防火 墙、安全事件管理等,形成完整的网络安 全防护体系。
THANKS
感谢观看
无特征的入侵检测技术
01
总结词
无特征的入侵检测技术不依赖于攻击模式或正常行为模式,通过分析网
络流量、系统日志等信息中的无特征模式来检测入侵行为。
02 03详ຫໍສະໝຸດ 描述该技术通过分析网络流量、系统日志等信息中的统计特征、时间序列特 征等无特征信息,发现异常行为。由于不依赖于已知的攻击模式或正常 行为模式,该技术能够检测到未知的攻击方式。
总结词
混合入侵检测技术能够提高检测效率和准确性, 减少误报和漏报。
详细描述
该技术同时建立正常行为的模式和已知的攻击模 式,通过综合分析网络流量、系统日志等信息, 既能够检测到与正常模式偏离的行为,也能够检 测到与已知攻击模式匹配的行为。
详细描述
通过结合两种技术,混合入侵检测技术能够更全 面地覆盖各种入侵行为,提高整体检测效果。
混合式部署
结合集中式和分散式部署,以提高入侵检测的覆 盖范围和准确性。
入侵检测系统的实现步骤
入侵检测技术
入侵检测技术一、实验目的通过实验深入理解入侵检测系统的原理和工作方式,熟悉入侵检测系统的配置和使用。
实验具体要求如下:3.掌握Snort的安装、配置和使用等实用技术二、实验原理1、入侵检测概念及其功能入侵检测是指对入侵行为的发现、报警和响应,它通过对电脑网络或电脑系统中的假设干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测系统(intrusion detection system,IDS)是完成入侵检测功能的软件和硬件的集合。
入侵检测的功能主要表达在以下几个方面:1〕. 监视并分析用户和系统的活动。
2〕. 核查系统配置和漏洞。
3〕. 识别已知的攻击行为并报警。
4〕. 统计分析异常行为。
5〕. 评估系统关键资源和数据文件的完整性。
6〕. 操作系统的审计跟踪管理,并识别违反安全策略的用户行为。
2、入侵检测的分类根据IDS检测对象和工作方式的不同,可以将IDS分为基于网络的IDS(简称NIDS)和基于主机的IDS(简称HIDS)。
NIDS和HIDS互为补充,两者的结合使用使得IDS有了更强的检测能力。
1〕. 基于主机的入侵检测系统。
HIDS历史最久,最早用于审计用户的活动,比方用户登录、命令操作、应用程序使用资源情况等。
HIDS主要使用主机的审计记录和日志文件作为输入,某些HIDS也会主动与主机系统进行交互以获得不存在于系统日志的信息。
HIDS所收集的信息集中在系统调用和应用层审计上,试图从日志寻找滥用和入侵事件的线索。
HIDS用于保护单台主机不受网络攻击行为的侵害,需要安装在保护的主机上。
2〕. 基于网络的入侵检测系统。
NIDS是在网络中的某一点被动地监听网络上传输的原始流量,并通过协议分析、特征、统计分析等分析手段发现当前发生的攻击行为。
NIDS通过对流量分析提取牲模式,再与已知攻击牲相匹配或与正常网络行为原形相比较来识别攻击事件。
3、入侵检测系统1〕. 入侵检测系统的特点:入侵检测系统(Intrusion Detection System)是对防火墙有益的补充,它对网络和主机行为进行检测,提供对内部攻击、外部攻击和误操作的实时监控,增强了网络的安全性。
入侵检测技术
IDS旳功能与作用
• 辨认黑客常用入侵与攻击手段。入侵检测系统经过分析多种 攻击特征,能够全方面迅速地辨认探测攻击、拒绝服务攻击、 缓冲区溢出攻击、电子邮件攻击、浏览器攻击等多种常用攻 击手段,并做相应旳防范和向管理员发出警告
内容
• 入侵检测技术旳概念 • 入侵检测系统旳功能 • 入侵检测技术旳分类 • 入侵检测技术旳原理、构造和流程 • 入侵检测技术旳将来发展
基本概念
• 入侵检测技术是为确保计算机系统旳安全而设计与配置旳一种能 够及时发觉并报告系统中未授权或异常现象旳技术 ,是一种用于 检测计算机网络中违反安全策略行为旳技术。
• 监控网络异常通信。 IDS系统会对网络中不正常旳通信连接 做出反应,确保网络通信旳正当性;任何不符合网络安全策 略旳网络数据都会被 IDS侦测到并警告。
IDS旳功能与作用
• 鉴别对系统漏洞及后门旳利用 。 • 完善网络安全管理。 IDS经过对攻击或入侵旳
检测及反应,能够有效地发觉和预防大部分旳 网络入侵或攻击行为,给网络安全管理提供了 一种集中、以便、有效旳工具。使用IDS系统 旳监测、统计分析、报表功能,能够进一步完 善网管。
• 1996年, GRIDS(Graph-based Intrusion Detection System)设计和实现 处理了入侵检测系统伸缩性不足旳 问题,使得对大规模自动或协同攻击旳检测更为便利。 Forrest 等人将免疫原理用到分布式入侵检测领域
IDS旳发展史
• 1997年, Mark crosbie 和 Gene Spafford将 遗传算法利用到入侵检
网络安全与应用技术-第5章 入侵检测技术
IDS基本结构
入侵检测系统包括三个功能部件
(1)信息收集 (2)信息分析 (3)结果处理
信息搜集
信息收集
入侵检测的第一步是信息收集,收集内容包括系统、 网络、数据及用户活动的状态和行为
需要在计算机网络系统中的若干不同关键点(不同 网段和不同主机)收集信息 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点
入侵检测(Intrusion Detection)是对入侵行 为的发觉。它通过从计算机网络或计算机系统 的关键点收集信息并进行分析,从中发现网络 或系统中是否有违反安全策略的行为和被攻击 的迹象
入侵检测的定义
对系统的运行状态进行监视,发现各种攻 击企图、攻击行为或者攻击结果,以保证 系统资源的机密性、完整性和可用性
第五章 入侵检测技术
1. 概述 2. 入侵检测方法 3. 入侵检测系统的设计原理 4. 入侵检测响应机制 5. 入侵检测标准化工作 6. 其它 7. 展望
概述 2. 入侵检测方法 3. 入侵检测系统的设计原理 4. 入侵检测响应机制 5. 入侵检测标准化工作 6. 其它 7. 展望
IDS存在与发展的必然性
CMDS™、NetProwler™、NetRanger™ ISS RealSecure™
由于目前的入侵检测系统大部分是基于各自的需 求和设计独立开发的,不同系统间缺乏操作性和 互用性,这对入侵检测系统的发展造成了障碍, 因此DARPA(Defense Advanced Research Projects Agency,美国国防部高级研究计划局) 于1997年3月开始着手CIDF(Common Intrusion Detection Framework,公共入侵检测框架)标准 的制定,以便更高效地开发入侵检测系统。国内 在这方面的研究刚开始起步,但也已经开始着手 入侵检测标准IDF的研究与制定。
网络安全第10章入侵检测技术
第10章 入侵检测技术
10.1 入侵检测概述 10.2 入侵检测的技术实现 10.3 入侵检测技术的性能指标和评估标准
第10章 入侵检测技术
10.1 入侵检测概述
10.1.1 入侵检测系统的基本概念
Anderson将入侵尝试或威胁定义为:潜在的、有预谋 的、未经授权的访问信息、操作信息、致使系统不可靠 或无法使用的企图。而入侵检测的定义为:发现非授权 使用计算机的个体(如“黑客”)或计算机系统的合法 用户滥用其访问系统的权利以及企图实施上述行为的个 体。执行入侵检测任务的程序即是入侵检测系统。入侵 检测系统也可以定义为:检测企图破坏计算机资源的完 整性,真实性和可用性的行为的软件。
及时性(Timeliness):及时性要求IDS必须尽快地分析数据并把 分析结果传播出去,以使系统安全管理者能够在入侵攻击尚未造成 更大危害以前做出反应,阻止入侵者进一步的破坏活动,和上面的 处理性能因素相比,及时性的要求更高。它不仅要求IDS的处理速 度要尽可能地快,而且要求传播、反应检测结果信息的时间尽可能 少。
入侵检测的目的:(1)识别入侵者;(2)识别入 侵行为;(3)检测和监视以实施的入侵行为;(4) 为对抗入侵提供信息,阻止入侵的发生和事态的扩大;
第10章 入侵检测技术
10.1.2 入侵检测系统的结构
响应单元
输出:反应或事件
输出:高级中断事件
事件分析器
输出:事件的存储信息
事件数据库
输出:原始或低级事件
10.1.4 入侵检测系统的分类
入侵检测系统按其检测的数据来源,可分为基于主机 的入侵检测系统和基于网络的入侵检测系统。
目标系统 审计记录
审计记录收集方法
审计记录预处理
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第五章 入侵检测技术
近年来,入侵检测技术研究的主要创新有: 近年来,入侵检测技术研究的主要创新有: Forrest等将免疫学原理运用于分布式入侵检测 等将免疫学原理运用于分布式入侵检测 领域;1998年Ross Anderson和Abida Khattak将 领域; 年 和 将 信息检索技术引进入侵检测; 信息检索技术引进入侵检测;以及采用状态转换 分析、 分析、数据挖掘和遗传算法等进行误用和异常检 测。
监视、分析用户及系统活动; 监视、分析用户及系统活动; 系统构造和弱点的审计; 系统构造和弱点的审计; 识别分析知名攻击的行为特征并告警; 识别分析知名攻击的行为特征并告警; 异常行为特征的统计分析; 异常行为特征的统计分析; 评估重要系统和数据文件的完整性; 评估重要系统和数据文件的完整性; 操作系统的审计跟踪管理, 操作系统的审计跟踪管理,并识别用户违反安全策略 的行为。 的行为。
返回本章首页
第五章 入侵检测技术
1990年 , Heberlein等人提出了一个具有里 年 等人提出了一个具有里 程碑意义的新型概念:基于网络的入侵检测—— 程碑意义的新型概念:基于网络的入侵检测 网 络 安 全 监 视 器 NSM(Network Security ( Monitor)。1991年,NADIR(Network Anomaly ) 年 ( Detection and Intrusion Reporter) 与 DIDS ) (Distribute Intrusion Detection System) 提出 ) 了通过收集和合并处理来自多个主机的审计信息 可以检测出一系列针对主机的协同攻击。 可以检测出一系列针对主机的协同攻击。
返回本章首页
第五章 入侵检测技术
5.2.1 入侵检测分析模型
分析是入侵检测的核心功能, 分析是入侵检测的核心功能,它既能简单到 像一个已熟悉日志情况的管理员去建立决策表, 像一个已熟悉日志情况的管理员去建立决策表, 也能复杂得像一个集成了几百万个处理的非参数 系统。入侵检测的分析处理过程可分为三个阶段: 系统。入侵检测的分析处理过程可分为三个阶段: 构建分析器,对实际现场数据进行分析, 构建分析器,对实际现场数据进行分析,反馈和 提炼过程。其中,前两个阶段都包含三个功能: 提炼过程。其中,前两个阶段都包含三个功能: 数据处理、数据分类(数据可分为入侵指示、 数据处理、数据分类(数据可分为入侵指示、非 入侵指示或不确定)和后处理。 见书p108) 入侵指示或不确定)和后处理。(见书p108)
返回本章首页
第五章 入侵检测技术
5.1.2 系统结构
由于网络环境和系统安全策略的差异, 由于网络环境和系统安全策略的差异,入侵 检测系统在具体实现上也有所不同。 检测系统在具体实现上也有所不同。从系统构成 上看,入侵检测系统应包括事件提取、入侵分析、 上看,入侵检测系统应包括事件提取、入侵分析、 入侵响应和远程管理四大部分, 入侵响应和远程管理四大部分,另外还可能结合 安全知识库、数据存储等功能模块, 安全知识库、数据存储等功能模块,提供更为完 善的安全检测及数据分析功能(如图5-3所示 所示) 善的安全检测及数据分析功能 ( 如图 所示 ) 。
返回本章首页
第五章 入侵检测技术
5.2 入侵检测的技术实现
对于入侵检测的研究, 对于入侵检测的研究,从早期的审计跟踪数 据分析,到实时入侵检测系统, 据分析,到实时入侵检测系统,到目前应用于大 型网络的分布式检测系统, 型网络的分布式检测系统,基本上已发展成为具 有一定规模和相应理论的研究领域。 有一定规模和相应理论的研究领域。入侵检测的 核心问题在于如何对安全审计数据进行分析, 核心问题在于如何对安全审计数据进行分析,以 检测其中是否包含入侵或异常行为的迹象。这里, 检测其中是否包含入侵或异常行为的迹象。这里, 我们先从误用检测和异常检测两个方面介绍当前 关于入侵检测技术的主流技术实现, 关于入侵检测技术的主流技术实现,然后对其它 类型的检测技术作简要介绍。 类型的检测技术作简要介绍。
返回本章首页
第五章 入侵检测技术
3.基于检测时效的分类 . IDS在处理数据的时候可以采用实时在线检测方式, 在处理数据的时候可以采用实时在线检测方式, 在处理数据的时候可以采用实时在线检测方式 也可以采用批处理方式, 也可以采用批处理方式,定时对处理原始数据进行离线 检测,这两种方法各有特点。 检测,这两种方法各有特点。 离线检测方式将一段时间内的数据存储起来, 离线检测方式将一段时间内的数据存储起来,然后 定时发给数据处理单元进行分析, 定时发给数据处理单元进行分析,如果在这段时间内有 攻击发生就报警。 攻击发生就报警 。 在线检测方式的实时处理是大多数 IDS所采用的办法, 由于计算机硬件速度的提高 ,使得 所采用的办法, 所采用的办法 由于计算机硬件速度的提高, 对攻击的实时检测和响应成为可能。 对攻击的实时检测和响应成为可能。也可把两种方法结 合使用,实时处理先对数据作初步分析, 合使用,实时处理先对数据作初步分析,检测明显的攻 击特征,然后批处理对数据进行更加详细的分析, 击特征,然后批处理对数据进行更加详细的分析,分析 的结果还可以训练异常检测系统。 的结果还可以训练异常检测系统。
返回本章首页
第五章 入侵检测技术
图5-2 入侵检测原理框图
返回本章首页
第五章 入侵检测技术
入侵检测系统( 入侵检测系统(Intrusion Detection System, , IDS)就是执行入侵检测任务的硬件或软件产品。 )就是执行入侵检测任务的硬件或软件产品。 IDS通过实时的分析,检查特定的攻击模式、系 通过实时的分析, 通过实时的分析 检查特定的攻击模式、 统配置、系统漏洞、 统配置、系统漏洞、存在缺陷的程序版本以及系 统或用户的行为模式,监控与安全有关的活动。 统或用户的行为模式,监控与安全有关的活动。 一个基本的入侵检测系统需要解决两个问 题:一是如何充分并可靠地提取描述行为特征的 数据;二是如何根据特征数据, 数据;二是如何根据特征数据,高效并准确地判 定行为的性质。 定行为的性检测技术
1994年, Mark Crosbie和Gene Spafford建 年 和 建 议使用自治代理( 议使用自治代理 ( autonomous agents) 以提高 ) IDS的可伸缩性、可维护性、效率和容错性,该 的可伸缩性、 的可伸缩性 可维护性、效率和容错性, 理念非常符合计算机科学其他领域(如软件代理, 理念非常符合计算机科学其他领域(如软件代理, software agent) 正在进行的相关研究 。 另一个 agent) 正在进行的相关研究。 致力于解决当代绝大多数入侵检测系统伸缩性不 足的方法于1996年提出,这就是 年提出, 足的方法于 年提出 这就是GrIDS(Graph( based Intrusion Detection System)的设计和实 ) 现,该系统可以方便地检测大规模自动或协同方 式的网络攻击。 式的网络攻击。
返回本章首页
第五章 入侵检测技术
2.基于检测理论的分类 . 从具体的检测理论上来说,入侵检测又可分为异常检测和误用 从具体的检测理论上来说 , 入侵检测又可分为 异常检测和误用 检测。 检测。 异常检测( 异常检测 ( Anomaly Detection)指根据使用者的行为或资源使 ) 用状况的正常程度来判断是否入侵, 用状况的正常程度来判断是否入侵 , 而不依赖于具体行为是否出现 来检测。 来检测。 误用检测(Misuse Detection)指运用已知攻击方法,根据已定 误用检测( ) 指运用已知攻击方法, 义好的入侵模式,通过判断这些入侵模式是否出现来检测。 义好的入侵模式 , 通过判断这些入侵模式是否出现来检测 。 因为很 大一部分入侵利用系统的脆弱性,通过分析入侵过程的特征、条件、 大一部分入侵利用系统的脆弱性 , 通过分析入侵过程的特征 、 条件 、 顺序及事件间的关系, 可以具体描述入侵行为的迹象。 顺序及事件间的关系 , 可以具体描述入侵行为的迹象 。 所以又称为 特征分析或基于知识的检测。 特征分析或基于知识的检测。
返回本章首页
第五章 入侵检测技术
5.1.3 系统分类
由于功能和体系结构的复杂性, 由于功能和体系结构的复杂性,入侵检测按 照不同的标准有多种分类方法。可分别从数据源 数据源、 照不同的标准有多种分类方法。可分别从数据源、 检测理论、检测时效三个方面来描述入侵检测系 检测理论、检测时效三个方面来描述入侵检测系 统的类型。 统的类型。 1.基于数据源的分类 . 通常可以把入侵检测系统分为五类, 通常可以把入侵检测系统分为五类,即基于 主机、基于网络、混合入侵检测、 主机、基于网络、混合入侵检测、基于网关的入 侵检测系统以及文件完整性检查系统。 侵检测系统以及文件完整性检查系统。
返回本章首页
第五章 入侵检测技术
5.1.1 入侵检测原理
给出了入侵检测的基本原理图。 图 5-2给出了入侵检测的基本原理图 。 入侵 给出了入侵检测的基本原理图 检测是用于检测任何损害或企图损害系统的保密 完整性或可用性的一种网络安全技术。 性、完整性或可用性的一种网络安全技术。它通 过监视受保护系统的状态和活动, 过监视受保护系统的状态和活动,采用误用检测 ( Misuse Detection) 或 异 常 检 测 ( Anomaly ) Detection) 的方式 , 发现非授权的或恶意的系 ) 的方式, 统及网络行为,为防范入侵行为提供有效的手段。 统及网络行为,为防范入侵行为提供有效的手段。
返回本章首页
第五章 入侵检测技术
返回本章首页
第五章 入侵检测技术
1 9 8 8 年 Teresa Lunt 等 人 进 一 步 改 进 了 Denning提出的入侵检测模型 , 并创建了 提出的入侵检测模型, 提出的入侵检测模型 并创建了IDES (Intrusion Detection Expert System),该系统 ) 用于检测单一主机的入侵尝试, 用于检测单一主机的入侵尝试,提出了与系统平 台无关的实时检测思想, 年开发的NIDES 台无关的实时检测思想 , 1995年开发的 年开发的 (Next-Generation Intrusion Detection Expert System) 作为 ) 作为IDES完善后的版本可以检测出多 完善后的版本可以检测出多 个主机上的入侵。 个主机上的入侵。