网络信息安全技术(第二版)第7章网络入侵检测原理与技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第7章 网络入侵检测原理与技术
位置1 感应器1位于防火墙外侧的非系统信任域, 它将负责 检测来自外部的所有入侵企图(这可能产生大量的报告)。通过 分析这些攻击来帮助我们完善系统并决定要不要在系统内部部署 IDS。对于一个配置合理的防火墙来说, 这些攻击不会带来严重 的问题,因为只有进入内部网络的攻击才会对系统造成真正的损 失。
第7章 网络入侵检测原理与技术
Internet
1 2
防火 墙 3
WWW服 务 器 邮件 服务器
销售 部门
… 生产 部门
人劳 部门
图7.4 IDS在网络中的位置
第7章 网络入侵检测原理与技术
7.2 入侵检测方法
7.2.1 基于概率统计的检测 基于概率统计的检测技术是在异常入侵检测中用的最
第7章 网络入侵检测原理与技术
第7章 网络入侵检测原理与技术
第7章 网络入侵检测原理与技术
(1) 监视、 分析用户及系统活动; (2) 系统构造和弱点的审计; (3) 识别反映已知进攻的活动模式并向相关人士报警; (4) 异常行为模式的统计分析; (5) 评估重要系统和数据文件的完整性; (6) 操作系统的审计跟踪管理, 并识别用户违反安全策略 的行为。
第7章 网络入侵检测原理与技术
(1) 统计异常检测方法; (2) 特征选择异常检测方法; (3) 基于贝叶斯推理异常检测方法; (4) 基于贝叶斯网络异常检测方法; (5) 基于模式预测异常检测方法。 其中比较成熟的方法是统计异常检测方法和特征选择异常 检测方法,目前,已经有根据这两种方法开发而成的软件产品 面市, 其它的方法目前还都停留在理论研究阶段。
位置2 很多站点都把对外提供服务的服务器单独放在一个隔 离的区域,通常称为DMZ非军事化区。在此放置一个检测引擎 是非常必要的,因为这里提供的很多服务都是黑客乐于攻击的目 标。
第7章 网络入侵检测原理与技术
位置3 这里应该是最重要、最应该放置检测引擎的地方。 对于那些已经透过系统边缘防护,进入内部网络准备进行恶意 攻击的黑客, 这里正是利用IDS系统及时发现并作出反应的最佳 时机和地点。
事件产生器
行为特征模块
异常记录 变量阀值
规则更新 规则模块
图 7.1 通用的入侵检测系统模型
第7章 网络入侵检测原理与技术 1. 异常检测原理
命令、系统调用、应 用类型、活动度量、 CPU使用、网络连接
正常 行为
异常行为
图7.2 异常检测原理模型
第7章 网络入侵检测原理与技术
从图7.2可以看出,异常检测原理根据假设攻击与正常的 (合法的)活动有很大的差异来识别攻击。异常检测首先收集 一段时期正常操作活动的历史记录, 再建立代表用户、主机或 网络连接的正常行为轮廓,然后收集事件数据并使用一些不同 的方法来决定所检测到的事件活动是否偏离了正常行为模式。 基于异常检测原理的入侵检测方法和技术有以下几种方法:
第7章 网络入侵检测原理与技术
第7章 网络入侵检测原理与技术
7.1 入侵检测原理 7.2 入侵检测方法 7.3 入侵检测系统 5.5 入侵检测系统的测试评估 5.6 几种常见的IDS系统 5.7 入侵检测技术发展方向
第7章 网络入侵检测原理与技术
7.1.1 入侵检测原理
7.1.1
入侵检测作为其它经典手段的补充和加强,是任何一个安全系 统中不可或缺的最后一道防线。攻击检测可以分为两种方法: 被动、 非在线地发现和实时、在线地发现计算机网络系统中的攻击者。 从 大量非法入侵或计算机盗窃案例可以清晰地看到, 计算机系统的最 基本防线“存取控制”或“访问控制”,在许多场合并不是防止外 界非法入侵和防止内部用户攻击的绝对无懈可击的屏障。大量攻击 成功的案例是由于系统内部人员不恰当地或恶意地滥用特权而导致 的。入侵检测则类似于治安巡逻队,专门注重于发现形迹可疑者, 信息系统的攻击者很有可能通过了城门的身份检查,或者爬越了城 墙而混入城中,这时要想进一步加强信息系统的安全强度,就需要 增派一支巡逻队,专门负责检查在城市中鬼鬼祟祟行动可疑的人员。
第7章 网络入侵检测原理与技术
7.1.2 最早的入侵检测模型是由Dorothy Denning于1987年提
出的, 该模型虽然与具体系统和具体输入无关,但是对此 后的大部分实用系统都有很大的借鉴价值。图5.2表示了该 通用模型的体系结构。
第7章 网络入侵检测原理与技术
审计记录、网络数据包等
特征表更新
第7章 网络入侵检测原理与技术
对一个成功的入侵检测系统来讲,它不但可使系统管理员 时刻了解网络系统(包Байду номын сангаас程序、文件和硬件设备等)的任何变 更, 还能给网络安全策略的制定提供指南。 更为重要的一点是, 它应该管理、配置简单,从而使非专业人员非常容易地获得网 络安全。 而且,入侵检测的规模还应根据网络威胁、系统构造 和安全需求的改变而改变。入侵检测系统在发现入侵后,会及 时作出响应, 包括切断网络连接、 记录事件和报警等。
第7章 网络入侵检测原理与技术
2. 该原理是指根据已经知道的入侵方式来检测入侵。入侵者 常常利用系统和应用软件中的弱点或漏洞来攻击系统,而这些 弱点或漏洞可以编成一些模式, 如果入侵者的攻击方式恰好与 检测系统模式库中的某种方式匹配,则认为入侵即被检测到了, 如图7.3所示。
第7章 网络入侵检测原理与技术
第7章 网络入侵检测原理与技术
7.1.3 IDS在网络中的位置
当实际使用检测系统的时候,首先面临的问题就是决定应 该在系统的什么位置安装检测和分析入侵行为用的感应器 (Sensor)或检测引擎(Engine)。 对于基于主机的IDS,一般来说 直接将检测代理安装在受监控的主机系统上。对于基于网络 IDS, 情况稍微复杂, 下面以一常见的网络拓扑结构来分析 IDS检测引擎应该位于网络中的哪些位置。
匹配
模式库
攻击者
报警
图 7.3 误用检测原理模型
第7章 网络入侵检测原理与技术 基于误用检测原理的入侵检测方法和技术主要有以下几种: (1) 基于条件的概率误用检测方法; (2) 基于专家系统误用检测方法; (3) 基于状态迁移分析误用检测方法; (4) 基于键盘监控误用检测方法; (5) 基于模型误用检测方法。