网络信息安全技术(第二版)第7章网络入侵检测原理与技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
事件产生器
行为特征模块
异常记录 变量阀值
规则更新 规则模块
图 7.1 通用的入侵检测系统模型
第7章 网络入侵检测原理与技术 1. 异常检测原理
命令、系统调用、应 用类型、活动度量、 CPU使用、网络连接
正常 行为
异常行为
图7.2 异常检测原理模型
第7章 网络入侵检测原理与技术
从图7.2可以看出,异常检测原理根据假设攻击与正常的 (合法的)活动有很大的差异来识别攻击。异常检测首先收集 一段时期正常操作活动的历史记录, 再建立代表用户、主机或 网络连接的正常行为轮廓,然后收集事件数据并使用一些不同 的方法来决定所检测到的事件活动是否偏离了正常行为模式。 基于异常检测原理的入侵检测方法和技术有以下几种方法:
第7章 网络入侵检测原理与技术
2. 该原理是指根据已经知道的入侵方式来检测入侵。入侵者 常常利用系统和应用软件中的弱点或漏洞来攻击系统,而这些 弱点或漏洞可以编成一些模式, 如果入侵者的攻击方式恰好与 检测系统模式库中的某种方式匹配,则认为入侵即被检测到了, 如图7.3所示。
第7章 网络入侵检测原理与技术
第7章 网络入侵检测原理与技术
位置1 感应器1位于防火墙外侧的非系统信任域, 它将负责 检测来自外部的所有入侵企图(这可能产生大量的报告)。通过 分析这些攻击来帮助我们完善系统并决定要不要在系统内部部署 IDS。对于一个配置合理的防火墙来说, 这些攻击不会带来严重 的问题,因为只有进入内部网络的攻击才会对系统造成真正的损 失。
第7章 网络入侵检测原理与技术
(1) 监视、 分析用户及系统活动; (2) 系统构造和弱点的审计; (3) 识别反映已知进攻的活动模式并向相关人士报警; (4) 异常行为模式的统计分析; (5) 评估重要系统和数据文件的完整性; (6) 操作系统的审计跟踪管理, 并识别用户违反安全策略 的行为。
第7章 网络入侵检测原理与技术
第7章 网络入侵检测原理与技术
7.1.3 IDS在网络中的位置
当实际使用检测系统的时候,首先面临的问题就是决定应 该在系统的什么位置安装检测和分析入侵行为用的感应器 (Sensor)或检测引擎(Engine)。 对于基于主机的IDS,一般来说 直接将检测代理安装在受监控的主机系统上。对于基于网络 IDS, 情况稍微复杂, 下面以一常见的网络拓扑结构来分析 IDS检测引擎应该位于网络中的哪些位置。
第7章 网络入侵检测原理与技术
第7章 网络入侵检测原理与技术
7.1 入侵检测原理 7.2 入侵检测方法 7.3 入侵检测系统 5.5 入侵检测系统的测试评估 5.6 几种常见的IDS系统 5.7 入侵检测技术发展方向
第7章 网络入侵检测原理与技术
第7章 网络入侵检测原理与技术
第7章 网络入侵检测原理与技术
第7章 网络入侵检测原理与技术
7.1.2 最早的入侵检测模型是由Dorothy Denning于1987年提
出的, 该模型虽然与具体系统和具体输入无关,但是对此 后的大部分实用系统都有很大的借鉴价值。图5.2表示了该 通用模型的体系结构。
第7章 网络入侵检测原理与技术
审计记录、网络数据包等
特征表更新
匹配ຫໍສະໝຸດ Baidu
模式库
攻击者
报警
图 7.3 误用检测原理模型
第7章 网络入侵检测原理与技术 基于误用检测原理的入侵检测方法和技术主要有以下几种: (1) 基于条件的概率误用检测方法; (2) 基于专家系统误用检测方法; (3) 基于状态迁移分析误用检测方法; (4) 基于键盘监控误用检测方法; (5) 基于模型误用检测方法。
对一个成功的入侵检测系统来讲,它不但可使系统管理员 时刻了解网络系统(包括程序、文件和硬件设备等)的任何变 更, 还能给网络安全策略的制定提供指南。 更为重要的一点是, 它应该管理、配置简单,从而使非专业人员非常容易地获得网 络安全。 而且,入侵检测的规模还应根据网络威胁、系统构造 和安全需求的改变而改变。入侵检测系统在发现入侵后,会及 时作出响应, 包括切断网络连接、 记录事件和报警等。
入侵检测是对传统安全产品的合理补充,帮助系统对付网 络攻击,扩展了系统管理员的安全管理能力(包括安全审计、 监视、 进攻识别和响应), 提高了信息安全基础结构的完整性。 它从计算机网络系统中的若干关键点收集信息,并分析这些信 息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网 络性能的情况下能对网络进行监测,从而提供对内部攻击、外 部攻击和误操作的实时保护。这些都通过它执行以下任务来实 现:
第7章 网络入侵检测原理与技术
Internet
1 2
防火 墙 3
WWW服 务 器 邮件 服务器
销售 部门
… 生产 部门
人劳 部门
图7.4 IDS在网络中的位置
第7章 网络入侵检测原理与技术
7.2 入侵检测方法
7.2.1 基于概率统计的检测 基于概率统计的检测技术是在异常入侵检测中用的最
普遍的技术,它是对用户历史行为建立的模型。根据该模 型,当发现有可疑的用户行为发生时保持跟踪,并监视和 记录该用户的行为。
第7章 网络入侵检测原理与技术
基于概率统计的检测技术旨在对用户历史行为建模。根 据该模型,当发现有可疑的用户行为发生时,保持跟踪,并 监视和记录该用户的行为。SRI(StandfordResearchInstitute) [JP]研制开发的IDES(IntrusionDetectionExpertSystem)是一 个典型的实时检测系统。IDES系统能根据用户以前的历史行 为,生成每个用户的历史行为记录库,并能自适应地学习被 检测系统中每个用户的行为习惯,当某个用户改变其行为习 惯时,这种异常就被检测出来。这种系统具有固有的弱点, 比如,用户的行为非常复杂,因而要想准确地匹配一个用户 的历史行为和当前行为是非常困难的。这种方法的一些假设 是不准确或不贴切的,会造成系统误报或错报、漏报。
位置2 很多站点都把对外提供服务的服务器单独放在一个隔 离的区域,通常称为DMZ非军事化区。在此放置一个检测引擎 是非常必要的,因为这里提供的很多服务都是黑客乐于攻击的目 标。
第7章 网络入侵检测原理与技术
位置3 这里应该是最重要、最应该放置检测引擎的地方。 对于那些已经透过系统边缘防护,进入内部网络准备进行恶意 攻击的黑客, 这里正是利用IDS系统及时发现并作出反应的最佳 时机和地点。
第7章 网络入侵检测原理与技术
(1) 统计异常检测方法; (2) 特征选择异常检测方法; (3) 基于贝叶斯推理异常检测方法; (4) 基于贝叶斯网络异常检测方法; (5) 基于模式预测异常检测方法。 其中比较成熟的方法是统计异常检测方法和特征选择异常 检测方法,目前,已经有根据这两种方法开发而成的软件产品 面市, 其它的方法目前还都停留在理论研究阶段。