入侵检测系统(IDS)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实用文档
入侵检测的概念
❖ 入侵检测(Intrusion Detection):通过从计算机 网络或计算机系统的关键点收集信息并进行分析, 从中发现网络或系统中是否有违反安全策略的行为 和被攻击的迹象。
❖ 入侵检测系统(IDS):入侵检测系统是软件与硬件 的组合,是防火墙的合理补充,是防火墙之后的第 二道安全闸门。
实用文档
入侵检测的工作过程
❖ 信息收集
检测引擎从信息源收集系统、网络、状态和行为信息。
❖ 信息分析
从信息中查找和分析表征入侵的异常和可疑信息。
❖ 告警与响应
根据入侵性质和类型,做出相应的告警和响应。
实用文档
信息收集
❖ 入侵检测的第一步是信息收集,收集内容包括系统 、网络、数据及用户活动的状态和行为
统计模型
误报、漏报较多
❖ 完整性分析
关注某个文件或对象是否被更改
事后分析
实用文档
17
模式匹配
❖ 模式匹配就是将收集到的信息与已知的网络入侵和 系统误用模式数据库进行比较,从而发现违背安全 策略的行为
❖ 一般来讲,一种攻击模式可以用一个过程(如执行 一条指令)或一个输出(如获得权限)来表示。该 过程可以很简单(如通过字符串匹配以寻找一个简 单的条目或指令),也可以很复杂(如利用正规的 数学表达式来表示安全状态的变化)
实用文档
23
异常检测模型
❖ 如果系统错误地将异常活动定义为入侵,称为误报 (false positive) ;如果系统未能检测出真正的入 侵行为则称为漏报(false negative)。
❖ 特点:异常检测系统的效率取决于用户轮廓的完备 性和监控的频率。因为不需要对每种入侵行为进行 定义,因此能有效检测未知的入侵。同时系统能针 对用户行为的改变进行自我调整和优化,但随着检 测模型的逐步精确,异常检测会消耗更多的系统资 源。
包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效
实用文档
❖ 主动响应 ❖ 被动响应
响应动作
实用文档
入侵检测性能关键参数
❖ 误报(false positive):如果系统错误地将异常活 动定义为入侵
❖ 漏报(false negative):如果系统未能检测出真正 的入侵行为
性,防止被篡改而收集到错误的信息
实用文档
信息收集
❖ 系统和网络日志文件 ❖ 目录和文件中的不期望的改变 ❖ 程序执行中的不期望行为 ❖ 物理形式的入侵信息
实用文档
信息分析
❖ 模式匹配----误用检测(Misuse Detection)
维护一个入侵特征知识库
准确性高
❖ 统计分析--------异常检测(Anomaly Detection)
网络入侵的特点
❖ 网络入侵的特点
没有地域和时间的限制; 通过网络的攻击往往混杂在大量正常的网络活动之间,
隐蔽wenku.baidu.com强; 入侵手段更加隐蔽和复杂。
实用文档
为什么需要IDS?
❖ 单一防护产品的弱点
防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁
实用文档
为什么需要IDS?
❖ 关于防火墙
网络边界的设备,只能抵挡外部來的入侵行为 自身存在弱点,也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护,合法的使用者仍会非法地使用
系统,甚至提升自己的权限 仅能拒绝非法的连接請求,但是对于入侵者的攻击行为
仍一无所知
实用文档
为什么需要IDS?
❖ 入侵很容易
入侵教程随处可见 各种工具唾手可得
入侵检测系统的功能
❖ 监控用户和系统的活动 ❖ 查找非法用户和合法用户的越权操作 ❖ 检测系统配置的正确性和安全漏洞 ❖ 评估关键系统和数据的完整性 ❖ 识别攻击的活动模式并向网管人员报警 ❖ 对用户的非正常活动进行统计分析,发现入侵行为
的规律 ❖ 操作系统审计跟踪管理,识别违反政策的用户活动 ❖ 检查系统程序和数据的实一用文致档 性与正确性
❖ 入侵检测的内容:试图闯入、成功闯入、冒充其他
用户、违反安全策略、合法用户的泄漏、独占资源
以及恶意使用。
实用文档
入侵检测的职责
❖ IDS系统主要有两大职责:实时检测和安全审计,具 体包含4个方面的内容
识别黑客常用入侵与攻击 监控网络异常通信 鉴别对系统漏洞和后门的利用 完善网络安全管理
实用文档
入侵检测系统模型(Denning)
实用文档
入侵检测系统模型(CIDF)
实用文档
入侵检测系统的组成特点
❖ 入侵检测系统一般是由两部分组成:控制中心和探 测引擎。控制中心为一台装有控制软件的主机,负 责制定入侵监测的策略,收集来自多个探测引擎的 上报事件,综合进行事件分析,以多种方式对入侵 事件作出快速响应。探测引擎负责收集数据,作处 理后,上报控制中心。控制中心和探测引擎是通过 网络进行通讯的,这些通讯的数据一般经过数据加 密。
入侵检测系统IDS
实用文档
黑客攻击日益猖獗,防范问题日趋 严峻
❖ 政府、军事、邮电和金融网络是黑客攻击的主要目 标。即便已经拥有高性能防火墙等安全产品,依然 抵挡不住这些黑客对网络和系统的破坏。据统计, 几乎每20秒全球就有一起黑客事件发生,仅美国每 年所造成的经济损失就超过100亿美元。
实用文档
实用文档
统计分析
❖ 统计分析方法首先给系统对象(如用户、文件、目 录和设备等)创建一个统计描述,统计正常使用时 的一些测量属性(如访问次数、操作失败次数和延 时等)
❖ 测量属性的平均值和偏差被用来与网络、系统的行 为进行比较,任何观察值在正常值范围之外时,就 认为有入侵发生
实用文档
完整性分析
❖ 完整性分析主要关注某个文件或对象是否被更改
实用文档
入侵检测系统分类(一)
❖ 按照分析方法(检测方法)
异常检测模型(Anomaly Detection ):首先总结正常操 作应该具有的特征(用户轮廓),当用户活动与正常行 为有重大偏离时即被认为是入侵
误用检测模型(Misuse Detection):收集非正常操作的 行为特征,建立相关的特征库,当监测的用户或系统行 为与库中的记录相匹配时,系统就认为这种行为是入侵
❖ 需要在计算机网络系统中的若干不同关键点(不同 网段和不同主机)收集信息,这样做的理由就是从 一个来源的信息有可能看不出疑点,但从几个来源 的信息的不一致性却是可疑行为或入侵的最好标识 。
实用文档
信息收集
❖ 入侵检测的效果很大程度上依赖于收集信息的可靠 性和正确性
❖ 要保证用来检测网络系统的软件的完整性 ❖ 特别是入侵检测系统软件本身应具有相当强的坚固
入侵检测的概念
❖ 入侵检测(Intrusion Detection):通过从计算机 网络或计算机系统的关键点收集信息并进行分析, 从中发现网络或系统中是否有违反安全策略的行为 和被攻击的迹象。
❖ 入侵检测系统(IDS):入侵检测系统是软件与硬件 的组合,是防火墙的合理补充,是防火墙之后的第 二道安全闸门。
实用文档
入侵检测的工作过程
❖ 信息收集
检测引擎从信息源收集系统、网络、状态和行为信息。
❖ 信息分析
从信息中查找和分析表征入侵的异常和可疑信息。
❖ 告警与响应
根据入侵性质和类型,做出相应的告警和响应。
实用文档
信息收集
❖ 入侵检测的第一步是信息收集,收集内容包括系统 、网络、数据及用户活动的状态和行为
统计模型
误报、漏报较多
❖ 完整性分析
关注某个文件或对象是否被更改
事后分析
实用文档
17
模式匹配
❖ 模式匹配就是将收集到的信息与已知的网络入侵和 系统误用模式数据库进行比较,从而发现违背安全 策略的行为
❖ 一般来讲,一种攻击模式可以用一个过程(如执行 一条指令)或一个输出(如获得权限)来表示。该 过程可以很简单(如通过字符串匹配以寻找一个简 单的条目或指令),也可以很复杂(如利用正规的 数学表达式来表示安全状态的变化)
实用文档
23
异常检测模型
❖ 如果系统错误地将异常活动定义为入侵,称为误报 (false positive) ;如果系统未能检测出真正的入 侵行为则称为漏报(false negative)。
❖ 特点:异常检测系统的效率取决于用户轮廓的完备 性和监控的频率。因为不需要对每种入侵行为进行 定义,因此能有效检测未知的入侵。同时系统能针 对用户行为的改变进行自我调整和优化,但随着检 测模型的逐步精确,异常检测会消耗更多的系统资 源。
包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效
实用文档
❖ 主动响应 ❖ 被动响应
响应动作
实用文档
入侵检测性能关键参数
❖ 误报(false positive):如果系统错误地将异常活 动定义为入侵
❖ 漏报(false negative):如果系统未能检测出真正 的入侵行为
性,防止被篡改而收集到错误的信息
实用文档
信息收集
❖ 系统和网络日志文件 ❖ 目录和文件中的不期望的改变 ❖ 程序执行中的不期望行为 ❖ 物理形式的入侵信息
实用文档
信息分析
❖ 模式匹配----误用检测(Misuse Detection)
维护一个入侵特征知识库
准确性高
❖ 统计分析--------异常检测(Anomaly Detection)
网络入侵的特点
❖ 网络入侵的特点
没有地域和时间的限制; 通过网络的攻击往往混杂在大量正常的网络活动之间,
隐蔽wenku.baidu.com强; 入侵手段更加隐蔽和复杂。
实用文档
为什么需要IDS?
❖ 单一防护产品的弱点
防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁
实用文档
为什么需要IDS?
❖ 关于防火墙
网络边界的设备,只能抵挡外部來的入侵行为 自身存在弱点,也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护,合法的使用者仍会非法地使用
系统,甚至提升自己的权限 仅能拒绝非法的连接請求,但是对于入侵者的攻击行为
仍一无所知
实用文档
为什么需要IDS?
❖ 入侵很容易
入侵教程随处可见 各种工具唾手可得
入侵检测系统的功能
❖ 监控用户和系统的活动 ❖ 查找非法用户和合法用户的越权操作 ❖ 检测系统配置的正确性和安全漏洞 ❖ 评估关键系统和数据的完整性 ❖ 识别攻击的活动模式并向网管人员报警 ❖ 对用户的非正常活动进行统计分析,发现入侵行为
的规律 ❖ 操作系统审计跟踪管理,识别违反政策的用户活动 ❖ 检查系统程序和数据的实一用文致档 性与正确性
❖ 入侵检测的内容:试图闯入、成功闯入、冒充其他
用户、违反安全策略、合法用户的泄漏、独占资源
以及恶意使用。
实用文档
入侵检测的职责
❖ IDS系统主要有两大职责:实时检测和安全审计,具 体包含4个方面的内容
识别黑客常用入侵与攻击 监控网络异常通信 鉴别对系统漏洞和后门的利用 完善网络安全管理
实用文档
入侵检测系统模型(Denning)
实用文档
入侵检测系统模型(CIDF)
实用文档
入侵检测系统的组成特点
❖ 入侵检测系统一般是由两部分组成:控制中心和探 测引擎。控制中心为一台装有控制软件的主机,负 责制定入侵监测的策略,收集来自多个探测引擎的 上报事件,综合进行事件分析,以多种方式对入侵 事件作出快速响应。探测引擎负责收集数据,作处 理后,上报控制中心。控制中心和探测引擎是通过 网络进行通讯的,这些通讯的数据一般经过数据加 密。
入侵检测系统IDS
实用文档
黑客攻击日益猖獗,防范问题日趋 严峻
❖ 政府、军事、邮电和金融网络是黑客攻击的主要目 标。即便已经拥有高性能防火墙等安全产品,依然 抵挡不住这些黑客对网络和系统的破坏。据统计, 几乎每20秒全球就有一起黑客事件发生,仅美国每 年所造成的经济损失就超过100亿美元。
实用文档
实用文档
统计分析
❖ 统计分析方法首先给系统对象(如用户、文件、目 录和设备等)创建一个统计描述,统计正常使用时 的一些测量属性(如访问次数、操作失败次数和延 时等)
❖ 测量属性的平均值和偏差被用来与网络、系统的行 为进行比较,任何观察值在正常值范围之外时,就 认为有入侵发生
实用文档
完整性分析
❖ 完整性分析主要关注某个文件或对象是否被更改
实用文档
入侵检测系统分类(一)
❖ 按照分析方法(检测方法)
异常检测模型(Anomaly Detection ):首先总结正常操 作应该具有的特征(用户轮廓),当用户活动与正常行 为有重大偏离时即被认为是入侵
误用检测模型(Misuse Detection):收集非正常操作的 行为特征,建立相关的特征库,当监测的用户或系统行 为与库中的记录相匹配时,系统就认为这种行为是入侵
❖ 需要在计算机网络系统中的若干不同关键点(不同 网段和不同主机)收集信息,这样做的理由就是从 一个来源的信息有可能看不出疑点,但从几个来源 的信息的不一致性却是可疑行为或入侵的最好标识 。
实用文档
信息收集
❖ 入侵检测的效果很大程度上依赖于收集信息的可靠 性和正确性
❖ 要保证用来检测网络系统的软件的完整性 ❖ 特别是入侵检测系统软件本身应具有相当强的坚固