(18)第六章入侵检测共50页文档
合集下载
入侵检测ppt课件
入侵检测
传统防火墙的主要缺陷之一在于对内联网络的防范措施不力。这是因 为一般的防火墙的目的就是为了保护用户网络,所以它们都假定内联网络 是安全的外联网络是不安全的。但研究表明,50%以上的攻击行为是从内 部发起的。
入侵检测技术是人们对网络探测与攻击技术层出不穷的的反应,其目 的是通过对系统负载的深入分析,发现和处理更加隐蔽的网络探测与攻击 行为,为系统提供更强大、更可靠的安全策略和解决方案,弥补防火墙的 不足。
28
IDS 模式匹配举例
模式匹配举例:
较早版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell! 模式匹配 检查每个packet是否包含:
“WIZ” | “DEBUG”
29
6.5
入侵检测的历史
32
6.6.1 按照检测数据的来源划分 (1)
1 基于主机的入侵检测
基于主机的入侵检测系统(HIDS)检查 判断的依据是系统内的各种数据以及 相关记录。具体来说,可以分成以下 几种:
系统审计记录 系统日志 应用程序日志 其它数据源 比如文件系统信息
33
1 基于主机的入侵检测
基于主机的IDS的优点
26
6.4 入侵检测的主要作用
识别并阻断系统活动中存在的已知攻击行为,防止入侵行为对受保护 系统造成损害。
识别并阻断系统用户的违法操作行为或者越权操作行为,防止用户对 受保护系统有意或者无意的破坏。
检查受保护系统的重要组成部分以及各种数据文件的完整性。
审计并弥补系统中存在的弱点和漏洞,其中最重要的一点是审计并纠 正错误的系统配置信息。
7
6.1.1
拒绝服务(3)
3 报文超载
传统防火墙的主要缺陷之一在于对内联网络的防范措施不力。这是因 为一般的防火墙的目的就是为了保护用户网络,所以它们都假定内联网络 是安全的外联网络是不安全的。但研究表明,50%以上的攻击行为是从内 部发起的。
入侵检测技术是人们对网络探测与攻击技术层出不穷的的反应,其目 的是通过对系统负载的深入分析,发现和处理更加隐蔽的网络探测与攻击 行为,为系统提供更强大、更可靠的安全策略和解决方案,弥补防火墙的 不足。
28
IDS 模式匹配举例
模式匹配举例:
较早版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell! 模式匹配 检查每个packet是否包含:
“WIZ” | “DEBUG”
29
6.5
入侵检测的历史
32
6.6.1 按照检测数据的来源划分 (1)
1 基于主机的入侵检测
基于主机的入侵检测系统(HIDS)检查 判断的依据是系统内的各种数据以及 相关记录。具体来说,可以分成以下 几种:
系统审计记录 系统日志 应用程序日志 其它数据源 比如文件系统信息
33
1 基于主机的入侵检测
基于主机的IDS的优点
26
6.4 入侵检测的主要作用
识别并阻断系统活动中存在的已知攻击行为,防止入侵行为对受保护 系统造成损害。
识别并阻断系统用户的违法操作行为或者越权操作行为,防止用户对 受保护系统有意或者无意的破坏。
检查受保护系统的重要组成部分以及各种数据文件的完整性。
审计并弥补系统中存在的弱点和漏洞,其中最重要的一点是审计并纠 正错误的系统配置信息。
7
6.1.1
拒绝服务(3)
3 报文超载
[信管网]信息安全技术第六章-入侵检测技术
![[信管网]信息安全技术第六章-入侵检测技术](https://img.taocdn.com/s3/m/6186f17c1ed9ad51f01df2ce.png)
• 误用检测模型
如果入侵特征与正常的用户行能匹配,则系统 会发生误报;如果没有特征能与某种新的攻击 行为匹配,则系统会发生漏报
特点:采用特征匹配,滥用模式能明显降低错 报率,但漏报率随之增加。攻击特征的细微变 化,会使得滥用检测无能为力
• 入侵检测的分类(2)
按照数据来源:
基于主机:系统获取数据的依据是系统
Automated Response
首先,可以通过重新配置路由器和防火墙,拒绝那些来 自同一地址的信息流;其次,通过在网络上发送reset包 切断连接 但是这两种方式都有问题,攻击者可以反过来利用重新 配置的设备,其方法是:通过伪装成一个友方的地址来 发动攻击,然后IDS就会配置路由器和防火墙来拒绝这 些地址,这样实际上就是对“自己人”拒绝服务了 发送reset包的方法要求有一个活动的网络接口,这样它 将置于攻击之下,一个补救的办法是:使活动网络接口 位于防火墙内,或者使用专门的发包程序,从而避开标 准IP栈需求
信息分析
模式匹配 统计分析 完整性分析,往往用于事后分析
模式匹配
模式匹配就是将收集到的信息与已知的网络入侵 和系统误用模式数据库进行比较,从而发现违背 安全策略的行为
一般来讲,一种进攻模式可以用一个过程(如执 行一条指令)或一个输出(如获得权限)来表示。 该过程可以很简单(如通过字符串匹配以寻找一 个简单的条目或指令),也可以很复杂(如利用 正规的数学表达式来表示安全状态的变化)
VPN
防病毒
保护公网上的内部通信
针对文件与邮件,产品成熟
可视为防火墙上的一个漏洞
功能单一
入侵检测的起源(1)
1980年4月,James P. Anderson :《Computer
入侵检测
入侵检测系统及部署一.什么是入侵检测系统?入侵检测系统(intrusion detection system,简称“IDS”),是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
而IDS在应对对自身的攻击时,对其他传输的检测也会被抑制。
同时由于模式识别技术的不完善,IDS的高虚警率也是它的一大问题。
图 1 入侵检测系统二.入侵检测系统的主要功能IDS是计算机的监视系统,它通过实时监视系统,一旦发现异常情况就发出警告。
IDS 入侵检测系统以信息来源的不同和检测方法的差异分为几类:根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和滥用入侵检测。
不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。
因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。
在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。
在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。
因此,IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。
[1]这些位置通常是:服务器区域的交换机上;Internet接入路由器之后的第一台交换机上;重点保护网段的局域网交换机上。
图 2 入侵检测系统的主要功能三.入侵检测系统的分类根据检测数据的采集来源,入侵检测系统可以分为:基于网络的入侵检测系统(NIDS) 和基于主机的入侵检测系统(HIDS)。
基于主机的入侵检测系统(HIDS):HIDS一般是基于代理的,即需要在被保护的系统上安装一个程序。
HIDS用于保护关键应用的服务器,实时监视可疑的连接、系统日志、非法访问的闯入等,并且提供对典型应用的监视。
入 侵 检 测
异常检测技术是通过建立正常或者有效行为的模型的方 法,把当前行为和正常模型相比较,所有不符合于正 常模型的行为都被认为是入侵。
计算机网络安全技术
6
入侵检测
1.3 入侵检测系统
1.入侵检测系统分类
根据检测数据来源的不同,入侵检测系统常被分为基于 主机(HIDS)、基于网络(NIDS)和基于分布式系 统(DIDS)的入侵检测系统。
数据中,检测出符合某一特征的数据。攻击者进行攻
击的时候会留下痕迹,这些痕迹和系统正常运行的时
候产生的信息混在一起。入侵检测的任务就是从这个
混合信息中找出是否有入侵的痕迹,如果有就报警。
从这个原理来看,入侵检测系统有两个重要部分:数
据取得和检测技术。 计算机网络安全技术
3
入侵检测
(2)入侵检测系统的工作流程
计算机网络安全技术
入侵检测
1.1 入侵检测概述
入侵检测系统(Intrusion Detection System,IDS)是一个能检测 出入侵行为发生的系统软件(或者硬件)。它使安全管理员能 够及时地处理入侵警报,尽可能减少入侵对系统造成的损害。 入侵被检测出来的过程包括监控在计算机系统或者网络中发生 的事件,再分析处理这些事件,检测出入侵事件。
基于主机的入侵检测系统的数据源来自主机,如日志文
件、审计记录等。基于主机的入侵检测系统不但可以 检测出系统的远程入侵,还可以检测出本地入侵。
基于网络的入侵检测系统的数据源是网络流量,其检测
范围是整个网段,它只能检测出远程入侵,对于本地
入侵它是看不到的。 计算机网络安全技术
7
入侵检测
2.典型入侵检测系统 (1)JUMP入侵检测系统 主要技术特点有: • 采取基于状态协议分析的智能匹配算法; • 采用状态转换分析技术来降低系统的误报率,
入侵检测
会话包总数
>1000
<=1000
会话总数据量
会话时长
>58
会话上传数据量
>5000
<=5000
<=58 >10
中度
会话上传与下载 数据量之比
>5
<=5
<=10 轻微
严重
中度
严重
轻微
识别新的入侵攻击(聚类)
智慧数据 财富未来
问题 怎么样来识别新的入侵攻击,新入侵特征是什么?
名称 数据概况 来源 数据描述
数据挖掘在网络入侵检测中的应用
智慧数据 财富未来
入侵检测通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析, 从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测有2种基本方法:误用检测和异常检测。
误用检测
误用检测是基于规则的检测技术或者 模式匹配检测技术,它是将已知的攻 击特征进行编码,存入特征库进行匹 配检测。
识别攻击类型(分类)
智慧数据 财富未来
识别攻击类型(分类)
53、2、、41双选、设击择运载置查算行入输看法算数入模,法据、型并生输设成出置模参型数
智慧数据 财富未来
识别攻击类型(分类)
智慧数据 财富未来
分类规则: IF DST_BYTES>77 AND Service=telnet THEN 攻击类型为guess_passwd
数据挖掘在木马检测的应用
智慧数据 财富未来
木马技术是当今黑客应用的关键技术之一,对网络安全造成严重威胁。
网络会话可以通过多个统计特征值进行描述。正常的HTTP 协议数据会话和木 马操作会话在许多统计特征上存在明显差异。
入侵检测第六章
第6章 基于网络的入侵 检测技术
曹元大主编,人民邮电出版社,2007年
h
1
第6章 基于网络的入侵检测技术
基于网络的入侵检测技术:
分层协议模型与TCP/IP协议 网络数据包的捕获 包捕获机制BPF模型 基于Libpcap库的数据捕获技术 检测引擎的设计 网络入侵特征实例分析 检测实例分析
h 12
2. ARP协议和RARP协议 对于像以太网这样的具备广播能力的网络,TCP/IP 使用地址解析协议(ARP)来提供从IP地址到物理 地址的映像服务。提供从物理地址到IP地址映像服 务的则是逆向地址解析协议(RARP)。 (1) ARP协议 ARP只用于解析对方的物理地址,而不用于解析本 机的物理地址。 ARP是采用一种称为“动态绑定”(dynamic binding)的技术来解析对方物理地址的。
h 14
h 15
h 16
3. IP协议 IP协议(Internet Protocol)是TCP/IP协议族的 核心协议之一,它提供了无连接数据包传输和 网际路由服务。 IP通过互联网传输数据报,它是无连接的,各 个IP数据报之间是相互独立的。它是不可靠 的,不保证投递抵达目的地,对分组的丢失、 重复、延迟和顺序错位等情况都不予检测。 在传送数据分组时,IP协议将高层协议数据封 装成IP数据报,然后通过网络接口发送出去。
提供用户网络分布信息服务的接口,如文件传送、 电子邮件服务等。
(2) 表示层
提供两个应用层协议实体之间数据表示的语法,如 加、解密算法等。
(3) 会话层
提供应用层实体会话通道的建立和清除以及会话过 程的维护等。
h
4
(4) 传输层
提供上面面向应用的高3层和以下面向网络的 低3层之间的接口,为会话层提供与具体网络 无关的可靠的端对端通信机制。主要有面向连 接的服务(字节流)和无连接的服务(数据 报)两种服务类型。
曹元大主编,人民邮电出版社,2007年
h
1
第6章 基于网络的入侵检测技术
基于网络的入侵检测技术:
分层协议模型与TCP/IP协议 网络数据包的捕获 包捕获机制BPF模型 基于Libpcap库的数据捕获技术 检测引擎的设计 网络入侵特征实例分析 检测实例分析
h 12
2. ARP协议和RARP协议 对于像以太网这样的具备广播能力的网络,TCP/IP 使用地址解析协议(ARP)来提供从IP地址到物理 地址的映像服务。提供从物理地址到IP地址映像服 务的则是逆向地址解析协议(RARP)。 (1) ARP协议 ARP只用于解析对方的物理地址,而不用于解析本 机的物理地址。 ARP是采用一种称为“动态绑定”(dynamic binding)的技术来解析对方物理地址的。
h 14
h 15
h 16
3. IP协议 IP协议(Internet Protocol)是TCP/IP协议族的 核心协议之一,它提供了无连接数据包传输和 网际路由服务。 IP通过互联网传输数据报,它是无连接的,各 个IP数据报之间是相互独立的。它是不可靠 的,不保证投递抵达目的地,对分组的丢失、 重复、延迟和顺序错位等情况都不予检测。 在传送数据分组时,IP协议将高层协议数据封 装成IP数据报,然后通过网络接口发送出去。
提供用户网络分布信息服务的接口,如文件传送、 电子邮件服务等。
(2) 表示层
提供两个应用层协议实体之间数据表示的语法,如 加、解密算法等。
(3) 会话层
提供应用层实体会话通道的建立和清除以及会话过 程的维护等。
h
4
(4) 传输层
提供上面面向应用的高3层和以下面向网络的 低3层之间的接口,为会话层提供与具体网络 无关的可靠的端对端通信机制。主要有面向连 接的服务(字节流)和无连接的服务(数据 报)两种服务类型。
《网络安全》_第06章 入侵检测
IDWG
Intrusion Detection Work Group
IDS系统之间、IDS和网管系统之间 共享的数据格式 统一的通信规程
草案
IDMEF(入侵检测消息交换格式) IDXP(入侵检测交换协议) 最终成为RFC,尚需时日
本次课程内容(入侵检测)
入侵检测概述 入侵检测结构 入侵检测技术 入侵检测部署 入侵检测发展
基于分布式系统的结构
操作提供反馈 训练模块
受训练的agent
网络原语层 原始网络层(DLPI)
基于分布式系统的结构
在最底层是原始网络接口。它提供的接口允许程序传输和接收数据 链路层包。 网络原语层使用原语把从DLPI接口获取原始网络数据,封装成 agent可处理的方式。 在agent用于监控系统之前,必须训练到可以对入侵作出正确反应 。训练是通过一种反馈机制,操作员考虑是否agent的实际行为接 近于给定的流量模式所期望的行为,然后给出训练数据。训练要求 agent减小入侵误报数。 多agent相互协作:每个agent监控整个网络信息流的一个小的方面 。有些情况下,可能需要数个agent一起涵盖可能入侵的所有方面。
入侵者
入侵者可以是一个手工发出命令的人,也可是一个基于入 侵脚本或程序的自动发布命令的计算机。
侵入系统的主要途径
物理侵入 本地侵入 远程侵入
入侵知识简介
进行网络攻击是一件系统性很强的工作,其主要工 作流程是:
目标探测和信息收集 自身隐藏 利用漏洞侵入主机 稳固和扩大战果 清除日志
入侵知识简介
利用系统已知的 漏洞、通过输入 区向CGI发送特殊 的命令、发送特 别大的数据造成 缓冲区溢出、猜 测已知用户的口 令,从而发现突 破口。 选中 攻 扫描 网络 击目 标
第6章入侵检测技术
教学内容第6章 入侵检测技术教材章节5教学周次教学课时9授课对象网络工程专业教学环境多媒体教室教学目标理解入侵检测系统的基本概念;了解检测的基本方法以及入侵检测的步骤;掌握一种入侵检测工具。
教学内容1.入侵检测的基本知识(包括:概念、与防火墙的关系、与扫描器的关系、入侵检测步骤等)。
2.入侵检测技术(包括:基本结构、类型、主要方法)。
3.入侵检测系统解决方案。
4.入侵检测系统主要产品。
教学重点1.入侵检测的基本概念。
2.入侵检测系统的工作原理。
3.入侵检测系统的布署。
教学难点入侵检测方法;入侵检测系统的布署。
教学过程本章分3次讲述,共9学时,讲授思路和过程如下:第1次:1.分析防火墙、扫描器等的应用范围,分析其局限性,引出入侵检测技术。
2.介绍入侵检测的概念、作用,分析与防火墙、扫描器的关系。
3.介绍入侵检测的步骤等。
第2次:1.介绍IDS基本结构,强调其控制台的作用。
2.介绍IDS的类型。
3.介绍IDS基本检测入侵的主要方法,重点介绍误用和异常两种方法。
4.通过实例介绍IDS的布署思路和方法。
5.简单介绍目前常用的比较有效的IDS产品。
6.分析使用状况,提出目前IDS的主要问题,研究发展趋势。
《网络安全技术》教案(第6章)作业与要求作业内容:1.分析入侵检测与防火墙的区别。
2.进行实验。
要求:1.记录实验过程和结果。
2.熟练使用IDS设备。
备注本提交文档内容与次序与实际讲课内容与次序有不一致的地方。
第6章入侵检测技术前面介绍了防火墙技术,事实上防火墙只是对网络上某个单一点起作用,而且也只能检查每个进出网络用户的合法性。
一旦攻击者攻破了防火墙,那么他就可以在网络内随意通行。
所以,防火墙技术是静态的安全防御技术,它不能解决动态的安全问题。
入侵检测技术是动态安全技术最核心的技术之一,本章将详细讨论入侵检测技术。
(以防火墙的局限性来说明单一产品的缺陷,引出安全防御措施需要不同产品的配合,最终引出入侵检测技术)6.1 入侵检测的基本知识安全是网络界一个永恒的话题,随着Internet的普及,网络的安全问题越来越突出。
第6章入侵检测精品PPT课件
图1说明了这种攻击,这种攻击可通过基于特 的攻击
20
(2)基于策略的IDS 基于策略的IDS通常是主机IDS,当检测
到违反配置的策略时,触发相应的事件告警 ,这个预先配置的策略应该代表安全策略。
21
例如:一个网络访问策略定义了访问许可权控 制,这个策略比较方便执行。在网段X上的市 场部门只允许浏览工程部的Web站点,但禁止 访问网络段Y上的FTP软件目录,只是一个非 常简单的网络策略。而其他策略会更难执行。
(1)基于特征的IDS 基于特征的IDS用于监视网络流量或一个系统,
当已知的恶意事件发生时发出告警信息。它将数据流 与数据库中已知的攻击特征模式进行比较,这些特征 确定了哪些流量和活动是恶意的。基于特征的IDS有 几种类型 ➢a.简单模式匹配和有状态模式匹配 ➢b.协议解码分析 ➢c.启发式分析
15
快地做出反应,将入侵活动对系统的破坏减到最低。 ③隐蔽性好。不需要在每个主机上安装,不易被发现。 ④不需要任何特殊的审计和登录机制,只要配置网络接
口就可以了,不会影响其他数据源。 ⑤操作系统独立。基于网络的IDS并不依赖主机的操作
系统作为检测资源。
9
分布式IDS产生的背景
系统的弱点或漏洞分散在网络中各个主机上,这 些弱点有可能被入侵者一起用来攻击网络,而仅 仅依靠一个主机或网络入侵检测系统难以发现入 侵行为。
第6章
漏洞扫描与入侵检测
25.10.第202十0 章 虚拟私用网络技术
1
内容提要
通过本章的学习,学生应该掌握以下内容: 入侵检测系统(IDS)概述 入侵检测系统分类 基本原理 Cisco主机IDS Cisco网络IDS
2
6.1.入侵检测系统(IDS)概述
入侵检测系统(Intrusion Detection System)就是对 网络或操作系统上的可疑行为做出策略反应,及时切断 入侵源、记录、并通过各种途径通知网络管理员。
20
(2)基于策略的IDS 基于策略的IDS通常是主机IDS,当检测
到违反配置的策略时,触发相应的事件告警 ,这个预先配置的策略应该代表安全策略。
21
例如:一个网络访问策略定义了访问许可权控 制,这个策略比较方便执行。在网段X上的市 场部门只允许浏览工程部的Web站点,但禁止 访问网络段Y上的FTP软件目录,只是一个非 常简单的网络策略。而其他策略会更难执行。
(1)基于特征的IDS 基于特征的IDS用于监视网络流量或一个系统,
当已知的恶意事件发生时发出告警信息。它将数据流 与数据库中已知的攻击特征模式进行比较,这些特征 确定了哪些流量和活动是恶意的。基于特征的IDS有 几种类型 ➢a.简单模式匹配和有状态模式匹配 ➢b.协议解码分析 ➢c.启发式分析
15
快地做出反应,将入侵活动对系统的破坏减到最低。 ③隐蔽性好。不需要在每个主机上安装,不易被发现。 ④不需要任何特殊的审计和登录机制,只要配置网络接
口就可以了,不会影响其他数据源。 ⑤操作系统独立。基于网络的IDS并不依赖主机的操作
系统作为检测资源。
9
分布式IDS产生的背景
系统的弱点或漏洞分散在网络中各个主机上,这 些弱点有可能被入侵者一起用来攻击网络,而仅 仅依靠一个主机或网络入侵检测系统难以发现入 侵行为。
第6章
漏洞扫描与入侵检测
25.10.第202十0 章 虚拟私用网络技术
1
内容提要
通过本章的学习,学生应该掌握以下内容: 入侵检测系统(IDS)概述 入侵检测系统分类 基本原理 Cisco主机IDS Cisco网络IDS
2
6.1.入侵检测系统(IDS)概述
入侵检测系统(Intrusion Detection System)就是对 网络或操作系统上的可疑行为做出策略反应,及时切断 入侵源、记录、并通过各种途径通知网络管理员。
第6章-入侵检测和入侵防御系统PPT课件
• 入侵检测系统是继防火墙之后,保护网络安全的第 二道防线,它可以在网络受到攻击时,发出警报或 者采取一定的干预措施,以保证网络的安全。
2021
3
6.1入侵检测系统
• 我们可以通过入侵检测系统(IDS)和监控时间日志两种 方法就可以及时得到有关的网络安全事件。
2021
4
入侵检测系统
• 入侵检测系统(IDS)是一种用来确定不需要的网 络活动,并向有关人员发警报以便及时采取措 施的检测系统。
第6章 入侵检测和入侵防御系统
2021
1
目录
1 入侵检测系统 2 主动响应与IPS 3 入侵防御讨论
2021
2
6.1入侵检测系统
• 传统上,企业网络一般采用趋复杂多样, 单纯的防火墙策略已经无法满足对网络安全的进一 步需要,网络的防卫必须采用一种纵深的、多样化 的手段。
全,任何响应系统必须与该网关通过本地接口连接, 要么通过远程接口连接,以便能够影响路由决策(可 以使用SnortSam软件实现),或者流量直接经过主 动响应系统本身(可以使用Fwsnort或snort_inline 软件实现)。
➢ SnortSam、Fwsnort和snort_inline软件如何 保护网络不受攻击,在本节内有详细的介绍。
➢ 虽然Snort的功能非常强大,但其代码非常简洁,可 移植性非常好。迄今为止数百万的下载量使得Snort 成为使用最为广泛的入侵保护和检测系统,并且成 为了事实上的行业标准。
2021
9
Linux系统上Snort配置
& Snort最主要的功能是对入侵进行检测,其工作方式 是对抓取的数据包进行分析后,与特定的规则模式进 行匹配,如果能匹配,则认为发生了入侵事件。
2021
3
6.1入侵检测系统
• 我们可以通过入侵检测系统(IDS)和监控时间日志两种 方法就可以及时得到有关的网络安全事件。
2021
4
入侵检测系统
• 入侵检测系统(IDS)是一种用来确定不需要的网 络活动,并向有关人员发警报以便及时采取措 施的检测系统。
第6章 入侵检测和入侵防御系统
2021
1
目录
1 入侵检测系统 2 主动响应与IPS 3 入侵防御讨论
2021
2
6.1入侵检测系统
• 传统上,企业网络一般采用趋复杂多样, 单纯的防火墙策略已经无法满足对网络安全的进一 步需要,网络的防卫必须采用一种纵深的、多样化 的手段。
全,任何响应系统必须与该网关通过本地接口连接, 要么通过远程接口连接,以便能够影响路由决策(可 以使用SnortSam软件实现),或者流量直接经过主 动响应系统本身(可以使用Fwsnort或snort_inline 软件实现)。
➢ SnortSam、Fwsnort和snort_inline软件如何 保护网络不受攻击,在本节内有详细的介绍。
➢ 虽然Snort的功能非常强大,但其代码非常简洁,可 移植性非常好。迄今为止数百万的下载量使得Snort 成为使用最为广泛的入侵保护和检测系统,并且成 为了事实上的行业标准。
2021
9
Linux系统上Snort配置
& Snort最主要的功能是对入侵进行检测,其工作方式 是对抓取的数据包进行分析后,与特定的规则模式进 行匹配,如果能匹配,则认为发生了入侵事件。
入侵检测
补充
基于网络和主机的 IDS比较
• 大多数传统IDS采取基于网络或基于主机的 办法来辩认并躲避攻击。在任何一种情况 下,该产品都要寻找“攻击标志”,即一 种代表恶意或可疑意图攻击的模式。当IDS 在网络中寻找这些模式时,它是基于网络 的。而当IDS在记录文件中寻找攻击标志时, 它是基于主机的。每种方法都有其优势和 劣势,两种方法互为补充。一种真正有效 的入侵检测系统应将二者结合。
2、统计分析
• 统计分析方法首先给系统对象(如用户、 文件、目录和设备等)创建一个统计描述, 统计正常使用时的一些测量属性(如访问 次数、操作失败次数和延时等)。测量属 性的平均值将被用来与网络、系统的行为 进行比较,任何观察值如果超过了正常值 范围,就认为有入侵发生。其优点是可检 测到未知的入侵和更为复杂的入侵,缺点 是误报、漏报率高,且不适应用户正常行 为的突然改变。
基于主机的IDS
• 以前的基于主机的入侵检测是在对攻击的事后分 析就可以防止今后的攻击。 • 现在的基于主机的入侵检测系统保留了一种有力 的工具,以理解以前的攻击形式,并选择合适的 方法去抵御未来的攻击。基于主机的IDS仍使用 验证记录,但自动化程度大大提高,并发展了精 密的可迅速做出响应的检测技术。当有文件发生 变化时,IDS将新的记录条目与攻击标记相比较, 看它们是否匹配。如果匹配,系统就会向管理员 报警并向别的目标报告,以采取措施。
IDS的统计模型
• 1、操作模型 操作模型:该模型假设异常可通过测量结果与一些固定指标相比 操作模型 较得到,固定指标可以根据经验值或一段时间内的统计平均得到,举 例来说,在短时间内多次失败的登录很有可能是尝试口令攻击 • 2、方差 方差:计算参数的方差并设定其置信区间,当测量值超过置信区 方差 间的范围时表明有可能是异常 • 3、多元模型 多元模型:即操作模型的扩展,它通过同时分析多个参数实现检 多元模型 测 • 4、马尔柯夫过程模型 马尔柯夫过程模型:即将每种类型的事件定义为系统状态,用状 马尔柯夫过程模型 态转移矩阵来表示状态的变化,当一个事件发生时,如果在状态矩阵 中该转移的概率较小则该可能是异常事件 • 5、时间序列分析 时间序列分析:即将事件计数与资源耗用根据时间排成序列,如 时间序列分析 果一个新事件在该时间发生的概率较低,则该事件可能是入侵
第六章入侵检测与安全审计系统精品PPT课件
会话矢量X=<x1,x2,….,xn>表示描述单一会话用户行 为 的 各 种 属 性 的 数 量 。 会 话 开 始 于 login , 终 止 于 logout,login和logout次数也作为会话矢量的一部 分。可监视20多种属性,如:工作的时间、创建文 件数、阅读文件数、打印页数和I/O失败次数等。
12.10.2020
电子科技大学成都学院
10
统计分析法 以统计学为理论基础,以系统正常使用情况 下观察到的动作模式为依据来判别某个动作 是否偏离了正常轨道。
数据完整性分析法 以密码学为理论基础,可以查证文件或者对 象是否被别人修改过。
12.10.2020
电子科技大学成都学院
11
一个简单的基于统计的异常检测模型
入侵检测系统——Intrusion Detection System,简 称IDS,入侵检测的软件与硬件的组合。
12.10.2020
电子科技大学成都学院
3
模型
最早的入侵检测模型是由Denning给出的,该模型主要 根据主机系统审计记录数据,生成有关系统的若干轮廓, 并监测轮廓的变化差异发现系统的入侵行为,如下图:
12.10.2020
电子科技大学成都学院
5
作用
是防火墙的合理补充,帮助系统对付网络攻击, 扩展了系统管理员的安全管理能力,提高了信 息安全基础结构的完整性。
是安防系统的重要组成部分。
以后台进程的形式运行,发现可疑情况,立即 通知有关人员。
被认为是防火墙之后的第二道安全闸门。
如同大楼的监视系统。
12.10.2020
电子科技大学成都学院
4
CIDF(通用入侵检测框架)标准——入侵检测系统的通用模 型,解决不同IDS之间的互操作和共存问题。
12.10.2020
电子科技大学成都学院
10
统计分析法 以统计学为理论基础,以系统正常使用情况 下观察到的动作模式为依据来判别某个动作 是否偏离了正常轨道。
数据完整性分析法 以密码学为理论基础,可以查证文件或者对 象是否被别人修改过。
12.10.2020
电子科技大学成都学院
11
一个简单的基于统计的异常检测模型
入侵检测系统——Intrusion Detection System,简 称IDS,入侵检测的软件与硬件的组合。
12.10.2020
电子科技大学成都学院
3
模型
最早的入侵检测模型是由Denning给出的,该模型主要 根据主机系统审计记录数据,生成有关系统的若干轮廓, 并监测轮廓的变化差异发现系统的入侵行为,如下图:
12.10.2020
电子科技大学成都学院
5
作用
是防火墙的合理补充,帮助系统对付网络攻击, 扩展了系统管理员的安全管理能力,提高了信 息安全基础结构的完整性。
是安防系统的重要组成部分。
以后台进程的形式运行,发现可疑情况,立即 通知有关人员。
被认为是防火墙之后的第二道安全闸门。
如同大楼的监视系统。
12.10.2020
电子科技大学成都学院
4
CIDF(通用入侵检测框架)标准——入侵检测系统的通用模 型,解决不同IDS之间的互操作和共存问题。
第六章 入侵检测系统的数据源
第六章入侵检测系统的数据源系统安全与入侵检测[ 戴英侠P33]入侵检测系统的信息源:可以供入侵检测系统分析和处理的原始数据或中间数据,主要包括主机系统中的各类数据和网络中传输的数据包。
信息源可以分为三个层次:1.网络层:IP地址、端口号、顺序号、协议类型;网络实体名(如服务器名),校验和;设置选项,如IP的源路由等2.操作系统:命令、库、备份程序、登录程序以及其它核心子系统3.应用层:应用程序的日志记录一、入侵检测系统原理及构成入侵检测基本原理图基本的入侵检测系统需要解决两个问题:一是如何充分并可靠地提取描述行为特征的数据;二是如何根据特征数据,高效并准确地判定行为的性质。
二、基于主机的信息源主要包括:操作系统审计迹、系统日志和其他应用程序的日志在Windows NT系统中,审计迹被称为事件日志(Event Log)。
它收集3种类型的系统事件:操作系统事件、安全事件和应用事件。
可以根据事件的日志记录来识别和跟踪安全性事件、资源使用情况,以及系统和应用程序中发生的错误等。
1.应用程序日志记载应用程序运行方面的错误2.安全日志记录与安全性相关的事件,例如与资源使用有关的事件,还包括合法和非法的登录企图。
管理员可以指定将哪些事件记录在安全日志中:控制面板—〉管理工具—〉本地安全策略—〉本地安全设置—〉本地策略—〉审核策略3.系统日志包括由系统组件记录的事件,如启动时某个驱动程序加载失败等。
注意:安全性日志只能由系统管理员访问。
事件日志格式:1.类型:1)错误:重要问题,如数据丢失或功能丧失。
2)警告:不是非常重要但将来可能出现问题的事件。
如磁盘空间较小,则会记录一个警告。
3)信息:描述应用程序、驱动程序或服务的成功操作事件。
例如当成功地加载网络驱动程序时会记录一个信息事件。
4)成功审核:审核安全访问尝试成功。
例如,将用户成功登录到系统上的尝试作为“成功审核”事件记录下来。
5)失败审核:审核安全访问尝试失败。
第6章-入侵检测与入侵防御
为什么需要IDS
关于防火墙
网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部
预防是理想的,但检测是必须的
1
网络安全工具的特点
防火墙 IDS
优点 可简化网络管理,产品成熟 实时监控网络安全状态
Scanner
VPN 防病毒
简单可操作,帮助系统管理 员和安全服务人员解决实际 问题
因为不需要对每种入侵行为进行定义,因此能有 效检测未知的入侵
系统能针对用户行为的改变进行自我调整和优化, 但随着检测模型的逐步精确,异常检测会消耗更 多的系统资源
16
误用检测模型
17
误用检测
• 前提:所有的入侵行为都有可被检测到的特征 • 攻击特征库: 当监测的用户或系统行为与库中的记录
相匹配时,系统就认为这种行为是入侵 • 过程
6
信息收集的来源
系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为
7
信息分析
▪ 模式匹配 ▪ 统计分析 ▪ 完整性分析,往往用于事后分析
8
模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系 统误用模式数据库进行比较,从而发现违背安全策略 的行为
一般来讲,一种攻击模式可以用一个过程(如执行一 条指令)或一个输出(如获得权限)来表示。该过程 可以很简单(如通过字符串匹配以寻找一个简单的条 目或指令),也可以很复杂(如利用正规的数学表达 式来表示安全状态的变化)
23
入侵检测的分类(3)
按系统各模块的运行方式
集中式:系统的各个模块包括数据的 收集分析集中在一台主机上运行
分布式:系统的各个模块分布在不同 的计算机和设备上
பைடு நூலகம்24
关于防火墙
网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部
预防是理想的,但检测是必须的
1
网络安全工具的特点
防火墙 IDS
优点 可简化网络管理,产品成熟 实时监控网络安全状态
Scanner
VPN 防病毒
简单可操作,帮助系统管理 员和安全服务人员解决实际 问题
因为不需要对每种入侵行为进行定义,因此能有 效检测未知的入侵
系统能针对用户行为的改变进行自我调整和优化, 但随着检测模型的逐步精确,异常检测会消耗更 多的系统资源
16
误用检测模型
17
误用检测
• 前提:所有的入侵行为都有可被检测到的特征 • 攻击特征库: 当监测的用户或系统行为与库中的记录
相匹配时,系统就认为这种行为是入侵 • 过程
6
信息收集的来源
系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为
7
信息分析
▪ 模式匹配 ▪ 统计分析 ▪ 完整性分析,往往用于事后分析
8
模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系 统误用模式数据库进行比较,从而发现违背安全策略 的行为
一般来讲,一种攻击模式可以用一个过程(如执行一 条指令)或一个输出(如获得权限)来表示。该过程 可以很简单(如通过字符串匹配以寻找一个简单的条 目或指令),也可以很复杂(如利用正规的数学表达 式来表示安全状态的变化)
23
入侵检测的分类(3)
按系统各模块的运行方式
集中式:系统的各个模块包括数据的 收集分析集中在一台主机上运行
分布式:系统的各个模块分布在不同 的计算机和设备上
பைடு நூலகம்24
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3. 过程
4.
监控 特征提取 匹配 判定
4. 指标:误报低、漏报高
误用检测模型
如果入侵特征与正常的用户行为能匹 配,则系统会发生误报;
如果没有特征能与某种新的攻击行为 匹配,则系统会发生漏报。
Misuse Detection
pattern matching
Intrusion Patterns
入侵者经常替换、修改和破坏他们获得访问权的系统 上的文件,同时为了隐藏系统中他们的表现及活动痕 迹,都会尽力去替换系统程序或修改系统日志文件。
信息分析
信息分析
▪ 模式匹配 ▪ 统计分析 ▪ 完整性分析,往往用于事后分析
模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系 统误用模式数据库进行比较,从而发现违背安全策略 的行为。
测量属性的平均值和偏差将被用来与网络、系统的行为 进行比较,任何观察值在正常值范围之外时,就认为有 入侵发生。
完整性分析
完整性分析主要关注某个文件或对象是否被更改 这经常包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特
别有效
结果处理
入侵检测性能关键参数
误报(false positive):如果系统错误地将异
因为不需要对每种入侵行为进行定义,因此能有 效检测未知的入侵
系统能针对用户行为的改变进行自我调整和优化, 但随着检测模型的逐步精确,异常检测会消耗更 多的系统资源
误用检测模型
误用检测
1. 前提:所有的入侵行为都有可被检测到的特征
2. 攻击特征库: 当监测的用户或系统行为与库中的记录 相匹配时,系统就认为这种行为是入侵
信息收集
入侵检测的第一步是信息收集,收集内容包括系统、 网络、数据及用户活动的状态和行为。
需要在计算机网络系统中的若干不同关键点(不同 网段和不同主机)收集信息。 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点
信息收集
入侵检测很大程度上依赖于收集信息的可靠性和 正确性。
要保证用来检测网络系统的软件的完整性。 特别是入侵检测系统软件本身应具有相当强的坚
入侵检测(Intrusion Detection),顾名思 义,便是对入侵行为的发觉。它通过对计算 机系统、或计算机网络中的若干关键部位收 集信息并对其进行分析,从中发现网络或系 统中是否有违反安全策略的行为。入侵检测 的内容包括:试图闯入、成功闯入、冒充其 他用户、违反安全策略、合法用户的泄漏、 独占资源以及恶意使用。
intrusion
activities
Example: if (src_ip == dst_ip) then “land attack” Can’t detect new attacks
三、入侵检测的分类(2)
按系统各模块的运行方式 集中式:系统的各个模块包括数据的收集分 析集中在一台主机上运行。 分布式:系统的各个模块分布在不同的计算 机和设备上。
入侵检测系统(Intrusion Detection System, 简称IDS)是进行入侵检测的软件与硬件的组 合,事实上入侵检测系统就是“计算机和网 络为防止网络小偷安装的警报系统”。
二、IDS基本结构
入侵检测系统包括三个功能部件 (1)信息收集 (2)信息分析 (3)结果处理
信息收集
入侵检测技术
入侵检测系统概述 入侵检测系统结构 入侵检测技术分类 入侵检测作用
一、入侵检测系统概述
入侵及入侵检测系统的概念 “入侵”(Intrusion)是个广义的概念,是指企图 对计算机系统造成危害的行为。入侵企图或威胁可 以被定义为未经授权蓄意尝试访问信息、篡改信息、 使系统不可靠或不能使用,或者是指有关试图破坏 资源的完整性、机密性及可用性的活动。
显然,对用户活动来讲,不正常的或不期望的行为就 是重复登录失败、登录到不期望的位置以及非授权的 企图访问重要文件等等。
系统目录和文件的异常变化
网络环境中的文件系统包含很多软件和数据文件,包 含重要信息的文件和私有数据文件经常是黑客修改或 破坏的目标。
目录和文件中的不期望的改变(包括修改、创建和删 除),特别是那些正常情况下限制访问的,很可能就 是一种入侵产生的指示和信号。
异常检测模型
异常检测
1. 前提:入侵是异常活动的子集
2. 用户轮廓(Profile): 通常定义为各种行为参数及其 阀值的集合,用于描述正常行为范围
3. 过程
4. 监控 量化 比较 判定
5.
6.
修正
4. 指标:漏报率低,误报率高
异常检测特点
异常检测系统的效率取决于用户轮廓的完备性和 监控的频率
一般来讲,一种攻击模式可以用一个过程(如执行一 条指令)或一个输出(如获得权限)来表示。该过程 可以很简单(如通过字符串匹配以寻找一个简单的条 目或指令),也可以很复杂(如利用正规的数学表达 式来表示安全状态的变化)
统计分析
统计分析方法首先给系统对象(如用户、文件、目录和 设备等)创建一个统计描述,统计正常使用时的一些测 量属性(如访问次数、操作失败次数和延时等)。
固性,防网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为
系统或网络的日志文件
攻击者常在系统日志文件中留下他们的踪迹,因此, 充分利用系统和网络日志文件信息是检测入侵的必要 条件。
日志文件中记录了各种行为类型,每种类型又包含不 同的信息,例如记录“用户活动”类型的日志,就包 含登录、用户ID改变、用户对文件的访问、授权和认 证信息等内容。
常活动定义为入侵
漏报(false negative):如果系统未能检测出
真正的入侵行为
三、入侵检测的分类(1)
按照分析方法(检测方法) 异常检测模型(Anomaly Detection ):首先总 结正常操作应该具有的特征(用户轮廓),当用 户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型(Misuse Detection):收集非正 常操作的行为特征,建立相关的特征库,当监测 的用户或系统行为与库中的记录相匹配时,系统 就认为这种行为是入侵