第8章 入侵检测系统
151-第8章 入侵检测系统
2019 +350001500 msec,subject,cxl,root, staff,cxl,staff,431,422,24 2 192.168.0.123,text,bad auth.for user root,return,failure,2
从上例的输出可以看到,用户mht从 192.168.0.9成功地远程登录到审计所在主 机;来自192.168.0.123的用户cxl试图将用 户更换为root,但没有成功。
事件类型、时间、用户组、有效的用户 身份号以及成功/出错信息也一目了然。
(2)系统日志
系统日志是反映各种系统事件和配置的 文件。
文件名
尽信书,则不如无书
入侵检测(Intrusion Detection),
顾名思义,就是对入侵行为的发觉,它通 过对计算机网络或计算机系统中的若干关 键点收集信息并对其进行分析,从中发现 网络或系统中是否有违反安全策略的行为 和被攻击的迹象。
进行入侵检测的软件与硬件的组合便
是入侵检测系统(IDS)。
事件时间
主体信息token
用户ID 用户有效ID
审计ID 进程ID 组ID
文件属性token 存取权限 文件属主 inode号 设备号
路径信息token 路径名 串长度
Solaris2.6给系统程序员提供了简单的编程接口,使之能够根据自己的需 要增加审计内容。auditsvc(2)指定当前的审计日志文件,audit(2)写入表 示一条审计记录。
Solaris2.6的审计事件涵盖系统调用和安全相关 命令,如下表所示。
审计事件类 fr nt ad lo ip …
描述 文件读取事件
第8章 入侵检测系统
8.3.3 分布式入侵检测系统
❖ 基于网络与基于主机的IDS相比具有明显的优点, 如部署数量少,能实时监测、具有0S独立性等,但 同时也有较大的缺陷:只能检查一个广播型网段上 的通信、难以处理加密的会话过程。
❖ 由此看出,二者各有优势,且具有互补性,把二者 结合起来使用,有可能改善入侵检测系统的检测效 果,这就是分布式入侵检测系统(Distributed IDS,DIDS)形成的原因。
图8.5 CIDF定义的体系结构
输入:原始事件源
❖ 其次,探测代理认为可疑的数据包将被根据 其类型交给专用的分析层设备处理。
❖ 各探测代理不仅实现信息过滤,同时监视所 在系统;而分析层和管理层则可对全局的信 息进行关联性分析。
❖ 这样对网络信息进行分流,提高了检测速度, 解决了检测效率低的问题,使得DIDS本身抗 击拒绝服务攻击的能力也得到了增强。
❖ 目前,随着网络规模的发展,大部分入侵检 测系统都采用分布式结构。分布式结构采用 分级组织模型,网状组织模型,或者这两种 的混和组织模型。
❖ 分级体系结构采用树形结构,命令和控制组 件在上层,信息汇聚中间层,操作单元位于 叶节点。操作单元可以是基于网络的IDS、基 于主机IDS、防病毒以及攻击响应系统。
8.2.2入侵检测系统的现状
❖ 入侵检测系统目前主要存在的问题有: ❖ (1)IDS产品的检测准确率比较低,漏报和
误报比较多。 ❖ (2)入侵检测系统不能对攻击做出响应 ❖ (3) IDS维护比较难 ❖ (4) 缺乏国际国内标准,IDS产品的测评缺
乏统一的标准和平台
8.2.3入侵检测系统的发展
❖ (1)体系结构的发展 ❖ 现有入侵检测系统多采用单一体系结构,即所
图8.4 混和体系结构
网络安全第八章测试
网络安全第八章1、不属于IDS体系结构的组件是()A、事件产生器B、自我防护单元(正确答案)C、事件分析器D、事件数据库2、下面()不属于误用检测技术的特点A、发现一些未知的入侵行为(正确答案)B、误报率低,准确率高C、对系统依赖性较强D、漏报率高3、入侵检测系统按数据来源可以分为基于()和基于()两种A、主机网络(正确答案)B、主机服务器C、网络服务器D、服务器客户机4、在 IDS 中,将收集到的信息与数据库中已有的记录进行比较,从而发现违背安全策略的行为,这类操作方法称为()A、模式匹配(正确答案)B、统计分析C、完整性分析D、不确定5、以下哪一种方式是入侵检测系统所通常采用的是()。
A、基于网络的入侵检测(正确答案)B、基于IP的入侵检测C、基于服务的入侵检测D、基于域名的入侵检测6、以下哪一项属于基于主机的入侵检测方式的优势:()A、监视整个网段的通信B、不要求在大量的主机上安装和管理软件C、适应交换和加密(正确答案)D、具有更好的实时性7、入侵检测利用的信息包括()A、系统和网络日志文件B、目录和文件中的不期望的改变和程序执行中的不期望的行为C、物理形式的入侵信息D、以上所有信息(正确答案)8、入侵检测系统在进行信号分析时,一般通过三种常用的技术手段,以下哪一种不属于通常的三种技术手段()A、模式匹配B、统计分析C、完整性分析D、密文分析(正确答案)9、以下哪一项不属于入侵检测系统的功能:()A、监视网络上的通信数据流B、捕捉可疑的网络活动C、提供安全审计报告D、过滤非法的数据包(正确答案)10、关于入侵检测技术,下列哪一项描述是错误的()A、入侵检测系统不对系统或网络造成任何影响(正确答案)B、审计数据或系统日志信息是入侵检测系统的一项主要信息来源C、入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的入侵D、基于网络的入侵检测系统无法检查加密的数据流11、按照检测数据的来源可将入侵检测系统(IDS)分为()?A、基于主机的IDS和基于网络的IDS(正确答案)B、基于主机的IDS和基于域控制器的IDSC、基于服务器的IDS和基于域控制器的IDSD、基于浏览器的IDS和基于网络的IDS12、入侵检测系统的第一步是:()A、信号分析B、信息收集(正确答案)C、数据包过滤D、数据包检查13、关于入侵检测技术,下列哪一项描述是错误的是()?A、入侵检测系统不对系统或网络造成任何影响(正确答案)B、审计数据或系统日志信息是入侵检测系统的一项主要信息来源C、入侵检测信息的统计分析有利于检测到未知的入侵和更为复杂的入侵D、基于网络的入侵检测系统无法检查加密的数据流14、入侵检测系统(IDS,Intrusion Detection System)是对()的合理补充,帮助系统对付网络攻击。
计算机网络安全第八章IDS
误用检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
误用检测
入侵行为
攻击模式描述库
规则匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
2 之 2
误报率低,漏报率高。攻击特征的细微变化,会使得误用检测无能为力。
按照数据来源分
目录
10 之 8
建立预警机制采取灾备措施提高保障意识
从预警到保障
IDS发展过程
— 概念的诞生
目录
10 之 9
1980年4月,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视):
异常检测模型
目录>>IDS的分类>>按照分析方法分
2 之 1
网络数据
日志数据
异常检测
入侵行为
正常行为描述库
规则不匹配
动态产生新描述动态更新描述
特 点
目录>>IDS的分类>>按照分析方法分
异常检测系统的效率取决于用户轮廓的完备性和监控的频率;因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源;漏报率低,误报率高。
统计分析
目录>>IDS的基本结构>>信息分析
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。 测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
网络的攻击与防护概述(PPT)
2. 防火墙的功能
(1) 扫描信息,过滤攻击。 (2) 关闭不需要的端口。 (3) 禁止特定端口的流出通信。 (4) 禁止特殊站点的访问(fǎngwèn)。 (5) 限制特定用户的通信。
第五页,共一百零八页。
3. 防火墙的缺乏 (1) 网络瓶颈。 (2) 不能防范不经过防火墙的信息攻击。 (3) 不能防范病毒的传播。 (4) 不能防范内部人员的攻击。 4.防火墙的特征(tèzhēng) (1) 内部网和外部网之间的所有网络数据流都
第二十页,共一百零八页。
③ Cisco PIX的一般配置步骤(bùzhòu)
连接好PIX 和PC,设置好PC的超级终端,开启PIX。
PIX进入非特权模式,显示 Pixfirewall> 。
输入命令enable,PIX进入特权模式,显示 Pixfirewall# 。
输入命令configure terminal进入配置模式,显示 Pixfirewall(config)#。
③ 缓冲区溢出。
(3) 信息收集型攻击 信息收集型攻击被用来为进一步入侵系统提供
有用的信息。这类攻击主要利用扫描技术和 信息效劳技术进行,其具体实现方式(fāngshì)有 地址扫描、端口扫描、反向映射、DNS域转 换和Finger效劳等。 (4) 虚假信息型攻击 虚假信息型攻击用于第三十攻八页,共击一百零八目页。 标配置不正确的消
第九页,共一百零八页。
2. 防火墙的技术分类 (1) 包过滤技术 包过滤技术是防火墙最为根本和传统的技术。
所谓“包过滤〞就是过滤数据包,使符合规 那么的数据包通过(tōngguò)而不符合规那么的数 据包被拒绝或丢弃。 包过滤技术防火墙工作在第三层及三层以下。
第十页,共一百零八页。
入侵检测系统简介
入侵检测系统简介入侵检测系统(Intrusion Detection System,简称IDS)是一种用于保护计算机网络免受未经授权的访问和恶意攻击的安全工具。
它通过监控和分析网络流量以及系统日志,识别出潜在的入侵行为,并及时生成警报,帮助管理员采取适当的措施保护网络的安全。
一、入侵检测系统的作用入侵检测系统主要具有以下几个作用:1. 发现未知入侵行为:入侵检测系统可以分析网络流量和系统日志,通过与已知的入侵特征进行比较,识别出未知的入侵行为。
这有助于及时发现并应对新型的攻击手段。
2. 预防未知威胁:IDS可以根据已知的威胁情报对网络流量进行实时分析,从而及早发现潜在的威胁。
管理员可以通过及时更新系统规则和策略来增强网络的安全性,提前避免可能的攻击。
3. 提供实时警报和反馈:IDS能够实时监控网络流量和系统状态,并及时发出警报。
这可以帮助管理员快速响应并采取适当的措施,以减少潜在的损害或数据泄露。
4. 支持安全审计和合规性要求:入侵检测系统可以记录网络活动并生成详细的日志报告,为安全审计提供可靠的数据。
此外,IDS还可以帮助组织满足合规性要求,如GDPR、HIPAA等。
二、入侵检测系统的类型根据工作原理和部署方式的不同,入侵检测系统可以分为以下几类:1. 签名型入侵检测系统(Signature-based IDS):这种类型的IDS使用已知的攻击特征来检测入侵行为。
它会将已知的攻击签名与网络流量进行比对,如果匹配成功,则判断为入侵。
由于该类型IDS需要事先定义并更新大量的攻击签名,因此对于未知的攻击手段无法有效检测。
2. 基于异常行为检测的入侵检测系统(Anomaly-based IDS):这类IDS会建立正常网络活动的行为模型,并通过与该模型的比较来检测异常行为。
它可以及时发现未知的入侵行为,但也容易产生误报。
该类型IDS需要较长时间的学习和适应阶段,并需要不断调整和优化行为模型。
3. 巚杂入侵检测系统(Hybrid IDS):这是一种结合了签名型和基于异常行为检测的入侵检测系统的混合型IDS。
入侵检测系统
格式 “” 由identd返回的该用户信息 UserID [DD/MMM/YYYY:HH:MM:SS+TimeZone] “GET ” NNN,如果没有则以“-”表示 NNNNN,如果没有则以“-”表示 /dir/page “browser/version”(操作系统)
日期
时间
主体标识
事件标号
事件来源
事件等级
计算机名 事件类别
事件描述区的内容取决于具体的事件,可以是事件的名称、详 细说明、产生该事件的原因、建议的解决方案等信息。
附加数据
可选数据区,通常包含可以以16进制方式显示的二进制数据。 具体内容由产生事件记录的应用程序决定。
2021/2/4
1
33
33
系统日志
2021/2/4
1
15
15
审计记录的问题
• 过于细节化的问题 • 缺乏足够细节的问题 • 缺乏说明文档 • 不同系统审计记录的不兼容
– 最让入侵检测系统头疼的问题!
2021/2/4
1
16
16
审计记录内容
• 响应事件的主题和涉及事件的目标信息
– 主体
– 对象
– 进程
– 用户id
– 系统调用的参数
– 返回值
– 基于主机的监测收集通常在操作系统层的来自计算机内 部的数据,包括操作系统审计跟踪信息和系统日志
• 来自网络的 – 检测收集网络的数据
• 来自应用程序的
– 监测收集来自运行着的应用程序的数据,包括应用程序 事件日志和其它存储在应用程序内部的数据
• 来自目标机的 – 使用散列函数来检测对系统对象的修改。
2021/2/4
1
5
(2)信息分析
信息安全第8章习题答案
3. 在本章,我们讨论了访问控制列表(ACL)和访问能力列表(C-list)。
a. 请给出访问能力列表相对于访问控制列表的两个优势。
解:1.方便权限回收2.比较容易判断出主体对客体有何种访问权限b. 请给出访问控制列表相对于访问能力列表的两个优势。
解:1.方便权限传递2.方便查询某个主体的所有授权访问26. 在这一章,我们讨论了三种类型的防火墙:包括过滤防火墙、基于状态检测的包过滤防火墙以及应用代理防火墙。
a. 请问,上述三种防火墙都分别工作在IP网络协议栈中的哪个层次上?解:1.包过滤防火墙:网络层2. 基于状态检测的包过滤防火墙:传输层,网络层3. 应用代理防火墙:应用层b. 请问,上述三种防火墙分别能够获得哪些信息?解:1.包过滤防火墙:源IP地址、目的IP地址、源端口、目的端口以及TCP标志位2.基于状态检测的包过滤防火墙:信息包括源IP地址、目的IP地址、源端口、目的端口以及TCP标志位3.应用代理防火墙:七层数据c. 针对上述三种防火墙,请分别简要地讨论一个它们所面临的实际攻击的例子。
解:1.包过滤防火墙:ip欺骗攻击,木马攻击2. 基于状态检测的包过滤防火墙:协议隧道攻击,反弹木马攻击3. 应用代理防火墙:非授权web访问,非授权Telnet访问36. 从广义上讲,有两种不同类型的入侵检测系统,即基于特征的和基于异常行为的。
a. 请列举出基于特征的入侵检测系统相对于基于异常的入侵检测系统的若干优势。
解:1.简单、高效(只要特征的数量不是太多)以及优秀的检测已知攻击的能力。
2.能够发出比较明确具体的报警,因为这些特征都是与一些特定模式的攻击相匹配。
b. 请列举出基于异常的入侵检测系统相对于基于特征的入侵检测系统的若干优势。
解:1.可以检测未知攻击2.可以检测到新的攻击3.对操作系统的依赖性小4.在不知道很多安全知识的情况下依然能检测出攻击行为答:可能检测出未知的攻击;如果特征文件较大的时候,基于异常的检测技术要好一点。
网络安全的入侵检测系统
网络安全的入侵检测系统随着互联网的普及和发展,网络安全问题变得愈发突出。
为了保护用户信息和确保网络环境的安全稳定,各种安全技术应运而生。
其中,入侵检测系统(Intrusion Detection System,简称IDS)是一种重要的安全防护措施。
本文将介绍网络安全的入侵检测系统及其作用、分类和实现原理。
一、入侵检测系统的概述入侵检测系统(Intrusion Detection System)是一种通过对网络流量进行监控、检测和分析,来寻找并应对可能的入侵行为的安全设备。
其主要作用是帮助网络管理员发现和响应各种针对网络系统的威胁和攻击,以降低网络系统被入侵的风险。
二、入侵检测系统的分类根据入侵检测系统的部署位置和检测方法,可以将其分为两种常见的分类:主机入侵检测系统(Host-based IDS)和网络入侵检测系统(Network-based IDS)。
1. 主机入侵检测系统主机入侵检测系统部署在网络中的每台主机上,通过监控主机上的系统日志和事件,以及分析主机的行为和进程等信息,来检测是否存在异常活动和潜在的入侵行为。
主机入侵检测系统可以对主机内部的安全事件进行较为详细的分析,但其规模较小,只能保护单个主机。
2. 网络入侵检测系统网络入侵检测系统则部署在网络的关键节点上,通过对网络流量进行实时监测和分析,来检测网络中的入侵行为。
网络入侵检测系统可以对整个网络进行全面的监控,并结合攻击特征库和模式识别算法,快速识别和应对网络攻击事件。
但相对于主机入侵检测系统,网络入侵检测系统对网络资源要求较高,需要投入较大的运维成本。
三、入侵检测系统的实现原理入侵检测系统通过以下步骤实现对网络安全的监测和检测。
1. 流量监测入侵检测系统首先需要对网络流量进行实时监测。
这可以通过物理设备(如交换机、路由器等)上的镜像端口或网络流量监测仪来实现,也可以通过网络流量分析工具来捕获并处理数据包。
2. 流量分析监测到的网络流量将被送到流量分析引擎中进行分析。
第8章 计算机安全,考试试题序号33-36题,共考4题
计算机病毒的传播的途径不可能通过()。-->投影仪
计算机病毒的传播途径不可能是()。-->纸质文件
计算机病毒的预防()。-->既包括管理方法上的预防也包括技术上的预防
计算机病毒的预防技术不包括()。-->文件监控技术
计算机病毒都有一定的激发条件,当条件满足时,它才执行。激发性
计算机病毒属于()范畴。-->软件
计算机病毒属于_。-->人为编制的恶意破坏程序
计算机病毒通常要破坏系统中的某些文件,它()属于主动攻击,破坏信息
计算机病毒中的寄生性是指。大多数计算机病毒把自己附着在某个已存在的
计算机病毒最重要的特征是()。-->破坏性和传染性
计算机不可能传染病毒的途径是()。-->使用空白新软盘
认证技术不包括()。-->中介者认证技术
认证使用的技术不包括()。-->人工智能技术
入侵检测是检测()。计算机系统中的若干关键点(例如注册表)中的数据
入侵检测是检测()。系统中是否存在违反安全策略的行为和遭到袭击的迹
入侵检测系统首先要对原始数据进行采集。数据库文件中数据的变化
软件盗版是指未经授权对软件进行复制、仿制、使用或生产。使用试用版的
关于计算机病毒的叙述中,正确的是()。邮件中的病毒大多附着在附件中
关于计算机病毒的预防,以下说法错误。在网络上的软件也带有病毒,但不
关于计算机病毒说法错误的是()。病毒会马上在所感染的计算机上发作
关于加密技术,下面说法错误的是()。-->消息以明文发送
关于系统更新错误的说法是。系统更新原则上不会再受计算机病毒的攻击
网络上病毒传播的主要方式不包括()。-->浏览器
第8章 入侵检测系统(IDS)及应用习题答案
习题答案一、填空题1. 入侵者进入我们的系统主要有三种方式:物理入侵、系统入侵、远程入侵。
2. 入侵检测系统是进行入侵检测的软件与硬件的组合。
3. 入侵检测系统由三个功能部分组成,它们分别是感应器(Sensor)、分析器(Analyzer)和管理器(Manager)。
4. 入侵检测系统根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。
5.入侵检测系统根据工作方式分为在线检测系统和离线检测系统。
6. 通用入侵检测模型由主体、客体、审计记录、活动参数、异常记录、活动规则六部分组成。
二、选择题1.IDS产品相关的等级主要有(BCD)等三个等级:A: EAL0 B: EAL1 C: EAL2 D: EAL32. IDS处理过程分为(ABCD )等四个阶段。
A: 数据采集阶段B: 数据处理及过滤阶段C: 入侵分析及检测阶段D: 报告以及响应阶段3. 入侵检测系统的主要功能有(ABCD ):A: 监测并分析系统和用户的活动B: 核查系统配置和漏洞C: 评估系统关键资源和数据文件的完整性。
D: 识别已知和未知的攻击行为4. IDS产品性能指标有(ABCD ):A:每秒数据流量B: 每秒抓包数C: 每秒能监控的网络连接数D:每秒能够处理的事件数5. 入侵检测产品所面临的挑战主要有(ABCD ):A:黑客的入侵手段多样化B:大量的误报和漏报C:恶意信息采用加密的方法传输D:客观的评估与测试信息的缺乏三、判断题1. 有了入侵检测系统以后,我们可以彻底获得网络的安全。
(F )2. 最早关于入侵检测的研究是James Anderson在1980年的一份报告中提出的。
( T )3. 基于网络的入侵检测系统比基于主机的入侵检测系统性能优秀一些。
( F )4. 现在市场上比较多的入侵检测产品是基于网络的入侵检测系统。
( T )四、简答题1. 什么是入侵检测系统?简述入侵检测系统的作用?答:入侵检测系统(Intrusion Detection System,简称IDS)是进行入侵检测的软件与硬件的组合,事实上入侵检测系统就是“计算机和网络为防止网络小偷安装的警报系统”。
入侵检测系统原理
入侵检测系统原理入侵检测系统(Intrusion Detection System,简称IDS)是一种重要的网络安全设备,广泛应用于保护网络免受恶意攻击。
本文将介绍入侵检测系统的原理及其工作流程。
一、入侵检测系统的分类入侵检测系统可以分为两种主要类型:基于网络的入侵检测系统(Network-based Intrusion Detection System,简称NIDS)和基于主机的入侵检测系统(Host-based Intrusion Detection System,简称HIDS)。
1. 基于网络的入侵检测系统(NIDS)基于网络的入侵检测系统通过监听网络流量来检测潜在的攻击。
NIDS通常部署在网络入口处,监测所有进出网络的数据包。
当检测到异常或可疑的流量时,NIDS会触发警报并采取相应的响应措施。
2. 基于主机的入侵检测系统(HIDS)基于主机的入侵检测系统主要关注主机上的活动,通过监视主机的系统日志、文件系统和应用程序等来检测潜在的入侵行为。
HIDS通常安装在每台主机上,并与操作系统和应用程序进行密切协作。
当检测到异常行为时,HIDS会发出警报并采取相应的措施。
二、入侵检测系统的工作原理1. 数据获取入侵检测系统首先需要获取原始数据以进行分析和监测。
对于NIDS来说,数据获取通常是通过网络监听设备来实现的,它会截获网络上的数据包进行分析。
而对于HIDS来说,数据获取则是通过监视主机上的日志、文件和系统调用等来实现的。
2. 数据分析入侵检测系统对获取到的数据进行分析,以识别潜在的入侵行为。
数据分析可以分为两个阶段:特征检测和行为分析。
特征检测主要基于已知的攻击模式或特征进行。
入侵检测系统通过与先前收集的攻击特征进行比较,检测出现在数据中的匹配项。
这些特征可以是一组规则、模式或统计指标等。
行为分析是一种基于异常检测的方法。
它通过建立主机或网络的正常行为模型,检测与该模型不一致的行为。
常用的方法包括统计分析、机器学习和人工智能等。
第8章入侵检测技术PPT讲义
入侵 行为
时间信息
添加新 的规则
如果正常的用户行为与入侵特征匹配,则系统会发生误报 如果没有特征能与某种新的攻击行为匹配,则系统会发生漏报
异常检测技术
1. 前提:入侵是异常活动的子集
2. 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合,用于描述 正常行为范围;检查实际用户行为和系统的运行情况是否偏离预设的门限?
较,得出是否有入侵行为
异常检测(Anomaly Detection) ——基于行为的检测
总结正常操作应该具有的特征,得出正常操作的模型 对后续的操作进行监视,一旦发现偏离正常操作模式,即进
行报警
误用检测技术
1. 前提:所有的入侵行为都有可被检测到的特征
2. 攻击特征库: 当监测的用户或系统行为与库中的记录相匹 配时,系统就认为这种行为是入侵
中止连接
Internet
商务伙伴
外外部部攻攻击击
类程序附在电子邮件上传输
入侵检测系统的作用
摄像机=IDS探测引擎
监控室=控制中心
后门 Card Key
保安=防火墙
形象地说,IDS就是一台智能的X光摄像机,它能够捕获并记录网络上的所有数据, 分析并提炼出可疑的、异常的内容,尤其是它能够洞察一些巧妙的伪装,抓住内 容的实质。此外,它还能够对入侵行为自动地进行响应:报警、阻断连接、关闭 道路(与防火墙联动)
通过提交上千次相同命令,来实施对POP3服务器的拒绝 服务攻击.
入侵检测系统发现该行为发生次数超过预定义阈值,认 为是异常事件。
实例二:暴力破解FTP账号密码
黑客得知FTP Server存在用户名admin 使用字典程序对admin用户暴力猜密码 入侵检测系统会发现在很短的时间内会出现大量如下数
入侵检测系统原理
入侵检测系统原理入侵检测系统(Intrusion Detection System, IDS)是一种用于监测计算机网络或系统中是否发生未经授权的入侵行为的安全设备。
通过检测网络流量和系统日志来发现潜在的入侵,并及时采取相应的防御措施。
本文将介绍入侵检测系统的原理及其工作过程。
一、入侵检测系统的分类入侵检测系统可分为主机入侵检测系统(Host-based IDS, HIDS)和网络入侵检测系统(Network-based IDS, NIDS)两种类型。
主机入侵检测系统主要针对主机级别的入侵行为进行监测。
它通过监控主机上的日志文件、系统调用、文件完整性等信息,来检测是否存在异常行为。
网络入侵检测系统主要针对网络层次的入侵行为进行监测。
它通过监控网络传输的数据包,来检测是否有非法入侵的行为。
二、入侵检测系统的原理入侵检测系统的原理可以分为基于签名的检测和基于异常的检测两种。
1. 基于签名的检测基于签名的检测是一种静态检测方法,依据预先确定的已知攻击特征(也称为签名),对网络流量或主机行为进行匹配。
当检测到与已知攻击特征相匹配时,就会发出警报,并采取相应的防御措施。
这种方法的优点是准确性高,能够精确识别已知的攻击行为。
然而,对于新型的未知攻击行为,基于签名的检测方法无法发现。
2. 基于异常的检测基于异常的检测是一种动态检测方法,通过学习正常网络流量或主机行为的基准,并监测实时的流量或行为数据,以检测出异常行为。
这种方法通过建立正常行为的模型,识别与模型不一致的行为,来发现潜在的入侵。
它能够检测到未知攻击行为,但也容易误报和漏报现象。
三、入侵检测系统的工作过程入侵检测系统的工作过程主要包括数据采集、数据预处理、特征提取、异常检测和报警等步骤。
1. 数据采集入侵检测系统通过监测网络流量和主机行为,收集数据用于后续的检测和分析。
网络入侵检测系统通常通过网络监测设备(如IDS传感器)获取网络流量数据,而主机入侵检测系统则通过监测主机上的系统日志、进程信息等数据。
第八章 防火墙与入侵检测技术
第八章防火墙与入侵检测技术一、选择题1.防火墙是计算机网络安全中常用到的一种技术,它通常被用在。
A LAN内部B LAN和WAN之间C PC和PC之间D PC和LAN之间标准答案:B2.为HTTP协议开放的端口是。
A 80B 139C 135D 99标准答案:A3.防火墙一般由分组过滤路由器和两部分组成。
A 应用网关B 网桥C 杀毒软件D防病毒卡标准答案:A4,下列选项是入侵检测常用的方法。
A 模式匹配B 统计分析C 静态配置分析D 完整性分析标准答案:C5,如果内部网络的地址网段为192.168.1.0/24 ,需要用到防火墙的功能,才能使用户上网。
A 地址映射B 地址转换C IP地址和MAC地址绑定功能D URL过滤功能标准答案:B6.下面哪种安全技术被称为是信息安全的第一道闸门?。
A 入侵检测技术B 防火墙技术C 防病毒技术D 加密技术标准答案:B7.下面哪种安全技术被称为是信息安全的第二道闸门?。
A 防火墙技术B 防病毒技术C 入侵检测技术D 加密技术标准答案:C8.下列不属于系统安全的技术是。
A 防火墙B 加密狗C 认证D 防病毒标准答案:B9.电路级网关是以下哪一种软/硬件的类型?。
A 防火墙B 入侵检测软件C 入侵防御软件D 商业支付程序标准答案:A10. 对于防火墙不足之处,描述错误的是。
A无法防护基于操作系统漏洞的攻击B 无法防护端口反弹木马的攻击C 无法防护病毒的侵袭D 无法进行带宽管理标准答案:D11.防火墙对数据包进行状态检测包过滤时,不可以进行过滤的是。
A 源和目的IP地址B 源和目的端口C IP协议号D 数据包中的内容标准答案:D12.包过滤防火墙不能对进行过滤。
A IP地址B 病毒C 协议D 端口标准答案:B13,加强网络安全性的最重要的基础措施是。
A 设计有效的网络安全策略B 选择更安全的操作系统C 安装杀毒软件D 加强安全教育标准答案:A14. 下面关于包过滤描述错误的是。
第8章入侵检测技术方案
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1 入侵检测概述
入侵是所有试图破坏网络信息的完整性、保密性、可用 性、可信任性的行为。入侵是一个广义的概念,不仅包括发 起攻击的人取得超出合法范围的系统控制权,也包括收集漏 洞信息,造成拒绝服务等危害计算机和网络的行为。 入侵检测作为安全技术其作用在于:
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.2 入侵检测技术
8.2.1 入侵检测分析模型
人们多年来对入侵检测的研究,使得该研究领域已具有一定的规模和相应的 理论体系。入侵检测的核心问题在于如何对安全审计数据进行分析,以检测其中 是否包含入侵或异常行为的迹象。
分析是入侵检测的核心功能,它既能简单到像一个已熟悉日志情况的管理员 去建立决策表,也能复杂得像一个集成了几百万个处理的非参数系统。入侵检测 过程分析过程分为三部分:信息收集、信息分析和结果处理。
信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及 用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信 息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的 程序执行。
信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息, 被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析: 模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并 发送给控制台。
图8-1 CIDF模型结构图
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.2 入侵检测系统结构
从系统构成上看,入侵检测系统应包括事件提取、入侵分析、入侵响应和远程管 理四大部分,另外还可能结合安全知识库、数据存储等功能模块,提供更为完善 的安全检测及数据分析功能。如图8-2所示。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
8.3.3 分布式入侵检测系统
基于网络与基于主机的IDS相比具有明显的 优点,如部署数量少,能实时监测、具有OS 独立性等,但同时也有较大的缺陷:只能检 查一个广播型网段上的通信、难以处理加密 的会话过程。 由此看出,二者各有优势,且具有互补性, 把二者结合起来使用,有可能改善入侵检测 系统的检测效果,这就是分布式入侵检测系 统(Distributed IDS,DIDS)形成的原因。
第8章 入侵检测技术
本章介绍入侵检测系统的基本概念和发展方 向,体系结构和公共入侵检测框架CIDF。论 述了基于主机的(HIDS)、基于网络的 (NIDS)和分布式的(DIDS)入侵检测系 统的内涵和特点;详细描述了检测:异常检 测法和基于误用检测法
8.1 入侵检测系统概述
传统的计算机安全技术已不能满足复杂系统 的安全性要求. 入侵检测系统已成为网络计算机系统中一个 有效的防范检测手段,对正常和误用的系统 行为提供了识别的技术. 入侵是指对任何企图危及资源的完整性、机 密性和可用性的活动。入侵检测(Intrusion Detection),顾名思义,就是对入侵行为的 发觉
8.3 入侵检测系统的类型
从数据来源和系统结构分类,入侵检测系统 分为3类: 基于主机的入侵检测系统:主机型IDS驻留 在一台主机上,监控那些有入侵动作的机器。 基于网络的入侵检测系统:对流动在网络中 的其他主机发送和接收的流量进行监控。 分布式入侵检测系统(混合型):由多个部件 组成,分布在网络的各个部分,它们分别进 行数据采集、分析等工作 。
基于主机的入侵检测系统有一些重大缺点。 因为HIDS是基于主机的,它对整个网络的拓 扑结构认识有限。 攻击者可以控制一台未安装HIDS的机器,然 后对受保护的主机进行合法访问,这时HIDS 检测不出攻击,使得入侵检测系统变得毫无 用处。唯一的办法成了要在每一台可能遭受 攻击的主机上安装HIDS,这将导致成本过高, 而且也未必能保证绝对的安全。
CIDF定义的体系结构
输入:原始事件源 事件生成器 输出:原始 或低级事件 输出: 高级中断事件 响应单元
输出:反应或事件
输出:事件的存储信息 事件数据库 目录服务器
事件分析器
事件生成器是采集和过滤事件数据的程序或 模块。 事件分析器分析事件数据和任何CIDF组件传 送给它的各种数据。 事件数据库是各种原始数据或已加工过数据 的存储器。
响应单元是针对分析组件产生的分析结果, 根据响应策略采取相应的行为,发出命令响 应攻击,如杀死进程或复位连接。 目录服务器组件用于各组件定位其他组件, 以及控制其他组件传递的数据并认证其他组 件的使用,以防止IDS本身受到攻击。
从图中可以看出,各组件之间采用松散的耦 合方式,实现入侵检测系统功能的4个组件通 过目录服务器组件进行定位、认证,即提供 配置和目录服务的组件,把其他组件连接到 一起。 组件可采用分级体系结构、网状体系结构或 者混和结构来组织。
(2)入侵检测的智能化 入侵方法越来越多样化和综合化,传统的 入侵检测分析方法无法完全实现检测功能, 保证计算机的安全。 入侵检测与智能代理、神经网络以及遗传算 法的结合是更深一层的研究,特别是智能代 理的IDS需要加以进一步的研究以解决自学 习能力与适应能力。
(3) 响应策略的研究 入侵检测系统只实现了检测功能,未能及 时的做出相应的响应。所以入侵检测系统的 响应策略是十分重要的。识别出入侵后的响 应策略是IDS维护系统安全性、完整性的关 键。 (4)网络安全技术相结合 结合防火墙、PKI、安全电子交易(SET) 等新的网络安全与电子商务技术,提供完整 的网络安全保障。
各探测代理不仅实现信息过滤,同时监视所 在系统;而分析层和管理层则可对全局的信 息进行关联性分析。 这样对网络信息进行分流,提高了检测速度, 解决了检测效率低的问题,使得DIDS本身抗 击拒绝服务攻击的能力也得到了增强。
DIDS由主机代理(Host Agent)、局域网 代理(LAN Agent)和控制器(DIDS Director)三部分组成,主机代理负责监测 某台主机的安全,依据搜集到这台主机活动 的信息产生主机安全事件,并将这些安全事 件传送到控制器。
和分级体系相反,网状体系结构 ,允许信息 从任何节点流向任何其他节点。如图
网状结构的通信通常不是很有效,因为没有 限制的通信流。 但是,网状体系结构功能的灵活性弥补了通 信效率低的不足。这种体系结构将收集、汇 聚和命令控制功能集成到一个驻留在每个监 控系统上的组件中。
混和模型是一种综合分级和网状体系结构最 佳特征的方法。 混和模型采用网状体系结构,它没有明确的 根,但是保留整体的分级结构,并允许组件 不按严格的分级结构灵活的通信。
8.2 入侵检测系统的发展历史和现状
入侵检测系统目前主要存在的问题有: (1)IDS产品的检测准确率比较低,漏报和 误报比较多。 (2)入侵检测系统不能对攻击做出响应 (3) IDS维护比较难 (4) 缺乏国际国内标准,IDS产品的测评缺 乏统一的标准和平台
入侵检测系统的发展
8.4.3 对入侵检测系统的新的攻击和威胁
网络攻击多种多样,攻击者发动攻击的典型 方式主要包括简单攻击、环形攻击、旋转门 柄攻击、分布式攻击以及链式攻击,攻击过 程中的一些行为类型表明了攻击者访问系统 的企图; 另外一些行为则试图隐藏攻击者的真实身份 或者攻击者的恶意行为或企图
混和体系结构
命令和控制节点 汇聚节点
收集节点
一般地,层次化的体系结构通信效率较高。 在此层次结构中,信息提炼、过滤向上,控 制命令向下。此种体系结构对于中央控制管 理的可扩展分布式入侵检测系统非常适合。 目前并没有公认的体系结构,因为人们对大 规模网络入侵检测的功能、覆盖范围和检测 方法认识尚不统一。
分级体系结构采用树形结构,命令和控制组 件在上层,信息汇聚中间层,操作单元位于 叶节点。操作单元可以是基于网络的IDS、 基于主机IDS、防病毒以及攻击响应系统。
分级体系结构
命令和控制节点
汇聚节点
收集节点
分级体系结构导致有效的通信 分级体系结构对于创建可扩展的、具有中央 管理点的分布IDS很有用。 但是,这些结构要求较严格,因为需要和组 件相关的功能和通信线。
基于主机的IDS具有如下优点
能够更加准确地判断攻击是否成功 监视特定的系统活动 HIDS可以检测到那些基于网络的系统察觉不 到的攻击
8.3.2 基于网络的入侵检测系统
基于网络的入侵检测系统通过在共享网段上 对通信数据进行侦听,采集数据,分析可疑 现象,系统根据网络流量、协议分析、简单 网络管理协议信息等检测入侵。 网络入侵检测系统(Network-based IDS,NIDS)放置在网络基础设施的关键区域, 监控流向其他主机的流量。
基于主机的入侵检测系统图
审计数据
审计数据过滤
相关数据
审计分析
分析员
基于主机的入侵检测系统
此系统依赖于审计数据或系统日志的准确 性和完整性以及安全事件的定义。 这些系统的实现不全在目标主机上,有些 采用独立的外围处理机,也有的使用网络 将主机的信息传送到中央分析单元。 但全部是根据目标系统的审计记录工作, 不一定能及时采集到审计记录是这些系统 的弱点,因此入侵者可能会将主机审计系 统作为攻击目标以避开入侵检测系统。
DIDS综合了基于主机和基于网络的IDS的功 能。它通过收集、合并来自多个主机的审计 数据和检查网络通信,能够检测出多个主机 发起的协同攻击。 DIDS系统在框架上结合了Haystack系统和 NSM系统的特点,进行数据的分布式监视, 集中式分析。
DIDS的分布性表现在两个方面: 首先,数据包过滤的工作由分布在各网络设 备(包括联网主机)上的探测代理完成; 其次,探测代理认为可疑的数据包将被根据 其类型交给专用的分析层设备处理。
8.4.2 通用入侵检测框架
通用入侵检测框架CIDF(Common Intrusion Detection Framework)定义了 大多数IDS要具有的基本组件。 CIDF是为了解决不同IDS的互操作性和共存 问题而提出的,它试图建立通用的入侵检测 体系结构。 CIDF可以提供IDS组件共享、数据共享,并 完善互用性标准,最终建立一套开发接口和 支持工具,以提高独立开发部分组件的能力。
(1)体系结构的发展 现有入侵检测系统多采用单一体系结构,即所 有的工作包括数据采集、分析都由单一主机上的单 一程序来完成。 而一些分布式的入侵检测系统只是在数据采集 上实现了分布式,数据的分析、入侵的发现还是由 单个的程序来完成,造成系统的可扩展性较差、单 点失效、系统缺乏灵活性和配置性等缺点。具有多 系统的、可以互相协同工作的、可重用的通用入侵 检测体系结构是重要的研究方向
在现有的网络环境下,单独依靠主机审计信 息进行入侵检测难以满足网络安全的需求, 由于主机的审计数据的弱点,如易受攻击, 而且入侵者可以通过使用某些系统特权和调 用比审计本身更低级的操作来逃避审计,因 此不能仅仅通过分析主机的审计记录来检测 网络攻击。
基于主机的HIDS(Host-based IDS , HIDS)在 操作系统、应用程序或内核层次上对攻击进 行监控,监视和寻找操作系统的可疑事件。 要发现一些恶意事件,HIDS需要和主机协调 一致,被监控的主机系统深入的知识只能由 入侵检测系统所掌握。要检测一些攻击, HIDS必须具备主机的正常行为的知识。
基于网络的入侵检测系统的数据来源于网络 的信息流,NIDS被动地在网络上监听整个网 络上的信息流,分析所截获的网络数据包, 检测其是否发生网络入侵。 NIDS与基于主机的入侵检测系统对比,前 者对入侵者而言是透明的,入侵者不知道有 入侵检测系统的存在。