入侵检测技术.ppt
合集下载
入侵检测ppt课件
入侵检测
传统防火墙的主要缺陷之一在于对内联网络的防范措施不力。这是因 为一般的防火墙的目的就是为了保护用户网络,所以它们都假定内联网络 是安全的外联网络是不安全的。但研究表明,50%以上的攻击行为是从内 部发起的。
入侵检测技术是人们对网络探测与攻击技术层出不穷的的反应,其目 的是通过对系统负载的深入分析,发现和处理更加隐蔽的网络探测与攻击 行为,为系统提供更强大、更可靠的安全策略和解决方案,弥补防火墙的 不足。
28
IDS 模式匹配举例
模式匹配举例:
较早版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell! 模式匹配 检查每个packet是否包含:
“WIZ” | “DEBUG”
29
6.5
入侵检测的历史
32
6.6.1 按照检测数据的来源划分 (1)
1 基于主机的入侵检测
基于主机的入侵检测系统(HIDS)检查 判断的依据是系统内的各种数据以及 相关记录。具体来说,可以分成以下 几种:
系统审计记录 系统日志 应用程序日志 其它数据源 比如文件系统信息
33
1 基于主机的入侵检测
基于主机的IDS的优点
26
6.4 入侵检测的主要作用
识别并阻断系统活动中存在的已知攻击行为,防止入侵行为对受保护 系统造成损害。
识别并阻断系统用户的违法操作行为或者越权操作行为,防止用户对 受保护系统有意或者无意的破坏。
检查受保护系统的重要组成部分以及各种数据文件的完整性。
审计并弥补系统中存在的弱点和漏洞,其中最重要的一点是审计并纠 正错误的系统配置信息。
7
6.1.1
拒绝服务(3)
3 报文超载
传统防火墙的主要缺陷之一在于对内联网络的防范措施不力。这是因 为一般的防火墙的目的就是为了保护用户网络,所以它们都假定内联网络 是安全的外联网络是不安全的。但研究表明,50%以上的攻击行为是从内 部发起的。
入侵检测技术是人们对网络探测与攻击技术层出不穷的的反应,其目 的是通过对系统负载的深入分析,发现和处理更加隐蔽的网络探测与攻击 行为,为系统提供更强大、更可靠的安全策略和解决方案,弥补防火墙的 不足。
28
IDS 模式匹配举例
模式匹配举例:
较早版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell! 模式匹配 检查每个packet是否包含:
“WIZ” | “DEBUG”
29
6.5
入侵检测的历史
32
6.6.1 按照检测数据的来源划分 (1)
1 基于主机的入侵检测
基于主机的入侵检测系统(HIDS)检查 判断的依据是系统内的各种数据以及 相关记录。具体来说,可以分成以下 几种:
系统审计记录 系统日志 应用程序日志 其它数据源 比如文件系统信息
33
1 基于主机的入侵检测
基于主机的IDS的优点
26
6.4 入侵检测的主要作用
识别并阻断系统活动中存在的已知攻击行为,防止入侵行为对受保护 系统造成损害。
识别并阻断系统用户的违法操作行为或者越权操作行为,防止用户对 受保护系统有意或者无意的破坏。
检查受保护系统的重要组成部分以及各种数据文件的完整性。
审计并弥补系统中存在的弱点和漏洞,其中最重要的一点是审计并纠 正错误的系统配置信息。
7
6.1.1
拒绝服务(3)
3 报文超载
《入侵检测技术 》课件
总结词
能够应对复杂多变的网络威胁。
详细描述
基于统计、数据挖掘、机器学习等技术的入侵检测方法, 能够从大量数据中提取有用的信息,并自动学习攻击手段 的变化,从而更有效地应对复杂的网络威胁。
总结词
对资源要求较高。
详细描述
由于这些方法需要处理大量的网络流量数据,因此对系统 资源的要求较高,需要高性能的硬件和软件支持。
《入侵检测技术》 PPT课件
• 入侵检测技术概述 • 入侵检测技术分类 • 入侵检测技术原理 • 入侵检测技术应用场景 • 入侵检测技术面临的挑战与解决
方案 • 未来入侵检测技术的发展趋势
目录
01
入侵检测技术概述
定义与目的
定义
入侵检测技术是一种用于检测、识别 和应对网络或系统上未经授权的访问 或异常行为的手段。
性能有一定影响。
混合型入侵检测技术
混合型入侵检测技术是指结合 基于主机和基于网络的入侵检 测技术的一种技术。
它通过综合分析主机系统和网 络流量数据,提高对攻击行为 的检测和识别的准确性。
混合型入侵检测技术可以提供 更全面的安全防护,但需要同 时考虑主机和网络的部署和管 理。
其他分类方法
基于时间的入侵检测技术
主机入侵检测技术可以提供更精确的攻击识别和更深入的攻击分析,但需要安装在 被保护的主机上,且对主机的性能有一定影响。
基于网络的入侵检测技术
网络入侵检测技术是指基于网络 流量数据来检测和识别恶意行为
的一种技术。
它通过分析网络流量数据,检测 和识别异常的网络行为,如未经 授权的访问、恶意代码传播等。
网络入侵检测技术可以提供实时 的攻击检测和预警,但需要部署 在网络的关键节点上,且对网络
通过检测和应对安全威胁,入侵检测 技术有助于提高网络和系统的安全性 ,保护组织的机密信息和资产。
能够应对复杂多变的网络威胁。
详细描述
基于统计、数据挖掘、机器学习等技术的入侵检测方法, 能够从大量数据中提取有用的信息,并自动学习攻击手段 的变化,从而更有效地应对复杂的网络威胁。
总结词
对资源要求较高。
详细描述
由于这些方法需要处理大量的网络流量数据,因此对系统 资源的要求较高,需要高性能的硬件和软件支持。
《入侵检测技术》 PPT课件
• 入侵检测技术概述 • 入侵检测技术分类 • 入侵检测技术原理 • 入侵检测技术应用场景 • 入侵检测技术面临的挑战与解决
方案 • 未来入侵检测技术的发展趋势
目录
01
入侵检测技术概述
定义与目的
定义
入侵检测技术是一种用于检测、识别 和应对网络或系统上未经授权的访问 或异常行为的手段。
性能有一定影响。
混合型入侵检测技术
混合型入侵检测技术是指结合 基于主机和基于网络的入侵检 测技术的一种技术。
它通过综合分析主机系统和网 络流量数据,提高对攻击行为 的检测和识别的准确性。
混合型入侵检测技术可以提供 更全面的安全防护,但需要同 时考虑主机和网络的部署和管 理。
其他分类方法
基于时间的入侵检测技术
主机入侵检测技术可以提供更精确的攻击识别和更深入的攻击分析,但需要安装在 被保护的主机上,且对主机的性能有一定影响。
基于网络的入侵检测技术
网络入侵检测技术是指基于网络 流量数据来检测和识别恶意行为
的一种技术。
它通过分析网络流量数据,检测 和识别异常的网络行为,如未经 授权的访问、恶意代码传播等。
网络入侵检测技术可以提供实时 的攻击检测和预警,但需要部署 在网络的关键节点上,且对网络
通过检测和应对安全威胁,入侵检测 技术有助于提高网络和系统的安全性 ,保护组织的机密信息和资产。
入侵检测技术
–安装在被保护的网段(通常是共享网络,交换环境中交 换机需支持端口映射)中 –混杂模式监听 –分析网段中所有的数据包 –实时检测和响应
10
7.2 入侵检测的原理与技术
网络数据
读取网络数据 网络报文数据
协议分析
比较数据
事件数据库
上报事件
图7-1 网络IDS工作模型
11
7.2 入侵检测的原理与技术
网络IDS优势
22
7.2 入侵检测的原理与技术
7.2.3 IDS采用的技术
2、异常检测技术 通过对系统审计数据的分析建立起系统主体(单个用户、 一组用户、主机,甚至是系统中的某个关键的程序和文件等) 的正常行为特征轮廓;检测时,如果系统中的审计数据与已建 立的主体的正常行为特征有较大出入就认为是一个入侵行为。 这一检测方法称“异常检测技术”。 一般采用统计或基于规则描述的方法建立系统主体的行 为特征轮廓,即统计性特征轮廓和基于规则描述的特征轮廓。
事件数据库
图7-4 控制中心的工作流程
21
7.2 入侵检测的原理与技术
7.2.3 IDS采用的技术
入侵检测主要通过专家系统、模式匹配、协议分析 或状态转换等方法来确定入侵行为。入侵检测技术有:
➢静态配置分析技术 ➢异常检测技术 ➢误用检测技术
1.静态配置分析技术 静态配置分析是通过检查系统的当前系统配置,诸 如系统文件的内容或系统表,来检查系统是否已经或者 可能会遭到破坏。静态是指检查系统的静态特征(系统配 置信息),而不是系统中的活动。
6
7.1 入侵检测系统概述
7
7.1 入侵检测系统概述
7.1.4 入侵检测的发展历程
1980年,概念的诞生 1984~1986年,模型的发展 1990年,形成网络IDS和主机IDS两大阵营 九十年代后至今,百家争鸣、繁荣昌盛
10
7.2 入侵检测的原理与技术
网络数据
读取网络数据 网络报文数据
协议分析
比较数据
事件数据库
上报事件
图7-1 网络IDS工作模型
11
7.2 入侵检测的原理与技术
网络IDS优势
22
7.2 入侵检测的原理与技术
7.2.3 IDS采用的技术
2、异常检测技术 通过对系统审计数据的分析建立起系统主体(单个用户、 一组用户、主机,甚至是系统中的某个关键的程序和文件等) 的正常行为特征轮廓;检测时,如果系统中的审计数据与已建 立的主体的正常行为特征有较大出入就认为是一个入侵行为。 这一检测方法称“异常检测技术”。 一般采用统计或基于规则描述的方法建立系统主体的行 为特征轮廓,即统计性特征轮廓和基于规则描述的特征轮廓。
事件数据库
图7-4 控制中心的工作流程
21
7.2 入侵检测的原理与技术
7.2.3 IDS采用的技术
入侵检测主要通过专家系统、模式匹配、协议分析 或状态转换等方法来确定入侵行为。入侵检测技术有:
➢静态配置分析技术 ➢异常检测技术 ➢误用检测技术
1.静态配置分析技术 静态配置分析是通过检查系统的当前系统配置,诸 如系统文件的内容或系统表,来检查系统是否已经或者 可能会遭到破坏。静态是指检查系统的静态特征(系统配 置信息),而不是系统中的活动。
6
7.1 入侵检测系统概述
7
7.1 入侵检测系统概述
7.1.4 入侵检测的发展历程
1980年,概念的诞生 1984~1986年,模型的发展 1990年,形成网络IDS和主机IDS两大阵营 九十年代后至今,百家争鸣、繁荣昌盛
电子商务安全实务课件7-入侵检测技术
服务器 基于主机的IDS
实训七:入侵检测技术
3.1 基于主机的入侵检测HIDS
HIDS的主要优点:
1)信息源完备,IDS对信息源的处理简单、一致; 2)它对某些特定的攻击十分有效,如缓冲区溢出攻击。
HIDS的不足:
会占用主机的系统资源,增加系统负荷;全面部署HIDS代 价较大;它依赖于主机固有的日志与监视能力,故能检测 到的攻击类型受到限制,而且主机审计信息易受攻击,入 侵这可设法逃避审计。
实训七:入侵检测技术
1.2 入侵检测系统的功能
2、入侵检测系统基本功能
一个入侵检测系统至少包括信息收集、信息分析、入侵响应和 管理三大功能。 (1)数据收集与提取。入侵检测第一步就是在网络系统中的 若干不同关键点收集数据,入侵检测很大程度上依赖于收集数 据的准确性与可靠性。 数据的收集主要来源:1)系统和网络日志文件;2)目录和文 件不期望的改变;3)程序不期望的行为;4)物理形式的入侵 数据。
实训七:入侵检测技术
衡量一个入侵检测系统的性能,主要有两个 关键参数:误报和漏报
误报:误报是指实际上无害的事件却被IDS检测
为攻击事件的情况。
漏报:漏报是指一个攻击事件未被IDS检测到或
被分析人员认为是无害的情况。
对于一个性能良好的IDS来说,要求误报率和 漏报率越小越好
实训七:入侵检测技术
实训七:入侵检测技术
3.5 集中式IDS
集中式结构的IDS可能有多个分布于不同主机上的 审计程序,但只有一个中央入侵检测服务器。审计 程序把当地收集到的数据踪迹发送给中央服务器进 行分析处理。 这种结构在可伸缩性、可配置性方面存在致命缺陷。
实训七:入侵检测技术
3.6 分布式IDS
入 侵 检 测
异常检测技术是通过建立正常或者有效行为的模型的方 法,把当前行为和正常模型相比较,所有不符合于正 常模型的行为都被认为是入侵。
计算机网络安全技术
6
入侵检测
1.3 入侵检测系统
1.入侵检测系统分类
根据检测数据来源的不同,入侵检测系统常被分为基于 主机(HIDS)、基于网络(NIDS)和基于分布式系 统(DIDS)的入侵检测系统。
数据中,检测出符合某一特征的数据。攻击者进行攻
击的时候会留下痕迹,这些痕迹和系统正常运行的时
候产生的信息混在一起。入侵检测的任务就是从这个
混合信息中找出是否有入侵的痕迹,如果有就报警。
从这个原理来看,入侵检测系统有两个重要部分:数
据取得和检测技术。 计算机网络安全技术
3
入侵检测
(2)入侵检测系统的工作流程
计算机网络安全技术
入侵检测
1.1 入侵检测概述
入侵检测系统(Intrusion Detection System,IDS)是一个能检测 出入侵行为发生的系统软件(或者硬件)。它使安全管理员能 够及时地处理入侵警报,尽可能减少入侵对系统造成的损害。 入侵被检测出来的过程包括监控在计算机系统或者网络中发生 的事件,再分析处理这些事件,检测出入侵事件。
基于主机的入侵检测系统的数据源来自主机,如日志文
件、审计记录等。基于主机的入侵检测系统不但可以 检测出系统的远程入侵,还可以检测出本地入侵。
基于网络的入侵检测系统的数据源是网络流量,其检测
范围是整个网段,它只能检测出远程入侵,对于本地
入侵它是看不到的。 计算机网络安全技术
7
入侵检测
2.典型入侵检测系统 (1)JUMP入侵检测系统 主要技术特点有: • 采取基于状态协议分析的智能匹配算法; • 采用状态转换分析技术来降低系统的误报率,
入侵检测概述
网络安全技术
入侵检测概述
1.1 入侵检测的概念
❖ 入侵检测是指发现非授权用户企图使用计算机系统或合法用户滥用其 特权的行为,这些行为破坏了系统的完整性、机密性及资源的可用性。 为完成入侵检测任务而设计的计算机系统,是一套运用入侵检测技术 对计算机或网络资源进行实时检测的系统工具。
❖ 入侵检测的作用是检测对系统的入侵事件,一般不采取措施防止入侵 行为。一个入侵检测系统应具有准确性、可靠性、可用性、适应性、 实时性和安全性等特点。
器的输出为标识入侵行为是否发生的指示信号(如一个警告信号),该指示信号中还可能包括相关的证据信息。另外, 分析器还能够提供关于可能的反应措施的相关信息。 ❖ 3.用户接口 ❖ 用户接口使得用户易于观察系统的输出信号,并对系统行为进行控制。在某些系统中,用户接口又可以称为“管理 器”、“控制器”或者“控制台”等。 ❖ 除了以上3个必要的组成部分之外,某些入侵检测系统可能还包括一个“蜜罐”诱饵机。该诱饵机的设计和配置具有 明显的系统安全漏洞,并对攻击者明显可见。
系统原有的务”攻击。
(6)及时性。一个入侵检测系统必须尽快地执行和传送它的分析结果,以便 在系统造成严重危害之前能及时作出反应,阻止攻击者破坏审计数据或入侵 检测系统本身。
网络安全技术
1.3 入侵检测功能
❖ 入侵检测与传统的安全技术不同,它并不是设法建立安全、可靠的计 算机系统或网络环境,而是通过对网络活动和系统用户信息进行分析 处理来达到对非法行为的检测、报警和预警目的,进而由有关安全组 件(如防火墙)对非法行为进行控制,来保障系统的安全。其功能为:
❖ (1)监控和分析用户以及系统的活动。 ❖ (2)核查系统安全配置和漏洞。 ❖ (3)评估关键系统和数据文件的完整性。 ❖ (4)识别攻击的活动模式并向网络管理人员报警。 ❖ (5)统计分析异常活动,识别违反安全策略的用户活动。
入侵检测概述
1.1 入侵检测的概念
❖ 入侵检测是指发现非授权用户企图使用计算机系统或合法用户滥用其 特权的行为,这些行为破坏了系统的完整性、机密性及资源的可用性。 为完成入侵检测任务而设计的计算机系统,是一套运用入侵检测技术 对计算机或网络资源进行实时检测的系统工具。
❖ 入侵检测的作用是检测对系统的入侵事件,一般不采取措施防止入侵 行为。一个入侵检测系统应具有准确性、可靠性、可用性、适应性、 实时性和安全性等特点。
器的输出为标识入侵行为是否发生的指示信号(如一个警告信号),该指示信号中还可能包括相关的证据信息。另外, 分析器还能够提供关于可能的反应措施的相关信息。 ❖ 3.用户接口 ❖ 用户接口使得用户易于观察系统的输出信号,并对系统行为进行控制。在某些系统中,用户接口又可以称为“管理 器”、“控制器”或者“控制台”等。 ❖ 除了以上3个必要的组成部分之外,某些入侵检测系统可能还包括一个“蜜罐”诱饵机。该诱饵机的设计和配置具有 明显的系统安全漏洞,并对攻击者明显可见。
系统原有的务”攻击。
(6)及时性。一个入侵检测系统必须尽快地执行和传送它的分析结果,以便 在系统造成严重危害之前能及时作出反应,阻止攻击者破坏审计数据或入侵 检测系统本身。
网络安全技术
1.3 入侵检测功能
❖ 入侵检测与传统的安全技术不同,它并不是设法建立安全、可靠的计 算机系统或网络环境,而是通过对网络活动和系统用户信息进行分析 处理来达到对非法行为的检测、报警和预警目的,进而由有关安全组 件(如防火墙)对非法行为进行控制,来保障系统的安全。其功能为:
❖ (1)监控和分析用户以及系统的活动。 ❖ (2)核查系统安全配置和漏洞。 ❖ (3)评估关键系统和数据文件的完整性。 ❖ (4)识别攻击的活动模式并向网络管理人员报警。 ❖ (5)统计分析异常活动,识别违反安全策略的用户活动。
《漏洞检测技术》PPT幻灯片PPT
第 5 讲 安全检测技术
网络传输和协议的漏洞 系统的漏洞 管理的漏洞
第 5 讲 安全检测技术
(1) 网络传输和协议的漏洞 攻击者一般利用网络传输时对协议的信 任以及网络传输过程本身所存在的漏洞 进入系统。
第 5 讲 安全检测技术
(1) 网络传输和协议的漏洞 例如,IP欺骗和信息腐蚀就是利用网络传 输时对IP和DNS协议的信任;而网络嗅探 器则利用了网络信息明文传送的弱点。
第 5 讲 安全检测技术
口令攻击的主要方式及防护手段 如果口令攻击成功黑客进入了目标网络系 统,他就能够随心所欲地窃取、破坏和篡 改被侵入方的信息,直至完全控制被侵入 方。所以,口令攻击是黑客实施网络攻击 的最基本、最重要、最有效的方法之一。
第 5 讲 安全检测技术
口令攻击的主要方法:有9种 1、社会工程学(Social Engineering),通过人
5、混合攻击:结合了字典攻击和穷举攻击, 先字典攻击,再暴力攻击。
避免以上2--5四类攻击的对策是加强口令 策略。
第 5 讲 安全检测技术
6、直接破解系统口令文件。所有的攻击都 不能够奏效,入侵者会寻找目标主机的安 全漏洞和薄弱环节,伺机偷走存放系统口 令的文件,然后破译加密的口令,以便冒 充合法用户访问这台主机。
第 5 讲 安全检测技术
4、穷举攻击。如果字典攻击仍然不能够成 功,入侵者会采取穷举攻击。一般从长度 为1的口令开始,按长度递增进行尝试攻击 。由于人们往往偏爱简单易记的口令,穷 举攻击的成功率很高。如果每千分之一秒 检查一个口令,那么86%的口令可以在一 周内破译出来。
第 5 讲 安全检测技术
第 5 讲 安全检测技术
1、好口令是防范口令攻击的最基本、最有 效的方法。最好采用字母、数字、还有标 点符号、特殊字符的组合,同时有大小写 字母,长度最好达到8个以上,最好容易记 忆,不必把口令写下来,绝对不要用自己 或亲友的生日、手机号码等易于被他人获 知的信息作密码。
入侵检测技术
3.入侵检测系统的需求特性 1)可靠性: 2)适应性:检测系统必须能随时追踪系统环境的改变。 3)有效性:能检测系统的报告错误或漏报控制在一定的范围内。 4)安全性:检测系统必须难于被欺骗,能够保护自身的安全。 5)容错性:检测系统的容错要求即使在系统崩溃的情况下,检测 系统仍能保留下来。
1.2 入侵检测系统的组成
用专家系统对入侵进行检测,经常是针对有特征的 入侵行为。规则,即是知识,不同的系统与设置具 有不同的规则,且规则之间往往无通用性。专家系 统的建立依赖于知识库的完备性,知识库的完备性 以取决于审计记录的完备性与实时性。入侵的特征 抽取与表达,是入侵检测专家系统的关键。在系统 实现中,将有关入侵的知识转化为if-then结构,条 件部分为入侵特征,then部分是系统防范措施。运 用专家系统防范有特征入侵行为的有效性完全取决 于专家系统知识库的完备性。
由于嗅探技术的限制,网络节点入侵检测仅仅能分析目 的地址是主机地址的包,但是由于网络节点入侵检测的 特性,当网络使用的是一个高速通信网络、加密网络或 者使用了交换式设备,网络节点入侵检测仍然能对所有 的子网进行检测。网络节点入侵检测的优势在于,能有 效的抵御针对特定主机的基于包的攻击。
1.3 常用的入侵检测方法 入侵检测系统常用的检测方法有特征测、统 计检测与专家系统。据公安部计算机信息系 统安全产品质量监督检验中心的报告,国内 送检的入侵检测产品中95%是属于使用入侵 模式匹配的特征检测产品,其他5%是采用 概率统计的统计检测产品与基于日志的专家 知识库型产品。
1.什么是入侵检测 入侵检测系统(IDS,Intrusion detection system)是为保证计算机系统的安全而设计与 配置的一种能够及时发现并报告系统中未授权 或异常现象的系统,是一种用于检测计算机网 络中违反安全策略行为的系统。入侵和滥用都 是违反安全策略的行为。
1.2 入侵检测系统的组成
用专家系统对入侵进行检测,经常是针对有特征的 入侵行为。规则,即是知识,不同的系统与设置具 有不同的规则,且规则之间往往无通用性。专家系 统的建立依赖于知识库的完备性,知识库的完备性 以取决于审计记录的完备性与实时性。入侵的特征 抽取与表达,是入侵检测专家系统的关键。在系统 实现中,将有关入侵的知识转化为if-then结构,条 件部分为入侵特征,then部分是系统防范措施。运 用专家系统防范有特征入侵行为的有效性完全取决 于专家系统知识库的完备性。
由于嗅探技术的限制,网络节点入侵检测仅仅能分析目 的地址是主机地址的包,但是由于网络节点入侵检测的 特性,当网络使用的是一个高速通信网络、加密网络或 者使用了交换式设备,网络节点入侵检测仍然能对所有 的子网进行检测。网络节点入侵检测的优势在于,能有 效的抵御针对特定主机的基于包的攻击。
1.3 常用的入侵检测方法 入侵检测系统常用的检测方法有特征测、统 计检测与专家系统。据公安部计算机信息系 统安全产品质量监督检验中心的报告,国内 送检的入侵检测产品中95%是属于使用入侵 模式匹配的特征检测产品,其他5%是采用 概率统计的统计检测产品与基于日志的专家 知识库型产品。
1.什么是入侵检测 入侵检测系统(IDS,Intrusion detection system)是为保证计算机系统的安全而设计与 配置的一种能够及时发现并报告系统中未授权 或异常现象的系统,是一种用于检测计算机网 络中违反安全策略行为的系统。入侵和滥用都 是违反安全策略的行为。
第9章 入侵检测技术
9.1.4 入侵检测系统的作用
入侵检测系统包括三个功能部件:提供事件记录流 的信息源、发现入侵迹象的分析引擎、基于分析引擎的 结果产生反应的响应部件。因此,IDS可以看作这样的 管理工具:它从计算机网络的各个关键点收集各种系统 和网络资源的信息,然后分析有入侵(来自组织外部的 攻击)和误用(源于内部组织的攻击)迹象的信息,并 识别这些行为和活动,在某些情况下,它可以自动地对 检测到的活动进行响应,报告检测过程的结果,从而帮 助计算机系统对付攻击。
1997年,Ross Anderson和Abida Khattak将信息检索技 术引进到了入侵检测领域。 1998年,W.Lee首次提出了运用数据挖掘技术对审计数据进 行处理。 1999年,Steven Cheung等人又提出了入侵容忍(Intrusion tolerance)的概念,在IDS中引入了容错技术。 2000年,Timm Bass提出了数据融合(Data Fusion)的 概念,将分布式入侵检测理解为在层次化模型下对多感应器的数 据综合问题。
该技术的关键是如何表达入侵的模式,把真正 的入侵行为与正常行为区分开来,因此入侵模式表 达的好坏直接影响入侵检测的能力。
优点:误报少; 缺点:只能发现攻击库中已知的攻击,且其复杂 性将随着攻击数量的增加而增加。
莆田学院计算网络教研室
9.1.5 入侵检测的分类
莆田学院计算网络教研室
9.1.5 入侵检测的分类
2.按照分析的方式
按照分析器所采用的数据分析方式,可分为:
异常检测系统
误用检测系统
混合检测系统。
莆田学院计算网络教研室
9.1.5 入侵检测的分类
异常检测(Anomaly detection)系统:假定 所有的入侵行为都与正常行为不同,建立正常活动 的简档,当主体活动违反其统计规律时,则将其视 为可疑行为。
入侵检测技术
IPS在网络中一般有四种连接方式:Span(接在交换机旁边,作为端
口映像)、Tap(接在交换机与路由器中间,旁路安装,拷贝一份数据到IPS中)、 Inline(接在交换机与路由器中间,在线安装,在线阻断攻击)和Port-cluster (被动抓包,在线安装)。它在报警的同时,能阻断攻击。
IPS的作用
入侵防御系统简介
IDS只能被动地检测攻击,而不能主动地把变化莫测的威胁阻 止在网络之外。因此,人们迫切地需要找到一种主动入侵防护解决 方案,以确保企业网络在威胁四起的环境下正常运行。
入侵防御系统(Intrusion Prevention System或Intrusion Detection Prevention,即IPS或IDP)就应运而生了。IPS是一种 智能化的入侵检测和防御产品,它不但能检测入侵的发生,而且能 通过一定的响应方式,实时地中止入侵行为的发生和发展,实时地 保护信息系统不受实质性的攻击。IPS使得IDS和防火墙走向统一。
据控制、数据捕获和报警机制。
• (2)集中式IPS的缺陷
单点故障
性能瓶颈
误报和漏报
相关术语
攻击 •攻击者利用工具,出于某种动机,对目标系统采取的行动,其后果是获取/破坏/ 篡改目标系统的数据或访问权限
事件 •在攻击过程中发生的可以识别的行动或行动造成的后果;在入侵检测系统中,事 件常常具有一系列属性和详细的描述信息可供用户查看。• CIDF 将入侵检测系统 需要分析的数据统称为事件(event)
误用检测(Misuse Detection)
• • 误用检测(Misuse Detection) 基于模式匹配原理。收集非正常操作的行为特征,建立相关的特征库, 当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是 入侵。 • • • 前提:所有的入侵行为都有可被检测到的特征。 指标:误报低、漏报高。 攻击特征库:当监测的用户或系统行为与库中的记录相匹配时,系统 就认为这种行为是入侵。 • 特点:采用模式匹配,误用模式能明显降低误报率,但漏报率随之增 加。攻击特征的细微变化,会使得误用检测无能为力。
口映像)、Tap(接在交换机与路由器中间,旁路安装,拷贝一份数据到IPS中)、 Inline(接在交换机与路由器中间,在线安装,在线阻断攻击)和Port-cluster (被动抓包,在线安装)。它在报警的同时,能阻断攻击。
IPS的作用
入侵防御系统简介
IDS只能被动地检测攻击,而不能主动地把变化莫测的威胁阻 止在网络之外。因此,人们迫切地需要找到一种主动入侵防护解决 方案,以确保企业网络在威胁四起的环境下正常运行。
入侵防御系统(Intrusion Prevention System或Intrusion Detection Prevention,即IPS或IDP)就应运而生了。IPS是一种 智能化的入侵检测和防御产品,它不但能检测入侵的发生,而且能 通过一定的响应方式,实时地中止入侵行为的发生和发展,实时地 保护信息系统不受实质性的攻击。IPS使得IDS和防火墙走向统一。
据控制、数据捕获和报警机制。
• (2)集中式IPS的缺陷
单点故障
性能瓶颈
误报和漏报
相关术语
攻击 •攻击者利用工具,出于某种动机,对目标系统采取的行动,其后果是获取/破坏/ 篡改目标系统的数据或访问权限
事件 •在攻击过程中发生的可以识别的行动或行动造成的后果;在入侵检测系统中,事 件常常具有一系列属性和详细的描述信息可供用户查看。• CIDF 将入侵检测系统 需要分析的数据统称为事件(event)
误用检测(Misuse Detection)
• • 误用检测(Misuse Detection) 基于模式匹配原理。收集非正常操作的行为特征,建立相关的特征库, 当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是 入侵。 • • • 前提:所有的入侵行为都有可被检测到的特征。 指标:误报低、漏报高。 攻击特征库:当监测的用户或系统行为与库中的记录相匹配时,系统 就认为这种行为是入侵。 • 特点:采用模式匹配,误用模式能明显降低误报率,但漏报率随之增 加。攻击特征的细微变化,会使得误用检测无能为力。
IDS技术原理PPT课件
主机IDS和网络IDS的比较
基于网络的入侵检测系统的主要优点有: (1)成本低。 (2)攻击者转移证据很困难。 (3)实时检测和应答。一旦发生恶意访问或攻击,基于网 络的IDS检测可以随时发现它们,因此能够更快地作出反应 。从而将入侵活动对系统的破坏减到最低。 (4)能够检测未成功的攻击企图。 (5)操作系统独立。基于网络的IDS并不依赖主机的操作 系统作为检测资源。而基于主机的系统需要特定的操作系统 才能发挥作用。 基于主机的IDS的主要优势有: (1)非常适用于加密和交换环境。 (2)实时的检测和应答。 (3)不需要额外的硬件。
IDS技术
提纲
什么是入侵行为 入侵检测系统 防火墙的局限性 IDS技术 IDS规避 IDS结构 IDS的发展趋势
什么是入侵行为
入侵行为主要是指对系统资源的非授权 使用,它可以造成系统数据的丢失和破 坏、可以造成系统拒绝对合法用户服务 等危害。
什么是入侵检测系统
IDS(Intrusion Detection System)就是入侵检 测系统,它通过抓取网络上的所有报文,分析处理 后,报告异常和重要的数据模式和行为模式,使网 络安全管理员清楚地了解网络上发生的事件,并能 够采取行动阻止可能的破坏。
插入攻击
在数据流中插入多余的字符,而这些多余的字符 会使IDS接受而被终端系统所丢弃。
逃避攻击
想办法使数据流中的某些数据包造成终端系统会 接受而IDS会丢弃局面。
拒绝服务攻击
IDS本身的资源也是有限的,攻击者可以想办法使其耗 尽其中的某种资源而使之失去正常的功能
▪ CPU,攻击者可以迫使IDS去执行一些特别耗费计算时间而又无意义 的事
▪ Windows NT 4.0保留老数据 ▪ Linux保留新数据
信息安全技术_08入侵检测技术与网络入侵检测系统产_OK
策略的行为。
5
第 5 讲 安全检测技术
• 一个成功的入侵检测系统,不但可使系统管理员时刻了解网络系统 (包括程序、文件 和硬件设备等) 的任何变更,还能给网络安全策略的制订提供指南。同时,它应该是 管理和配置简单,使非专业人员能容易地获得网络安全。当然,入侵检测的规模还应 根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,应 及时做出响应,包括切断网络连接、记录事件和报警等。
• 13) 特征表示 (Signature) :分析器用于标识安全管理员 感兴趣的活动的规则。表示符代表了入侵检测系统的 检测机制。
25
第 5 讲 安全检测技术
• 14) 入侵检测系统 (IDS) :由一个或多个传感器、分析 器、管理器组成,可自动分析系统活动,是检测安全 事件的工具或系统。
26
第 5 讲 安全检测技术
22
第 5 讲 安全检测技术
• 8) 管理器 (Manager) :入侵检测的构件或进程,操作员 通过它可以管理入侵检测系统的各种构件。典型管理 功能通常包括:传感器配置、分析器配置、事件通告 管理、数据合并及报告等。
• 9) 通告 (Notification) :入侵检测系统管理器用来使操作 员知晓事件发生的方法。在很多入侵检测系统中,尽 管有许多其他的通告技术可以采用,但通常是通过在 入侵检测系统管理器屏幕上显示一个彩色图标、发送 电子邮件或寻呼机消息,或者发送SNMP的陷门来实现。
• 此外,还可根据系统运行特性分为实时检测和周期 性检测,以及根据检测到入侵行为后是否采取相应 措施而分为主动型和被动型等。
16
原始数据 系统日志 网络数据包
检测原理 异常检测 误用检测
报警 报警并做出响应措施
5
第 5 讲 安全检测技术
• 一个成功的入侵检测系统,不但可使系统管理员时刻了解网络系统 (包括程序、文件 和硬件设备等) 的任何变更,还能给网络安全策略的制订提供指南。同时,它应该是 管理和配置简单,使非专业人员能容易地获得网络安全。当然,入侵检测的规模还应 根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,应 及时做出响应,包括切断网络连接、记录事件和报警等。
• 13) 特征表示 (Signature) :分析器用于标识安全管理员 感兴趣的活动的规则。表示符代表了入侵检测系统的 检测机制。
25
第 5 讲 安全检测技术
• 14) 入侵检测系统 (IDS) :由一个或多个传感器、分析 器、管理器组成,可自动分析系统活动,是检测安全 事件的工具或系统。
26
第 5 讲 安全检测技术
22
第 5 讲 安全检测技术
• 8) 管理器 (Manager) :入侵检测的构件或进程,操作员 通过它可以管理入侵检测系统的各种构件。典型管理 功能通常包括:传感器配置、分析器配置、事件通告 管理、数据合并及报告等。
• 9) 通告 (Notification) :入侵检测系统管理器用来使操作 员知晓事件发生的方法。在很多入侵检测系统中,尽 管有许多其他的通告技术可以采用,但通常是通过在 入侵检测系统管理器屏幕上显示一个彩色图标、发送 电子邮件或寻呼机消息,或者发送SNMP的陷门来实现。
• 此外,还可根据系统运行特性分为实时检测和周期 性检测,以及根据检测到入侵行为后是否采取相应 措施而分为主动型和被动型等。
16
原始数据 系统日志 网络数据包
检测原理 异常检测 误用检测
报警 报警并做出响应措施
第8章入侵检测技术PPT讲义
入侵 行为
时间信息
添加新 的规则
如果正常的用户行为与入侵特征匹配,则系统会发生误报 如果没有特征能与某种新的攻击行为匹配,则系统会发生漏报
异常检测技术
1. 前提:入侵是异常活动的子集
2. 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合,用于描述 正常行为范围;检查实际用户行为和系统的运行情况是否偏离预设的门限?
较,得出是否有入侵行为
异常检测(Anomaly Detection) ——基于行为的检测
总结正常操作应该具有的特征,得出正常操作的模型 对后续的操作进行监视,一旦发现偏离正常操作模式,即进
行报警
误用检测技术
1. 前提:所有的入侵行为都有可被检测到的特征
2. 攻击特征库: 当监测的用户或系统行为与库中的记录相匹 配时,系统就认为这种行为是入侵
中止连接
Internet
商务伙伴
外外部部攻攻击击
类程序附在电子邮件上传输
入侵检测系统的作用
摄像机=IDS探测引擎
监控室=控制中心
后门 Card Key
保安=防火墙
形象地说,IDS就是一台智能的X光摄像机,它能够捕获并记录网络上的所有数据, 分析并提炼出可疑的、异常的内容,尤其是它能够洞察一些巧妙的伪装,抓住内 容的实质。此外,它还能够对入侵行为自动地进行响应:报警、阻断连接、关闭 道路(与防火墙联动)
通过提交上千次相同命令,来实施对POP3服务器的拒绝 服务攻击.
入侵检测系统发现该行为发生次数超过预定义阈值,认 为是异常事件。
实例二:暴力破解FTP账号密码
黑客得知FTP Server存在用户名admin 使用字典程序对admin用户暴力猜密码 入侵检测系统会发现在很短的时间内会出现大量如下数
课件:第二章 入侵检测与防
• 入侵检测(ID,Intrusion Detection)
– 通过监视各种操作,分析、审计各种数据和现象来实时检测入侵行为的 过程,它是一种积极的和动态的安全防御技术;
– 入侵检测的内容涵盖了授权的和非授权的各种入侵行为。
• 入侵检测系统(IDS,Intrusion Detection System)
异常检测与误用检测的优缺点对
比
异常检测
误用检测
优点:
不需要专门的操作系统缺 陷特征库;
有效检测对合法用户的冒 充检测。
缺点:
建立正常的行为轮廓和确 定异常行为轮廓的阀值困 难。
不是所有的入侵行为都会 产生明显的异常。
优点:
可检测所有已知入侵行为。 能够明确入侵行为并提示防
范方法。
缺点:
缺乏对未知入侵行为的检测。 对内部人员的越权行为无法进行检测。入侵检测系统的两个重要指标
• 漏报(false negative)
– 指攻击事件未被入侵检测系统检测出来
• 误报(false positive)
– 入侵检测系统把正常事件识别为攻击并报警 – 误报率与检出率(Detection Rate)成正比例关系
基础千兆
中端千兆
NIP2200
NIP5100
高端千兆
NIP5200 NIP5500
NIP2200D
NIP5100D
丰富接口、灵活插卡
NIP5200D
NIP550D
高性能,高可靠
NIP Manager
入侵检测系统的分类
• 基于主机的入侵检测系统(HIDS)
– 主要用于保护运行关键应用的服务器; – 通过监视和分析主机的审计记录和日志文件来检测入侵; – 可监测系统、事件、Win NT下的安全记录以及Unix环境下的系统记录,
– 通过监视各种操作,分析、审计各种数据和现象来实时检测入侵行为的 过程,它是一种积极的和动态的安全防御技术;
– 入侵检测的内容涵盖了授权的和非授权的各种入侵行为。
• 入侵检测系统(IDS,Intrusion Detection System)
异常检测与误用检测的优缺点对
比
异常检测
误用检测
优点:
不需要专门的操作系统缺 陷特征库;
有效检测对合法用户的冒 充检测。
缺点:
建立正常的行为轮廓和确 定异常行为轮廓的阀值困 难。
不是所有的入侵行为都会 产生明显的异常。
优点:
可检测所有已知入侵行为。 能够明确入侵行为并提示防
范方法。
缺点:
缺乏对未知入侵行为的检测。 对内部人员的越权行为无法进行检测。入侵检测系统的两个重要指标
• 漏报(false negative)
– 指攻击事件未被入侵检测系统检测出来
• 误报(false positive)
– 入侵检测系统把正常事件识别为攻击并报警 – 误报率与检出率(Detection Rate)成正比例关系
基础千兆
中端千兆
NIP2200
NIP5100
高端千兆
NIP5200 NIP5500
NIP2200D
NIP5100D
丰富接口、灵活插卡
NIP5200D
NIP550D
高性能,高可靠
NIP Manager
入侵检测系统的分类
• 基于主机的入侵检测系统(HIDS)
– 主要用于保护运行关键应用的服务器; – 通过监视和分析主机的审计记录和日志文件来检测入侵; – 可监测系统、事件、Win NT下的安全记录以及Unix环境下的系统记录,
网络安全:网络安全威胁防范与入侵检测技术培训ppt
企业网络安全合规性要求
ISO 27001
信息安全管理体系标准,帮助企业建 立和维护有效的信息安全措施。
PCI DSS
支付卡行业数据安全标准,适用于所 有涉及支付卡交易的企业,确保卡支 付数据的安全。
个人隐私保护法规
GDPR
通用数据保护条例,为欧盟居民提供更严格的数据保护和隐私权。
CCPA
加州消费者隐私法案,为加州居民提供更严格的数据保护和隐私权。
案例分析
对案例进行深入分析,了解事件的起因、经过、 影响和应对措施,总结经验和教训。
3
案例总结
对案例分析进行总结,提出相应的防范措施和建 议,提高组织的安全防范意识和能力。
网络安全法律法规
05
与合规性
国际网络安全法律法规
国际互联网治理组织
例如,Internet Corporation for Assigned Names and Numbers (ICANN)、 Internet Engineering Task Force (IETF)等,负责制定和推动网络安全相关的国 际标准、协议和规范。
数据加密技术
对称加密算法
混合加密
使用相同的密钥进行加密和解密,常 见的对称加密算法有AES、DES等。
结合对称加密算法和非对称加密算法 的特点,以提高加密的安全性和效率 。
非对称加密算法
使用不同的密钥进行加密和解密,常 见的非对称加密算法有RSA、DSA等 。
身份认证技术
用户名密码认证
通过用户名和密码进行身份验证 ,但密码容易被猜测或破解。
动态口令认证
使用动态生成的口令进行身份验证 ,提高了安全性。
多因素认证
结合多种认证方式,如用户名密码 、动态口令、生物特征等,以提高 身份认证的安全性。
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第1章 入侵检测概述
曹元大主编,人民邮电出版社,2007年
入侵检测概述
1
第1章 入侵检测概述
概述:
网络安全基本概念 入侵检测的产生与发展 入侵检测的基本概念
入侵检测概述
2
网络安全的实质
保障系统中的人、设备、设施、软件、数据以及各种供 给品等要素避免各种偶然的或人为的破坏或攻击,使它 们发挥正常,保障系统能安全可靠地工作 。
防御
入侵检测概述 12
入侵检测的缺点
不能弥补差的认证机制 如果没有人的干预,不能管理攻击调查 不能知道安全策略的内容 不能弥补网络协议上的弱点 不能弥补系统提供质量或完整性的问题 不能分析一个堵塞的网络 不能处理有关packet-level的攻击
入侵检测概述 13
研究入侵检测的必要性-1
入侵检测是最近10余年发展起来的一种动态的监控、预 防或抵御系统入侵行为的安全机制。主要通过监控网 络、系统的状态、行为以及系统的使用情况,来检测系 统用户的越权使用以及系统外部的入侵者利用系统的安 全缺陷对系统进行入侵的企图。
入侵检测概述
4
网络安全的P2DR模型与入侵检测
Policy(安全策略) Protection(防护) Detection(检测) Response(响应)
从1996年到1999年,SRI开始EMERALD的研究,它是 NIDES的后继者。
入侵检测概述
8
主机和网络IDS的集成
分布式入侵检测系统 (DIDS)最早试图把 基于主机的方法和网 络监视方法集成在一 起。
DIDS的最初概念是采 用集中式控制技术, 向DIDS中心控制器发 报告。
DIDS主管 专家系统 用户界面
静态安全措施不足以保护安全对象属性。通常,在一个系统 中,担保安全特性的静态方法可能过于简单不充分,或者系统 过度地限制用户。例如,静态技术未必能阻止违背安全策略造 成浏览数据文件;而强制访问控制仅允许用户访问具有合适的 通道的数据,这样就造成系统使用麻烦。因此,一种动态的方 法如行为跟踪对检测和尽可能阻止安全突破是必要的。
在实践当中,建立完全安全系统根本是不可能的。Miller给出 一份有关现今流行的操作系统和应用程序研究报告,指出软件 中不可能没有缺陷。另外,设计和实现一个整体安全系统相当 困难。
要将所有已安装的带安全缺陷的系统转换成安全系统需要相当 长的时间。
如果口令是弱口令并且已经被破解,那么访问控制措施不能够 阻止受到危害的授权用户的信息丢失或者破坏。
为了提高网络安全性,需要从多个层次和环节入手,分 别分析应用系统、宿主机、操作系统、数据库管理系 统、网络管理系统、子网、分布式计算机系统和全网中 的弱点,采取措施加以防范。
入侵检测概述
3
网络系统的安全对策与入侵检测
近年来,尽管对计算机安全的研究取得了很大进展,但 安全计算机系统的实现和维护仍然非常困难,因为我们 无法确保系统的安全性达到某一确定的安全级别。
入侵检测概述
5
入侵检测的早期研究
1980年,James Anderson在技术报告中指出,审计记录 可以用于识别计算机误用。他提出了入侵尝试 (intrusion attempt)或威胁(threat)的概念,并 将其定义为:潜在、有预谋的未经授权访问信息、操作 信息,致使系统不可靠或无法使用的企图。
从1992年到1995年,SRI加强优化IDES,在以太网的环境下实现了 产品化的NIDES。
1988年,Los Alamos国家实验室的Tracor Applied Sciences和 Haystack Laboratories采用异常检测和基于Signature的检测,开 发了Haystack系统。
入侵检测概述 15
研究入侵检测的必要性-3
基于上述几类问题的解决难度,一个实用的方法是 建立比较容易实现的安全系统,同时按照一定的安 全策略建立相应的安全辅助系统。
入侵检测系统就是这样一类系统,现在安全软件的 开发方式基本上就是按照这个思路进行的。
就目前系统安全状况而言,系统存在被攻击的可能 性。如果系统遭到攻击,只要尽可能地检测到,甚 至是实时地检测到,然后采取适当的处理措施。
1994年,美国空军密码支持中心的一群研究人员创建了 一个健壮的网络入侵检测系统ASIM。
1996年,UCD(Carlifornia大学的Davis分校)的 Computer Security实验室,以开发广域网上的入侵检 测系统为目的,开发了GrIDS。
1997年,Cisco公司兼并了Wheelgroup,并开始将网络 入侵检测整合到Cisco路由器中。
对异常活动进行统计分 析
对操作系统进行审计跟 踪管理,识别违反政策 的用户活动
监视外 监视内 实时监 部人员 部人员 测系统
入侵检测系统
定时扫 描系统
漏洞扫 描系统
入侵检测概述
11
入侵检测的优点
提高信息安全构造的其他部分的完整性 提高系统的监控 从入口点到出口点跟踪用户的活动 识别和汇报数据文件的变化 侦测系统配置错误并纠正他们 识别特殊攻击类型,并向管理人员发出警报,进行
通信管理器
安全管理 员
主机代理
主机事件 发生器
LAN代理
LAN事件 发生器
主机监视器
LAN监视器
入侵检测概述
9
入侵检测的概念
入侵:是指任何试图危及计算机资源的完整性、机密性 或可用性的行为。
入侵检测:对入侵行为的发觉。它通过从计算机网络或 系统中的若干关键点收集信息,并对这些信息进行分 析,从而发现网络或系统中是否有违反安全策略的行为 和遭到袭击的迹象。
入侵检测概述 14
研究入侵检测的必要性-2
加密技术方法本身存在着一定的问题。 安全系统易受内部用户滥用特权的攻击。 安全访问控制等级和用户的使用效率成反比,访问
控制和保护模型本身存在一定的问题。 在软件工程中存在软件测试不充足、软件生命周期
缩短、大型软件复杂性等难解问题,工程领域的困 难复杂性,使得软件不可能没有错误,而系统软件 容错恰恰被表明是安全的弱点。 修补系统软件缺陷不能令人满意。由于修补系统软 件缺陷,计算机系统不安全状态将持续相当长一段 时间。
入侵检测系统:进行入侵检测的软件与硬件的组合便是 入侵检测系统(简称IDS)。
入侵检测概述 10
入侵检测的作用
监控、分析用户和系统 的活动
审计系统的配置和弱点
评估关键系统和数据文 件的完整性
外部访 问
Hale Waihona Puke 内部有职权 的人员防 火 墙
内部访 问
受
访
保
问 控 制
护 系
统
识别攻击的活动模式
1986年,SRI的Dorothy E. Denning首次将入侵检测的概念作为一 种计算机系统安全防御措施提出,并且建立了一个独立于系统、程 序应用环境和系统脆弱性的通用入侵检测系统模型。
1988年,SRI开始开发IDES(Intrusion Detection Expert System)原型系统,它是一个实时入侵检测系统。
1989年,Los Alamos国家实验室的Hank Vaccaro为NCSC和DOE开发 了W&S系统。
1989年,PRC公司开发了ISOA。
入侵检测概述
7
网络IDS研究
1990年出现的NSM(Network Security Monitor,网络 安全监视器),是UCD(Carlifornia大学的Davis分 校)设计的面向局域网的IDS。
入侵检测系统一般不是采取预防的措施以防止入侵 事件的发生。
入侵检测非常必要,它将有效弥补传统安全保护措 施的不足。
入侵检测概述 16
小结
网络安全的实质 网络安全的P2DR模型 入侵检测的研究 入侵检测的概念 入侵检测的作用 研究入侵检测的必要性
入侵检测概述 17
1983年,SRI用统计方法分析IBM大型机的SMF记录。
总的来说,由于80年代初期网络还没有今天这样普遍和 复杂,网络之间也没有完全连通,因此关于入侵检测的 研究主要是基于主机的事件日志分析。而且由于入侵行 为在当时是相当少见的,因此入侵检测在早期并没有受 到人们的重视。
入侵检测概述
6
主机IDS研究
曹元大主编,人民邮电出版社,2007年
入侵检测概述
1
第1章 入侵检测概述
概述:
网络安全基本概念 入侵检测的产生与发展 入侵检测的基本概念
入侵检测概述
2
网络安全的实质
保障系统中的人、设备、设施、软件、数据以及各种供 给品等要素避免各种偶然的或人为的破坏或攻击,使它 们发挥正常,保障系统能安全可靠地工作 。
防御
入侵检测概述 12
入侵检测的缺点
不能弥补差的认证机制 如果没有人的干预,不能管理攻击调查 不能知道安全策略的内容 不能弥补网络协议上的弱点 不能弥补系统提供质量或完整性的问题 不能分析一个堵塞的网络 不能处理有关packet-level的攻击
入侵检测概述 13
研究入侵检测的必要性-1
入侵检测是最近10余年发展起来的一种动态的监控、预 防或抵御系统入侵行为的安全机制。主要通过监控网 络、系统的状态、行为以及系统的使用情况,来检测系 统用户的越权使用以及系统外部的入侵者利用系统的安 全缺陷对系统进行入侵的企图。
入侵检测概述
4
网络安全的P2DR模型与入侵检测
Policy(安全策略) Protection(防护) Detection(检测) Response(响应)
从1996年到1999年,SRI开始EMERALD的研究,它是 NIDES的后继者。
入侵检测概述
8
主机和网络IDS的集成
分布式入侵检测系统 (DIDS)最早试图把 基于主机的方法和网 络监视方法集成在一 起。
DIDS的最初概念是采 用集中式控制技术, 向DIDS中心控制器发 报告。
DIDS主管 专家系统 用户界面
静态安全措施不足以保护安全对象属性。通常,在一个系统 中,担保安全特性的静态方法可能过于简单不充分,或者系统 过度地限制用户。例如,静态技术未必能阻止违背安全策略造 成浏览数据文件;而强制访问控制仅允许用户访问具有合适的 通道的数据,这样就造成系统使用麻烦。因此,一种动态的方 法如行为跟踪对检测和尽可能阻止安全突破是必要的。
在实践当中,建立完全安全系统根本是不可能的。Miller给出 一份有关现今流行的操作系统和应用程序研究报告,指出软件 中不可能没有缺陷。另外,设计和实现一个整体安全系统相当 困难。
要将所有已安装的带安全缺陷的系统转换成安全系统需要相当 长的时间。
如果口令是弱口令并且已经被破解,那么访问控制措施不能够 阻止受到危害的授权用户的信息丢失或者破坏。
为了提高网络安全性,需要从多个层次和环节入手,分 别分析应用系统、宿主机、操作系统、数据库管理系 统、网络管理系统、子网、分布式计算机系统和全网中 的弱点,采取措施加以防范。
入侵检测概述
3
网络系统的安全对策与入侵检测
近年来,尽管对计算机安全的研究取得了很大进展,但 安全计算机系统的实现和维护仍然非常困难,因为我们 无法确保系统的安全性达到某一确定的安全级别。
入侵检测概述
5
入侵检测的早期研究
1980年,James Anderson在技术报告中指出,审计记录 可以用于识别计算机误用。他提出了入侵尝试 (intrusion attempt)或威胁(threat)的概念,并 将其定义为:潜在、有预谋的未经授权访问信息、操作 信息,致使系统不可靠或无法使用的企图。
从1992年到1995年,SRI加强优化IDES,在以太网的环境下实现了 产品化的NIDES。
1988年,Los Alamos国家实验室的Tracor Applied Sciences和 Haystack Laboratories采用异常检测和基于Signature的检测,开 发了Haystack系统。
入侵检测概述 15
研究入侵检测的必要性-3
基于上述几类问题的解决难度,一个实用的方法是 建立比较容易实现的安全系统,同时按照一定的安 全策略建立相应的安全辅助系统。
入侵检测系统就是这样一类系统,现在安全软件的 开发方式基本上就是按照这个思路进行的。
就目前系统安全状况而言,系统存在被攻击的可能 性。如果系统遭到攻击,只要尽可能地检测到,甚 至是实时地检测到,然后采取适当的处理措施。
1994年,美国空军密码支持中心的一群研究人员创建了 一个健壮的网络入侵检测系统ASIM。
1996年,UCD(Carlifornia大学的Davis分校)的 Computer Security实验室,以开发广域网上的入侵检 测系统为目的,开发了GrIDS。
1997年,Cisco公司兼并了Wheelgroup,并开始将网络 入侵检测整合到Cisco路由器中。
对异常活动进行统计分 析
对操作系统进行审计跟 踪管理,识别违反政策 的用户活动
监视外 监视内 实时监 部人员 部人员 测系统
入侵检测系统
定时扫 描系统
漏洞扫 描系统
入侵检测概述
11
入侵检测的优点
提高信息安全构造的其他部分的完整性 提高系统的监控 从入口点到出口点跟踪用户的活动 识别和汇报数据文件的变化 侦测系统配置错误并纠正他们 识别特殊攻击类型,并向管理人员发出警报,进行
通信管理器
安全管理 员
主机代理
主机事件 发生器
LAN代理
LAN事件 发生器
主机监视器
LAN监视器
入侵检测概述
9
入侵检测的概念
入侵:是指任何试图危及计算机资源的完整性、机密性 或可用性的行为。
入侵检测:对入侵行为的发觉。它通过从计算机网络或 系统中的若干关键点收集信息,并对这些信息进行分 析,从而发现网络或系统中是否有违反安全策略的行为 和遭到袭击的迹象。
入侵检测概述 14
研究入侵检测的必要性-2
加密技术方法本身存在着一定的问题。 安全系统易受内部用户滥用特权的攻击。 安全访问控制等级和用户的使用效率成反比,访问
控制和保护模型本身存在一定的问题。 在软件工程中存在软件测试不充足、软件生命周期
缩短、大型软件复杂性等难解问题,工程领域的困 难复杂性,使得软件不可能没有错误,而系统软件 容错恰恰被表明是安全的弱点。 修补系统软件缺陷不能令人满意。由于修补系统软 件缺陷,计算机系统不安全状态将持续相当长一段 时间。
入侵检测系统:进行入侵检测的软件与硬件的组合便是 入侵检测系统(简称IDS)。
入侵检测概述 10
入侵检测的作用
监控、分析用户和系统 的活动
审计系统的配置和弱点
评估关键系统和数据文 件的完整性
外部访 问
Hale Waihona Puke 内部有职权 的人员防 火 墙
内部访 问
受
访
保
问 控 制
护 系
统
识别攻击的活动模式
1986年,SRI的Dorothy E. Denning首次将入侵检测的概念作为一 种计算机系统安全防御措施提出,并且建立了一个独立于系统、程 序应用环境和系统脆弱性的通用入侵检测系统模型。
1988年,SRI开始开发IDES(Intrusion Detection Expert System)原型系统,它是一个实时入侵检测系统。
1989年,Los Alamos国家实验室的Hank Vaccaro为NCSC和DOE开发 了W&S系统。
1989年,PRC公司开发了ISOA。
入侵检测概述
7
网络IDS研究
1990年出现的NSM(Network Security Monitor,网络 安全监视器),是UCD(Carlifornia大学的Davis分 校)设计的面向局域网的IDS。
入侵检测系统一般不是采取预防的措施以防止入侵 事件的发生。
入侵检测非常必要,它将有效弥补传统安全保护措 施的不足。
入侵检测概述 16
小结
网络安全的实质 网络安全的P2DR模型 入侵检测的研究 入侵检测的概念 入侵检测的作用 研究入侵检测的必要性
入侵检测概述 17
1983年,SRI用统计方法分析IBM大型机的SMF记录。
总的来说,由于80年代初期网络还没有今天这样普遍和 复杂,网络之间也没有完全连通,因此关于入侵检测的 研究主要是基于主机的事件日志分析。而且由于入侵行 为在当时是相当少见的,因此入侵检测在早期并没有受 到人们的重视。
入侵检测概述
6
主机IDS研究