入侵检测系统
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4
7.1
入侵检测系统概述
7.1.2 入侵检测
入侵检测( Detection) 入侵检测(Intrusion Detection)技术是一种动态的网 络检测技术,主要用于识别对计算机和网络资源的恶意使用行 络检测技术, 包括来自外部用户的入侵行为和内部用户的未经授权活动。 为,包括来自外部用户的入侵行为和内部用户的未经授权活动。 一旦发现网络入侵现象,则应当做出适当的反应。 一旦发现网络入侵现象,则应当做出适当的反应。对于正在进 行的网络攻击,则采取适当的方法来阻断攻击( 行的网络攻击,则采取适当的方法来阻断攻击(与防火墙联 ),以减少系统损失 对于已经发生的网络攻击, 以减少系统损失。 动),以减少系统损失。对于已经发生的网络攻击,则应通过 分析日志记录找到发生攻击的原因和入侵者的踪迹,作为增强 分析日志记录找到发生攻击的原因和入侵者的踪迹, 网络系统安全性和追究入侵者法律责任的依据。 网络系统安全性和追究入侵者法律责任的依据。它从计算机网 络系统中的若干关键点收集信息,并分析这些信息, 络系统中的若干关键点收集信息,并分析这些信息,看看网络 中是否有违反安全策略的行为和遭到袭击的迹象。 中是否有违反安全策略的行为和遭到袭击的迹象。
17
wk.baidu.com
7.2
入侵检测的原理与技术
3、两种实现方式的比较: 两种实现方式的比较: 1)如果攻击不经过网络基于网络的IDS无法检测到只能 1)如果攻击不经过网络基于网络的IDS无法检测到只能 如果攻击不经过网络基于网络的IDS 通过使用基于主机的IDS来检测; 通过使用基于主机的IDS来检测; IDS来检测 2)基于网络的IDS通过检查所有的包头来进行检测, 2)基于网络的IDS通过检查所有的包头来进行检测,而 基于网络的IDS通过检查所有的包头来进行检测 基于主机的IDS并不查看包头。主机IDS往往不能识别基于 基于主机的IDS并不查看包头。主机IDS往往不能识别基于 IDS并不查看包头 IDS IP的拒绝服务攻击和碎片攻击 的拒绝服务攻击和碎片攻击; IP的拒绝服务攻击和碎片攻击; 3)基于网络的IDS可以研究数据包的内容,查找特定攻 3)基于网络的IDS可以研究数据包的内容, 基于网络的IDS可以研究数据包的内容 击中使用的命令或语法, 击中使用的命令或语法,这类攻击可以被实时检查包序列 IDS迅速识别 而基于主机的系统无法看到负载, 迅速识别; 的IDS迅速识别;而基于主机的系统无法看到负载,因此也 无法识别嵌入式的数据包攻击。 无法识别嵌入式的数据包攻击。
6
7.1
入侵检测系统概述
7.1.3 入侵检测系统的作用
监控网络和系统 监控网络和系统 发现入侵企图或异常现象 发现入侵企图或异常现象 实时报警 实时报警 主动响应 主动响应 审计跟踪 审计跟踪
形象地说,它就是网络摄像机,能够捕获并记录网络上的所有数据, 形象地说,它就是网络摄像机,能够捕获并记录网络上的所有数据, 同时它也是智能摄像机,能够分析网络数据并提炼出可疑的、 同时它也是智能摄像机,能够分析网络数据并提炼出可疑的、异常的网 络数据,它还是X光摄像机 能够穿透一些巧妙的伪装, 光摄像机, 络数据,它还是 光摄像机,能够穿透一些巧妙的伪装,抓住实际的内 它还不仅仅只是摄像机,还包括保安员的摄像机. 容。它还不仅仅只是摄像机,还包括保安员的摄像机
11
7.2
入侵检测的原理与技术
图7-1 网络IDS工作模型 网络IDS工作模型 IDS
12
7.2
入侵检测的原理与技术
网络IDS优势 优势 网络 (1) 实时分析网络数据,检测网络系统的非法行为; 实时分析网络数据,检测网络系统的非法行为; (2) 网络 网络IDS系统单独架设,不占用其它计算机系统的任何资 系统单独架设, 系统单独架设 源; (3) 网络 网络IDS系统是一个独立的网络设备,可以做到对黑客透 系统是一个独立的网络设备, 系统是一个独立的网络设备 因此其本身的安全性高; 明,因此其本身的安全性高; (4) 它既可以用于实时监测系统,也是记录审计系统,可以做 它既可以用于实时监测系统,也是记录审计系统, 到实时保护,事后分析取证; 到实时保护,事后分析取证; (5) 通过与防火墙的联动,不但可以对攻击预警,还可以更有 通过与防火墙的联动,不但可以对攻击预警, 效地阻止非法入侵和破坏。 效地阻止非法入侵和破坏。 (6)不会增加网络中主机的负担。 不会增加网络中主机的负担。 不会增加网络中主机的负担
9
7.2
入侵检测的原理与技术
7.2.1 入侵检测的实现方式
入侵检测系统根据数据包来源的不同, 入侵检测系统根据数据包来源的不同,采用不用的实 现方式,一般地可分为网络型、主机型, 现方式,一般地可分为网络型、主机型,也可是这两种类 型的混合应用。 型的混合应用。 基于网络的入侵检测系统(NIDS) 基于网络的入侵检测系统(NIDS) 基于网络的入侵检测系统 基于主机的入侵检测系统(HIDS) 基于主机的入侵检测系统(HIDS) 基于主机的入侵检测系统 混合型入侵检测系统(Hybrid IDS) 混合型入侵检测系统( IDS) 混合型入侵检测系统
15
7.2
入侵检测的原理与技术
主机IDS优势 优势 主机 (1) 精确地判断攻击行为是否成功。 精确地判断攻击行为是否成功。 (2) 监控主机上特定用户活动、系统运行情况 监控主机上特定用户活动、 (3) HIDS能够检测到 能够检测到NIDS无法检测的攻击 能够检测到 无法检测的攻击 (4) HIDS适用加密的和交换的环境。 适用加密的和交换的环境。 适用加密的和交换的环境 (5) 不需要额外的硬件设备。 不需要额外的硬件设备。
第7章
入侵检测技术
本章学习目标: 本章学习目标:
了解入侵检测系统的原理 掌握入侵检测系统的核心技术 了解入侵检测系统的作用 了解入侵检测技术的发展趋势 掌握入侵检测系统在网络安全中的地位 掌握评价入侵检测系统的性能指标
7.1
入侵检测系统概述
防火墙是所有保护网络的方法中最能普遍接受的方法,能阻挡 防火墙是所有保护网络的方法中最能普遍接受的方法, 外部入侵者,但对内部攻击无能为力;同时, 外部入侵者,但对内部攻击无能为力;同时,防火墙绝对不是坚不 可摧的,即使是某些防火墙本身也会引起一些安全问题。 可摧的,即使是某些防火墙本身也会引起一些安全问题。防火墙不 能防止通向站点的后门,不提供对内部的保护, 能防止通向站点的后门,不提供对内部的保护,无法防范数据驱动 型的攻击,不能防止用户由Internet Internet上下载被病毒感染的计算机程 型的攻击,不能防止用户由Internet上下载被病毒感染的计算机程 序或将该类程序附在电子邮件上传输。 序或将该类程序附在电子邮件上传输。 入侵检测是防火墙的合理补充,它帮助系统对付网络攻击, 入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩 展了系统管理员的安全管理能力(包括安全审计、监视、 展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别 和响应) 提高了信息安全基础结构的完整性。 和响应),提高了信息安全基础结构的完整性。
18
7.2
入侵检测的原理与技术
4、混合型入侵检测系统(Hybrid IDS) 混合型入侵检测系统( IDS) 在新一代的入侵检测系统中将把现在的基于网络和基 在新一代的入侵检测系统中将把现在的基于网络和基 将把 于主机这两种检测技术很好地集成起来,提供集成化的攻 于主机这两种检测技术很好地集成起来 提供集成化的攻 很好地 成化 击签名检测报告和事件关联功 联功能 击签名检测报告和事件关联功能。 可以深入地研究入侵事件入侵手段本身及被入侵目标 研究入侵事件入侵手段本身及被入侵目标 本身及被入侵 漏洞等 的漏洞等。
3
7.1
入侵检测系统概述
7.1.1 相关术语
入侵 对信息系统的非授权访问及(或)未经许可在信息系统中进 对信息系统的非授权访问及( 对信息系统的非授权访问及 行操作 入侵检测 对企图入侵、正在进行的入侵或已经发生的入侵进行识别的 对企图入侵、 对企图入侵 过程 入侵检测系统(IDS) 入侵检测系统( ) 用于辅助进行入侵检测或者独立进行入侵检测的自动化工具 用于辅助进行入侵检测或者独立进行入侵检测的自动化工具
13
7.2
入侵检测的原理与技术
网络IDS的劣势 的劣势 网络 (1)不适合交换环境和高速环境 不适合交换环境和高速环境 (2)不能处理加密数据 不能处理加密数据 (3) 资源及处理能力局限 (4) 系统相关的脆弱性
14
7.2
入侵检测的原理与技术
7.2.1 入侵检测的实现方式
2、主机IDS: 主机IDS: IDS 运行于被检测的主机之上,通过查询、 运行于被检测的主机之上,通过查询、监听当前系统 的各种资源的使用运行状态, 的各种资源的使用运行状态,发现系统资源被非法使用和 修改的事件,进行上报和处理。 修改的事件,进行上报和处理。 – 安装于被保护的主机中 – 主要分析主机内部活动 – 占用一定的系统资源
5
7.1
入侵检测系统概述
入侵检测系统
入侵检测系统(IDS)由入侵检测的软件与硬件组合而 入侵检测系统( IDS) 被认为是防火墙之后的第二道安全闸门, 成,被认为是防火墙之后的第二道安全闸门,在不影响网络 性能的情况下能对网络进行监测,提供对内部攻击、 性能的情况下能对网络进行监测,提供对内部攻击、外部攻 击和误操作的实时保护。这些都通过它执行以下任务来实现: 击和误操作的实时保护。这些都通过它执行以下任务来实现: 监视、分析用户及系统活动。 1)监视、分析用户及系统活动。 2)系统构造和弱点的审计。 系统构造和弱点的审计。 识别反映已知进攻的活动模式并向相关人士报警。 3)识别反映已知进攻的活动模式并向相关人士报警。 异常行为模式的统计分析。 4)异常行为模式的统计分析。 评估重要系统和数据文件的完整性。 5)评估重要系统和数据文件的完整性。 操作系统的审计跟踪管理, 6)操作系统的审计跟踪管理,并识别用户违反安全策 略的行为。 略的行为。
16
7.2
入侵检测的原理与技术
主机IDS的劣势 的劣势 主机 (1) HIDS对被保护主机的影响。 对被保护主机的影响。 对被保护主机的影响 (2) HIDS的安全性受到宿主操作系统的限制。 的安全性受到宿主操作系统的限制。 的安全性受到宿主操作系统的限制 (3) HIDS的数据源受到审计系统限制。 的数据源受到审计系统限制。 的数据源受到审计系统限制 (4) 被木马化的系统内核能够骗过 被木马化的系统内核能够骗过HIDS。 。 (5) 维护 升级不方便。 维护/升级不方便 升级不方便。
2
7.1
入侵检测系统概述
7.1.1 相关术语
攻击 攻击者利用工具,出于某种动机,对目标系统采取的行动, 攻击者利用工具, 攻击者利用工具 出于某种动机,对目标系统采取的行动, 其后果是获取/破坏 破坏/篡改目标系统的数据或访问权限 其后果是获取 破坏 篡改目标系统的数据或访问权限 事件 在攻击过程中发生的可以识别的行动或行动造成的后果;在 在攻击过程中发生的可以识别的行动或行动造成的后果; 在攻击过程中发生的可以识别的行动或行动造成的后果 入侵检测系统中,事件常常具有一系列属性和详细的描述信 入侵检测系统中, 息可供用户查看。 息可供用户查看。 CIDF 将入侵检测系统需要分析的数据统 称为事件( 称为事件(event) )
7
7.1
入侵检测系统概述
8
7.1
入侵检测系统概述
7.1.4 入侵检测的发展历程
1980年 1980年,概念的诞生 1984~1986年,模型的发展 1984~1986年 1990年 形成网络IDS和主机IDS两大阵营 1990年,形成网络IDS和主机IDS两大阵营 IDS和主机IDS 九十年代后至今,百家争鸣、 九十年代后至今,百家争鸣、繁荣昌盛
10
7.2
入侵检测的原理与技术
7.2.1 入侵检测的实现方式
1、网络IDS: 网络IDS: IDS 网络IDS是网络上的一个监听设备(或一个专用主机) 网络IDS是网络上的一个监听设备(或一个专用主机), IDS是网络上的一个监听设备 通过监听网络上的所有报文,根据协议进行分析, 通过监听网络上的所有报文,根据协议进行分析,并报告 网络中的非法使用者信息。 网络中的非法使用者信息。 –安装在被保护的网段(通常是共享网络,交换环境中交 安装在被保护的网段(通常是共享网络, 安装在被保护的网段 换机需支持端口映射) 换机需支持端口映射)中 –混杂模式监听 混杂模式监听 –分析网段中所有的数据包 分析网段中所有的数据包 –实时检测和响应 实时检测和响应
7.1
入侵检测系统概述
7.1.2 入侵检测
入侵检测( Detection) 入侵检测(Intrusion Detection)技术是一种动态的网 络检测技术,主要用于识别对计算机和网络资源的恶意使用行 络检测技术, 包括来自外部用户的入侵行为和内部用户的未经授权活动。 为,包括来自外部用户的入侵行为和内部用户的未经授权活动。 一旦发现网络入侵现象,则应当做出适当的反应。 一旦发现网络入侵现象,则应当做出适当的反应。对于正在进 行的网络攻击,则采取适当的方法来阻断攻击( 行的网络攻击,则采取适当的方法来阻断攻击(与防火墙联 ),以减少系统损失 对于已经发生的网络攻击, 以减少系统损失。 动),以减少系统损失。对于已经发生的网络攻击,则应通过 分析日志记录找到发生攻击的原因和入侵者的踪迹,作为增强 分析日志记录找到发生攻击的原因和入侵者的踪迹, 网络系统安全性和追究入侵者法律责任的依据。 网络系统安全性和追究入侵者法律责任的依据。它从计算机网 络系统中的若干关键点收集信息,并分析这些信息, 络系统中的若干关键点收集信息,并分析这些信息,看看网络 中是否有违反安全策略的行为和遭到袭击的迹象。 中是否有违反安全策略的行为和遭到袭击的迹象。
17
wk.baidu.com
7.2
入侵检测的原理与技术
3、两种实现方式的比较: 两种实现方式的比较: 1)如果攻击不经过网络基于网络的IDS无法检测到只能 1)如果攻击不经过网络基于网络的IDS无法检测到只能 如果攻击不经过网络基于网络的IDS 通过使用基于主机的IDS来检测; 通过使用基于主机的IDS来检测; IDS来检测 2)基于网络的IDS通过检查所有的包头来进行检测, 2)基于网络的IDS通过检查所有的包头来进行检测,而 基于网络的IDS通过检查所有的包头来进行检测 基于主机的IDS并不查看包头。主机IDS往往不能识别基于 基于主机的IDS并不查看包头。主机IDS往往不能识别基于 IDS并不查看包头 IDS IP的拒绝服务攻击和碎片攻击 的拒绝服务攻击和碎片攻击; IP的拒绝服务攻击和碎片攻击; 3)基于网络的IDS可以研究数据包的内容,查找特定攻 3)基于网络的IDS可以研究数据包的内容, 基于网络的IDS可以研究数据包的内容 击中使用的命令或语法, 击中使用的命令或语法,这类攻击可以被实时检查包序列 IDS迅速识别 而基于主机的系统无法看到负载, 迅速识别; 的IDS迅速识别;而基于主机的系统无法看到负载,因此也 无法识别嵌入式的数据包攻击。 无法识别嵌入式的数据包攻击。
6
7.1
入侵检测系统概述
7.1.3 入侵检测系统的作用
监控网络和系统 监控网络和系统 发现入侵企图或异常现象 发现入侵企图或异常现象 实时报警 实时报警 主动响应 主动响应 审计跟踪 审计跟踪
形象地说,它就是网络摄像机,能够捕获并记录网络上的所有数据, 形象地说,它就是网络摄像机,能够捕获并记录网络上的所有数据, 同时它也是智能摄像机,能够分析网络数据并提炼出可疑的、 同时它也是智能摄像机,能够分析网络数据并提炼出可疑的、异常的网 络数据,它还是X光摄像机 能够穿透一些巧妙的伪装, 光摄像机, 络数据,它还是 光摄像机,能够穿透一些巧妙的伪装,抓住实际的内 它还不仅仅只是摄像机,还包括保安员的摄像机. 容。它还不仅仅只是摄像机,还包括保安员的摄像机
11
7.2
入侵检测的原理与技术
图7-1 网络IDS工作模型 网络IDS工作模型 IDS
12
7.2
入侵检测的原理与技术
网络IDS优势 优势 网络 (1) 实时分析网络数据,检测网络系统的非法行为; 实时分析网络数据,检测网络系统的非法行为; (2) 网络 网络IDS系统单独架设,不占用其它计算机系统的任何资 系统单独架设, 系统单独架设 源; (3) 网络 网络IDS系统是一个独立的网络设备,可以做到对黑客透 系统是一个独立的网络设备, 系统是一个独立的网络设备 因此其本身的安全性高; 明,因此其本身的安全性高; (4) 它既可以用于实时监测系统,也是记录审计系统,可以做 它既可以用于实时监测系统,也是记录审计系统, 到实时保护,事后分析取证; 到实时保护,事后分析取证; (5) 通过与防火墙的联动,不但可以对攻击预警,还可以更有 通过与防火墙的联动,不但可以对攻击预警, 效地阻止非法入侵和破坏。 效地阻止非法入侵和破坏。 (6)不会增加网络中主机的负担。 不会增加网络中主机的负担。 不会增加网络中主机的负担
9
7.2
入侵检测的原理与技术
7.2.1 入侵检测的实现方式
入侵检测系统根据数据包来源的不同, 入侵检测系统根据数据包来源的不同,采用不用的实 现方式,一般地可分为网络型、主机型, 现方式,一般地可分为网络型、主机型,也可是这两种类 型的混合应用。 型的混合应用。 基于网络的入侵检测系统(NIDS) 基于网络的入侵检测系统(NIDS) 基于网络的入侵检测系统 基于主机的入侵检测系统(HIDS) 基于主机的入侵检测系统(HIDS) 基于主机的入侵检测系统 混合型入侵检测系统(Hybrid IDS) 混合型入侵检测系统( IDS) 混合型入侵检测系统
15
7.2
入侵检测的原理与技术
主机IDS优势 优势 主机 (1) 精确地判断攻击行为是否成功。 精确地判断攻击行为是否成功。 (2) 监控主机上特定用户活动、系统运行情况 监控主机上特定用户活动、 (3) HIDS能够检测到 能够检测到NIDS无法检测的攻击 能够检测到 无法检测的攻击 (4) HIDS适用加密的和交换的环境。 适用加密的和交换的环境。 适用加密的和交换的环境 (5) 不需要额外的硬件设备。 不需要额外的硬件设备。
第7章
入侵检测技术
本章学习目标: 本章学习目标:
了解入侵检测系统的原理 掌握入侵检测系统的核心技术 了解入侵检测系统的作用 了解入侵检测技术的发展趋势 掌握入侵检测系统在网络安全中的地位 掌握评价入侵检测系统的性能指标
7.1
入侵检测系统概述
防火墙是所有保护网络的方法中最能普遍接受的方法,能阻挡 防火墙是所有保护网络的方法中最能普遍接受的方法, 外部入侵者,但对内部攻击无能为力;同时, 外部入侵者,但对内部攻击无能为力;同时,防火墙绝对不是坚不 可摧的,即使是某些防火墙本身也会引起一些安全问题。 可摧的,即使是某些防火墙本身也会引起一些安全问题。防火墙不 能防止通向站点的后门,不提供对内部的保护, 能防止通向站点的后门,不提供对内部的保护,无法防范数据驱动 型的攻击,不能防止用户由Internet Internet上下载被病毒感染的计算机程 型的攻击,不能防止用户由Internet上下载被病毒感染的计算机程 序或将该类程序附在电子邮件上传输。 序或将该类程序附在电子邮件上传输。 入侵检测是防火墙的合理补充,它帮助系统对付网络攻击, 入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩 展了系统管理员的安全管理能力(包括安全审计、监视、 展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别 和响应) 提高了信息安全基础结构的完整性。 和响应),提高了信息安全基础结构的完整性。
18
7.2
入侵检测的原理与技术
4、混合型入侵检测系统(Hybrid IDS) 混合型入侵检测系统( IDS) 在新一代的入侵检测系统中将把现在的基于网络和基 在新一代的入侵检测系统中将把现在的基于网络和基 将把 于主机这两种检测技术很好地集成起来,提供集成化的攻 于主机这两种检测技术很好地集成起来 提供集成化的攻 很好地 成化 击签名检测报告和事件关联功 联功能 击签名检测报告和事件关联功能。 可以深入地研究入侵事件入侵手段本身及被入侵目标 研究入侵事件入侵手段本身及被入侵目标 本身及被入侵 漏洞等 的漏洞等。
3
7.1
入侵检测系统概述
7.1.1 相关术语
入侵 对信息系统的非授权访问及(或)未经许可在信息系统中进 对信息系统的非授权访问及( 对信息系统的非授权访问及 行操作 入侵检测 对企图入侵、正在进行的入侵或已经发生的入侵进行识别的 对企图入侵、 对企图入侵 过程 入侵检测系统(IDS) 入侵检测系统( ) 用于辅助进行入侵检测或者独立进行入侵检测的自动化工具 用于辅助进行入侵检测或者独立进行入侵检测的自动化工具
13
7.2
入侵检测的原理与技术
网络IDS的劣势 的劣势 网络 (1)不适合交换环境和高速环境 不适合交换环境和高速环境 (2)不能处理加密数据 不能处理加密数据 (3) 资源及处理能力局限 (4) 系统相关的脆弱性
14
7.2
入侵检测的原理与技术
7.2.1 入侵检测的实现方式
2、主机IDS: 主机IDS: IDS 运行于被检测的主机之上,通过查询、 运行于被检测的主机之上,通过查询、监听当前系统 的各种资源的使用运行状态, 的各种资源的使用运行状态,发现系统资源被非法使用和 修改的事件,进行上报和处理。 修改的事件,进行上报和处理。 – 安装于被保护的主机中 – 主要分析主机内部活动 – 占用一定的系统资源
5
7.1
入侵检测系统概述
入侵检测系统
入侵检测系统(IDS)由入侵检测的软件与硬件组合而 入侵检测系统( IDS) 被认为是防火墙之后的第二道安全闸门, 成,被认为是防火墙之后的第二道安全闸门,在不影响网络 性能的情况下能对网络进行监测,提供对内部攻击、 性能的情况下能对网络进行监测,提供对内部攻击、外部攻 击和误操作的实时保护。这些都通过它执行以下任务来实现: 击和误操作的实时保护。这些都通过它执行以下任务来实现: 监视、分析用户及系统活动。 1)监视、分析用户及系统活动。 2)系统构造和弱点的审计。 系统构造和弱点的审计。 识别反映已知进攻的活动模式并向相关人士报警。 3)识别反映已知进攻的活动模式并向相关人士报警。 异常行为模式的统计分析。 4)异常行为模式的统计分析。 评估重要系统和数据文件的完整性。 5)评估重要系统和数据文件的完整性。 操作系统的审计跟踪管理, 6)操作系统的审计跟踪管理,并识别用户违反安全策 略的行为。 略的行为。
16
7.2
入侵检测的原理与技术
主机IDS的劣势 的劣势 主机 (1) HIDS对被保护主机的影响。 对被保护主机的影响。 对被保护主机的影响 (2) HIDS的安全性受到宿主操作系统的限制。 的安全性受到宿主操作系统的限制。 的安全性受到宿主操作系统的限制 (3) HIDS的数据源受到审计系统限制。 的数据源受到审计系统限制。 的数据源受到审计系统限制 (4) 被木马化的系统内核能够骗过 被木马化的系统内核能够骗过HIDS。 。 (5) 维护 升级不方便。 维护/升级不方便 升级不方便。
2
7.1
入侵检测系统概述
7.1.1 相关术语
攻击 攻击者利用工具,出于某种动机,对目标系统采取的行动, 攻击者利用工具, 攻击者利用工具 出于某种动机,对目标系统采取的行动, 其后果是获取/破坏 破坏/篡改目标系统的数据或访问权限 其后果是获取 破坏 篡改目标系统的数据或访问权限 事件 在攻击过程中发生的可以识别的行动或行动造成的后果;在 在攻击过程中发生的可以识别的行动或行动造成的后果; 在攻击过程中发生的可以识别的行动或行动造成的后果 入侵检测系统中,事件常常具有一系列属性和详细的描述信 入侵检测系统中, 息可供用户查看。 息可供用户查看。 CIDF 将入侵检测系统需要分析的数据统 称为事件( 称为事件(event) )
7
7.1
入侵检测系统概述
8
7.1
入侵检测系统概述
7.1.4 入侵检测的发展历程
1980年 1980年,概念的诞生 1984~1986年,模型的发展 1984~1986年 1990年 形成网络IDS和主机IDS两大阵营 1990年,形成网络IDS和主机IDS两大阵营 IDS和主机IDS 九十年代后至今,百家争鸣、 九十年代后至今,百家争鸣、繁荣昌盛
10
7.2
入侵检测的原理与技术
7.2.1 入侵检测的实现方式
1、网络IDS: 网络IDS: IDS 网络IDS是网络上的一个监听设备(或一个专用主机) 网络IDS是网络上的一个监听设备(或一个专用主机), IDS是网络上的一个监听设备 通过监听网络上的所有报文,根据协议进行分析, 通过监听网络上的所有报文,根据协议进行分析,并报告 网络中的非法使用者信息。 网络中的非法使用者信息。 –安装在被保护的网段(通常是共享网络,交换环境中交 安装在被保护的网段(通常是共享网络, 安装在被保护的网段 换机需支持端口映射) 换机需支持端口映射)中 –混杂模式监听 混杂模式监听 –分析网段中所有的数据包 分析网段中所有的数据包 –实时检测和响应 实时检测和响应