第14章 入侵检测的发展 入侵检测技术课件
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第14章 入侵检测技术的发展
李剑
北京邮电大学信息安全中心 E-mail: lijian@bupt.edu.cn
电话:130-01936882
版权所有,盗版必纠
概述
• 本章从现有入侵检测技术的局限性入手,给 出了目前大多数入侵检测产品存在的一些问题。 然后总结了入侵技术的发展,给出了入侵检测 技术发展的新方向。最后,本章介绍了IPS、 IMS等技术。
入侵者在实施入侵或攻击时往往同时采取多种入侵的手段,以保证入侵
的成功几率,并可在攻击实施的初期掩盖攻击或入侵的真实目的。
版权所有,盗版必纠
14.2 入侵检测技术的发展方向
•
入侵主体对象的间接化,即实施入侵与攻击的主体的隐蔽化。通过
一定的技术,可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术
后,对于被攻击对象攻击的主体是无法直接确定的。
版权所有,盗版必纠
14.2.2 入侵检测技术的发展
• 3.集成网络分析和管理功能 • 入侵检测不但对网络攻击是一个检测。同时,侵检测可以收到网络中的
所有数据,对网络的故障分析和健康管理也可起到重大作用。当管理员 发现某台主机有问题时,也希望能马上对其进行管理。入侵检测也不应 只采用被动分析方法,最好能和主动分析结合。所以,入侵检测产品集 成网管功能,扫描器(Scanner),嗅探器(Sniffer)等功能是以后发展的 方向。
版权所有,盗版必纠
14.2.2 入侵检测技术的发展
• 协议分析技术是在对网络数据流进行重组的基础上,理解应用协议,再 利用模式匹配和统计分析的技术来判明攻击。例如:某个基于HTTP协议 的攻击含有ABC特征,如果此数据分散在若干个数据包中,如:一个数 据包含A,另外一个包含B,另外一个包含C,则单纯的模式匹配就无法 检测,只有基于数据流重组才能完整检测。而利用协议分析。则只在符 合的协议(HTTP)检测到此事件才会报警。假设此特征出现在Mail里,因 为不符合协议,就不会报警。利用此技术,有效的降低了误报和漏报。
版权所有,盗版必纠
14.1 现有入侵检测技术的局限性
入侵检测系统有如此重大的作用,但在国内的应用远远谈不到普及, 一方面是由于用户的认知程度较底,另一方面是由于入侵检测是一门比 较新的技术,还存在一些技术上的困难,不是所有厂商都有研发入侵检 测产品的实力。目前的入侵检测产品大多存在这样一些问题:
1. 误报和漏报的矛盾 数据进行分析,如果攻击者对系统进
版权所有,盗版必纠
14.2 入侵检测技术的发展方向
• 14.2.1 入侵技术的发展
• 无论从规模与方法上入侵技术近年来都发生了变化。入侵的手段与技 术也有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个 方面:
•
入侵或攻击的综合化与复杂化。入侵的手段有多种,入侵者往往采
取一种攻击手段。由于网络防范技术的多重化,攻击的难度增加,使得
侵与攻击都不可相提并论。信息战的成败与国家主干通信网络的安全是
与任何主权国家领土安全一样的国家安全。
版权所有,盗版必纠
14.2 入侵检测技术的发展方向
•
入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机
执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝
服务(DDoS)在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻
版权所有,盗版必纠
14.2.2 入侵检测技术的发展
• 2.内容恢复和网络审计功能的引入 • 前面已经提到,入侵检测的最高境界是行为分析。但行为分析前还不是
很成熟,因此,个别优秀的入侵检测产品引入了内容恢复和网络审计功 能。 • 内容恢复即在协议分析的基础上,对网络中发生的应为加以完整的重组 和记录,网络中发生的任何行为都逃不过它的监视。网络审计即对网络 中所有的连接事件进行记录。入侵检测的接入方式决定入侵检测系统中 的网络审计不仅类似防火墙可以记录网络进出信息,还可以记录网络内 部连接状况,此功能对内容恢复无法恢复的加密连接尤其有用。
版权所有,盗版必纠
14.2.2 入侵检测技术的发展
• 由于网络入侵技术的发展以及新的入侵检测技术的出现,今后的入侵检 测技术大致可朝下述方向发展。
• 1.分析技术的改进 • 入侵检测误报和漏报的解决最终依靠分析技术的改进。目前入侵检测分
析方法主要有:统计分析、模式匹配、数据重组、协议分析、行为分析 等。 • 统计分析是统计网络中相关事件发生的次数,达到判别攻击的目的。模 式匹配利用对攻击的特征字符进行匹配完成对攻击的检测。数据重组是 对网络连接的数据流进行重组再加以分析,而不仅仅分析单个数据包。
版权所有,盗版必纠
14.2.2 入侵检测技术的发展
• 行为分析技术不仅简单分析单次攻击事件,还根据前后发生的事件确认 是否确有攻击发生,攻击行为是否生效,是入侵检测分析技术的最高境 界。但目前由于算法处理和规则制定的难度很大,目前还不是非常成熟, 但却是入侵检测技术发展的趋势。目前最好综合使用多种检测技术,而 不只是依靠传统的统计分析和模式匹配技术。另外,规则库是否及时更 新也和检测的准确程度相关。
Leabharlann Baidu
击的单机信息模式与正常通信无差异,所以往往在攻击发动的初期不易
被确认。分布式攻击是近期最常用的攻击手段。
• 攻击对象的转移。入侵与攻击常以网络为侵犯的主体,但近期来的攻击 行为却发生了策略性的改变,由攻击网络改为攻击网络的防护系统,且 有愈演愈烈的趋势。现已有专门针对IDS作攻击的报道。攻击者详细地 分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点,然后加 以攻击。
•
入侵或攻击的规模扩大。对于网络的入侵与攻击,在其初期往往是
针对于某公司或一个网站,其攻击的目的可能为某些网络技术爱好者的
猎奇行为,也不排除商业的盗窃与破坏行为。由于战争对电子技术与网
络技术的依赖性越来越大,随之产生、发展、逐步升级到电子战与信息
战。对于信息战,无论其规模与技术都与一般意义上的计算机网络的入
行攻击尝试,而系统相应服务开放,只是漏洞已经修补,那么这一次攻 击是否需要报警,这就是一个需要管理员判断的问题。因为这也代表了 一种攻击的企图。但大量的报警事件会分散管理员的精力,反而无法对 真正的攻击做出反映。和误报相对应的是漏报,随着攻击的方法不断更 新,入侵检测系统是否能报出网络中所有的攻击也是一个问题。
李剑
北京邮电大学信息安全中心 E-mail: lijian@bupt.edu.cn
电话:130-01936882
版权所有,盗版必纠
概述
• 本章从现有入侵检测技术的局限性入手,给 出了目前大多数入侵检测产品存在的一些问题。 然后总结了入侵技术的发展,给出了入侵检测 技术发展的新方向。最后,本章介绍了IPS、 IMS等技术。
入侵者在实施入侵或攻击时往往同时采取多种入侵的手段,以保证入侵
的成功几率,并可在攻击实施的初期掩盖攻击或入侵的真实目的。
版权所有,盗版必纠
14.2 入侵检测技术的发展方向
•
入侵主体对象的间接化,即实施入侵与攻击的主体的隐蔽化。通过
一定的技术,可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术
后,对于被攻击对象攻击的主体是无法直接确定的。
版权所有,盗版必纠
14.2.2 入侵检测技术的发展
• 3.集成网络分析和管理功能 • 入侵检测不但对网络攻击是一个检测。同时,侵检测可以收到网络中的
所有数据,对网络的故障分析和健康管理也可起到重大作用。当管理员 发现某台主机有问题时,也希望能马上对其进行管理。入侵检测也不应 只采用被动分析方法,最好能和主动分析结合。所以,入侵检测产品集 成网管功能,扫描器(Scanner),嗅探器(Sniffer)等功能是以后发展的 方向。
版权所有,盗版必纠
14.2.2 入侵检测技术的发展
• 协议分析技术是在对网络数据流进行重组的基础上,理解应用协议,再 利用模式匹配和统计分析的技术来判明攻击。例如:某个基于HTTP协议 的攻击含有ABC特征,如果此数据分散在若干个数据包中,如:一个数 据包含A,另外一个包含B,另外一个包含C,则单纯的模式匹配就无法 检测,只有基于数据流重组才能完整检测。而利用协议分析。则只在符 合的协议(HTTP)检测到此事件才会报警。假设此特征出现在Mail里,因 为不符合协议,就不会报警。利用此技术,有效的降低了误报和漏报。
版权所有,盗版必纠
14.1 现有入侵检测技术的局限性
入侵检测系统有如此重大的作用,但在国内的应用远远谈不到普及, 一方面是由于用户的认知程度较底,另一方面是由于入侵检测是一门比 较新的技术,还存在一些技术上的困难,不是所有厂商都有研发入侵检 测产品的实力。目前的入侵检测产品大多存在这样一些问题:
1. 误报和漏报的矛盾 数据进行分析,如果攻击者对系统进
版权所有,盗版必纠
14.2 入侵检测技术的发展方向
• 14.2.1 入侵技术的发展
• 无论从规模与方法上入侵技术近年来都发生了变化。入侵的手段与技 术也有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个 方面:
•
入侵或攻击的综合化与复杂化。入侵的手段有多种,入侵者往往采
取一种攻击手段。由于网络防范技术的多重化,攻击的难度增加,使得
侵与攻击都不可相提并论。信息战的成败与国家主干通信网络的安全是
与任何主权国家领土安全一样的国家安全。
版权所有,盗版必纠
14.2 入侵检测技术的发展方向
•
入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机
执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝
服务(DDoS)在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻
版权所有,盗版必纠
14.2.2 入侵检测技术的发展
• 2.内容恢复和网络审计功能的引入 • 前面已经提到,入侵检测的最高境界是行为分析。但行为分析前还不是
很成熟,因此,个别优秀的入侵检测产品引入了内容恢复和网络审计功 能。 • 内容恢复即在协议分析的基础上,对网络中发生的应为加以完整的重组 和记录,网络中发生的任何行为都逃不过它的监视。网络审计即对网络 中所有的连接事件进行记录。入侵检测的接入方式决定入侵检测系统中 的网络审计不仅类似防火墙可以记录网络进出信息,还可以记录网络内 部连接状况,此功能对内容恢复无法恢复的加密连接尤其有用。
版权所有,盗版必纠
14.2.2 入侵检测技术的发展
• 由于网络入侵技术的发展以及新的入侵检测技术的出现,今后的入侵检 测技术大致可朝下述方向发展。
• 1.分析技术的改进 • 入侵检测误报和漏报的解决最终依靠分析技术的改进。目前入侵检测分
析方法主要有:统计分析、模式匹配、数据重组、协议分析、行为分析 等。 • 统计分析是统计网络中相关事件发生的次数,达到判别攻击的目的。模 式匹配利用对攻击的特征字符进行匹配完成对攻击的检测。数据重组是 对网络连接的数据流进行重组再加以分析,而不仅仅分析单个数据包。
版权所有,盗版必纠
14.2.2 入侵检测技术的发展
• 行为分析技术不仅简单分析单次攻击事件,还根据前后发生的事件确认 是否确有攻击发生,攻击行为是否生效,是入侵检测分析技术的最高境 界。但目前由于算法处理和规则制定的难度很大,目前还不是非常成熟, 但却是入侵检测技术发展的趋势。目前最好综合使用多种检测技术,而 不只是依靠传统的统计分析和模式匹配技术。另外,规则库是否及时更 新也和检测的准确程度相关。
Leabharlann Baidu
击的单机信息模式与正常通信无差异,所以往往在攻击发动的初期不易
被确认。分布式攻击是近期最常用的攻击手段。
• 攻击对象的转移。入侵与攻击常以网络为侵犯的主体,但近期来的攻击 行为却发生了策略性的改变,由攻击网络改为攻击网络的防护系统,且 有愈演愈烈的趋势。现已有专门针对IDS作攻击的报道。攻击者详细地 分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点,然后加 以攻击。
•
入侵或攻击的规模扩大。对于网络的入侵与攻击,在其初期往往是
针对于某公司或一个网站,其攻击的目的可能为某些网络技术爱好者的
猎奇行为,也不排除商业的盗窃与破坏行为。由于战争对电子技术与网
络技术的依赖性越来越大,随之产生、发展、逐步升级到电子战与信息
战。对于信息战,无论其规模与技术都与一般意义上的计算机网络的入
行攻击尝试,而系统相应服务开放,只是漏洞已经修补,那么这一次攻 击是否需要报警,这就是一个需要管理员判断的问题。因为这也代表了 一种攻击的企图。但大量的报警事件会分散管理员的精力,反而无法对 真正的攻击做出反映。和误报相对应的是漏报,随着攻击的方法不断更 新,入侵检测系统是否能报出网络中所有的攻击也是一个问题。