第18讲 IDS入侵检测技术

39
四、知识点剖析及难点问题讲解
11、案例分析
40
四、知识点剖析及难点问题讲解
12、IDS主流产品介绍
– –
Computer Associates公司

Sessi onWall-3/eTrust Intrusion Detection Intrusion Detection Appliance 4.0 “天眼”入侵检测系统
–
是否违反统计规律

难题在于如何建立“活动阀值”以及如何设计统计算法
36
四、知识点剖析及难点问题讲解
9、IDS入侵检测技术有哪些？
–
基于异常情况检测
90 80 70 60 50 40 30 20 10 0
入侵概率
事件 度量
正常行为 异常行为
评价指标
37
四、知识点剖析及难点问题讲解
10、IDS 存在的问题
Desktops 合作伙伴
Internet
Network-based IDS
分公司
Web Servers 远程连接
Servers
29
四、知识点剖析及难点问题讲解
8、IDS主要有几种类型？
–
基于网络的IDS的优点：


不需要改变服务器的配置 不影响业务系统的性能 部署风险小 具有专门设备
30
7
四、知识点剖析及难点问题讲解
1、什么是IDS （1）IDS部署： IDS置于防火墙与内部网之间
攻击者 内部网
Web服务器 Internet
防火墙 IDS
Email服务器
8
四、知识点剖析及难点问题讲解
2、为什么有了防火墙还需要IDS？
–
防火墙办不到的事

病毒等恶性程序可利用 email 夹带闯关 防火墙无法有效解决自身的安全问题 不能提供实时的攻击检测能力，防火墙只是按照固定的工作模 式来防范已知的威胁 防火墙不能阻止来自内部的攻击

对分析“可能的攻击行为”非常有用 得到的信息详尽 误报率低
26
四、知识点剖析及难点问题讲解
8、IDS主要有几种类型？
–
基于主机的IDS的缺点：


必须安装在要保护的设备上，出现安全风险 依赖服务器固有的日志与监视能力 部署代价大，易出现盲点 不能检测网络行为
27
四、知识点剖析及难点问题讲解
4
三、预习和讨论
1. 2. 3. 4.
5.
6. 7.
8.
9. 10. 11.
12.
13.
什么是IDS？ 为什么有了防火墙还需要IDS？ 探讨安全问题的起因。 IDS的功能是什么？ IDS的特点如何？ 入侵检测的步骤是什么？ 入侵检测的信息收集主要收集什么样的信息，收集这些信息的目的是 什么？ 信号分析主要有几种技术？ 什么是模式匹配，它的工作原理是什么？ 什么是统计分析，它的工作原理是什么？ 什么是完整性分析，它的工作原理是什么？ IDS是如何组成的？ IDS主要有几种类型？
–
信号分析

完整性分析
– – – –
关注某个文件或对象是否被更改 包括文件和目录的内容及属性 对于发现被更改的、被安装木马的应用程序方面特别有效 利用加密机制
21
四、知识点剖析及难点问题讲解
7、IDS是如何组成的？
– –
传感器（Sensor） 控制台（Console）
控制台（Console）
传感器（Sensor）
22
四、知识点剖析及难点问题讲解
8、IDS主要有几种类型？
– – –
基于主机的IDS 基于网络的IDS 混合IDS
23
四、知识点剖析及难点问题讲解
8、IDS主要有几种类型？
–
基于主机的IDS


HIDS安装在被重点检测的主机之上 HIDS对主机的网络实时连接以及系统审计日志进行智能分析 和判断 发现主机出现可疑行为，HIDS采取措施

入侵检测第一步 收集状态和行为
系统 – 网络 – 数据 – 用户活动
–
16
四、知识点剖析及难点问题讲解
6、入侵检测的步骤是什么？
–
信息收集来源


系统和网络日志文件 目录和文件中的不期望的改变 程序执行中的不期望行为 物理形式的入侵信息
17
四、知识点剖析及难点问题讲解
6、入侵检测的步骤是什么？
34
四、知识点剖析及难点问题讲解
9、IDS入侵检测技术有哪些？
–
基于规则检测 比较、匹配
入侵模式
入侵
检测到 的事件
35
四、知识点剖析及难点问题讲解
9、IDS入侵检测技术有哪些？
–
基于异常情况检测


Anomaly Detection(异常检测) 假设入侵者活动异常于正常主体的活动 制订主体正常活动的“活动阀值” 检测到的活动与“活动阀值”相比较
四、知识点剖析及难点问题讲解
8、IDS主要有几种类型？
–
基于网络的IDS的缺点：


检测范围有限 很难检测复杂攻击 传感器协同工作能力较弱 处理加密的会话过程较困难
31
四、知识点剖析及难点问题讲解
8、IDS主要有几种类型？
–
混合IDS

HIDS和NIDS各有不足 单一产品防范不全面 结合HIDS和NIDS
13
四、知识点剖析及难点问题讲解
5、IDS的特点如何？
– – – –
使网管了解网络系统的变更 提供网络安全策略的制订指南 规模灵活可变 及时响应入侵
14
四、知识点剖析及难点问题讲解
6、入侵检测的步骤是什么？
– –
信息收集 信号分析
15
四、知识点剖析及难点问题讲解
6、入侵检测的步骤是什么？
–
信息收集
6
四、知识点剖析及难点问题讲解
1、什么是IDS （1）概念：入侵检测系统
–
–
–
入侵检测技术是为保证计算机系统的安全而设计与配置 的一种能够及时发现并报告系统中未授权或异常现象的 技术，是一种用于检测计算机网络中违反安全策略行为 的技术。 入侵检测系统的应用，能使在入侵攻击对系统发生危害 前，检测到入侵攻击，并利用报警与防护系统驱逐入侵 攻击。在入侵攻击过程中，能减少入侵攻击所造成的损 失。 第二道闸门，防火墙的合理补充。
第18讲 IDS入侵检测技术
1
本讲目标


掌握IDS的概念、功能和特点。 掌握几种信号分析及其工作原理。 掌握IDS的两种主要类型及其如何部署。 掌握基于规则的入侵检测技术和基于异常情况的入侵检测技术。 了解信息收集的概念、几种入侵检测产品。 了解什么叫混杂模式。
本讲重点和难点
•重点：IDS概念、特点、IDS工作原理和入侵检测技术。 •难点：IDS工作原理分析。
–
19
四、知识点剖析及难点问题讲解
6、入侵检测的步骤是什么？
–
信号分析

统计分析
– –
首先对系统对象创建一个统计描述 统计正常使用时的一些测量属性
–
–
测量属性的平均值和偏差被用来与网络、系统的行为进行比较
观察值在正常值范围之外时，就认为有入侵发生
20
四、知识点剖析及难点问题讲解
6、入侵检测的步骤是什么？
32
四、知识点剖析及难点问题讲解
9、IDS入侵检测技术有哪些？
– –
基于规则检测 基于异常情况检测
33
四、知识点剖析及难点问题讲解
9、IDS入侵检测技术有哪些？
–
基于规则检测



Signature-Based Detection（特征检测) 假设入侵者活动可以用一种模式表示 目标是检测主体活动是否符合这些模式 对新的入侵方法无能为力 难点在于如何设计模式既能够表达入侵现象又不会将正常的 活动包含进来 准确率较高
5
三、预习和讨论（续）
14. 15.
16.
17. 18. 19.
20.
21. 22.
基于主机的IDS是如何部署的，主要功能是什么？有什么优点？有什 么缺点？ 基于网络的IDS是如何部署的，主要功能是什么？有什么优点？有什 么缺点？ 什么是混合入侵检测系统？ IDS入侵检测技术有哪些？ 什么叫基于规则检测？ 什么叫基于异常情况检测？ IDS有什么不足的地方？ 从网络上查找国产品牌两家，国外品牌两家，并下载这些入侵检测软 件（试试看） 入侵检测的几个常用术语：警报、异常、自动响应、特征、混杂模式。
8、IDS主要有几种类型？
–
基于网络的IDS

NIDS放置在网段内，监视网络数据包 发现问题可以切断网络 目前IDS大多数是NIDS
28
四、知识点剖析及难点问题讲解 8、IDS主要有几种类型？
–
基于网络的IDS
Network
顾客
Network-based IDS Network-based IDS
24
四、知识点剖析及难点问题讲解 8、IDS主要有几种类型？
–
基于主机的IDS Hacker
Network
顾客 Desktops 合作伙伴
Internet
Servers
分公司
Web Servers
Host-based IDS
25
远程连接
四、知识点剖析及难点问题讲解
8、IDS主要有几种类型？
–
基于主机的IDS的优点：
44
七、总结和扩展
重点： IDS概念、特点、IDS工作原理和入侵检测技术
45
八、作业
1.
2.
3. 4.
什么是入侵检测系统？ 入侵检测系统的类型是什么？ 入侵检测技术主要有哪两种？ 入侵检测的步骤是什么，每个步骤的要点是 什么？
46
九、预习：IDS入侵检测系统
防火墙
9
四、知识点剖析及难点问题讲解
3、安全问题的起因 ？
– – – –
网络管理是平面型 80%以上的入侵来自于网络内部 网络资源滥用 入侵越来越频繁
10
四、知识点剖析及难点问题讲解
4、IDS的功能是什么？
报警 日志记录
入侵检测
记录
终止入侵
重新配置 防火墙 路由器
攻击检测
11
内部入侵
记录入侵 过程
–
信号分析

模式匹配 统计分析 完整性分析
实时的入侵检测分析 事后分析
18
四、知识点剖析及难点问题讲解
6、入侵检测的步骤是什么？
–
信号分析

模式匹配
比较收集到的信息与已知的网络入侵和系统误用模式数据库 – 攻击模式可以用一个过程或一个输出来表示 通过字符串匹配以寻找一个简单的条目或指令 利用正规的数学表达式来表示安全状态的变化
NFR公司

–
–
中科网威

启明星辰

SkyBell（天阗）
41
四、知识点剖析及难点问题讲解
13、安装IDS
– –
Computer Associates公司

Sessi onWall-3/eTrust Intrusion Detection
安装演示
42
五、小组PK展示（实验展示）
1.
来自百度文库
安装 eTrust Intrusion Detection 企业入侵检测
2
一、复习检测
1.
2.
3.
在ISA 中VPN客户端和内部网络是什么网络关系？ 内部网络之间是什么网络关系？ 你是如何确认对方身份的？
3
二、导入课题
1.
2.
3.
在今天的企业网组建中，少不了重要的网络安全设备即防火墙。有人 做过统计，80%的企业购买安全产品首先防火墙，为什么防火墙受如 此欢迎呢？这是因为防火墙除了访问控制功能保护企业网，还附带了 其它重要功能。自然如此仅仅依赖防火墙就能够解决所有安全问题吗？ 防火墙优点是明显的，但是缺点也是不可小视的；防火墙不能防止内 部用户的攻击，不能有效防止带病毒的软件，不能防止加密的恶性代 码，对许多未知的新的攻击防火墙也是无能为力的。如果突破防火墙 攻击到内部，谁能够发现谁又能够阻止呢？这需要入侵+检测+技术。 在安全解决方案中，往往需要多种技术的结合，入侵检测系统和防火 墙联动，能够有效地解决许多安全问题，今天我们介绍入侵检测技术 的概念和工作原理。
熟悉基本功能
43
六、教学效果检查



什么是IDS？ 为什么有了防火墙还需要IDS？ IDS的功能是什么？ 入侵检测的步骤是什么？ 信号分析主要有几种技术？ 什么是模式匹配，它的工作原理是什么？ 什么是统计分析，它的工作原理是什么？ IDS主要有几种类型？ IDS入侵检测技术有哪些？ 什么叫基于规则检测？ 什么叫基于异常情况检测？
四、知识点剖析及难点问题讲解
4、IDS的功能是什么？
从不知 到有知
12
四、知识点剖析及难点问题讲解
4、IDS的功能是什么？
– – – – – – –
–
监控用户和系统的活动 查找非法用户和合法用户的越权操作 检测系统配置的正确性和安全漏洞 评估关键系统和数据的完整性 识别攻击的活动模式并向网管人员报警 对用户的非正常活动进行统计分析，发现入侵行为的 规律 操作系统审计跟踪管理，识别违反政策的用户活动 检查系统程序和数据的一致性与正确性
– – – – –
NIDS具有网络局限性 NIDS的检测方法都有一定的局限性 NIDS不能处理加密后的数据 NIDS存在着资源和处理能力的局限性 NIDS受内存和硬盘的限制
38
四、知识点剖析及难点问题讲解
11、案例分析
–
三个数据区

防火墙PIX525 DMZ区 核心数据区 政府DMZ区
–
三个区都部署NIDS