第6章 入侵检测技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
6.2.4 入侵检测系统实例
⒈ Snort简介 简介 ⒉ Snort的安装与运行 的安装与运行 ⒊ Snort的规则 的规则
Snort的体系结构 的体系结构
规则表的结构组成
6.3入侵检测相关的实验 入侵检测相关的实验
1. Windows下使用 下使用SessionWall进行实时 下使用 进行实时 入侵检测 2. Linux下Snort的安装和使用 下 的安装和使用
入侵防护系统IPS 入侵防护系统
• IPS概述 概述 • IPS的分类 的分类 • 目前IDS和IPS关系 和 关系 目前
IPS概述 概述
• 入侵防护系统 (IPS) 则倾向于提供主动防护,其 则倾向于提供主动防护, 设计宗旨是预先对入侵活动和攻击性网络流量进 行拦截,避免其造成损失, 行拦截,避免其造成损失,而不是简单地在恶意 流量传送时或传送后才发出警报。 流量传送时或传送后才发出警报。 • IPS 是通过直接嵌入到网络流量中实现这一功能 的,即通过一个网络端口接收来自外部系统的流 量,经过检查确认其中不包含异常活动或可疑内 容后,再通过另外一个端口将它传送到内部系统 容后, 中。
异 常 入 侵 检 测
误 用 的 入 侵 检 测
基 于 主 机 的 IDS
基 于 网 络 的 IDS
集 中 式
分 布 式
离 线 检 测
在 线 检 测
基于主机的入侵检测系统(HIDS)
• 通常是安装在被重点检测的主机之上,所 通常是安装在被重点检测的主机之上, 以也称软件检测系统。 以也称软件检测系统。 • 主要是对该主机的网络实时连接以及系统 审计日志进行智能分析和判断。 审计日志进行智能分析和判断。 • 如果其中主体活动十分可疑 特征或违反统 如果其中主体活动十分可疑(特征或违反统 计规律),入侵检测系统就会采取相应措施。 计规律 ,入侵检测系统就会采取相应措施。
基于网络的入侵检测系统(NIDS) • 基于网络的入侵检测系统使用原始网络包 基于网络的入侵检测系统使用原始网络包 作为数据源。 作为数据源。 • 基于网络的 基于网络的IDS通常利用一个运行在混杂模 通常利用一个运行在混杂模 通常利用一个运行在 式下的网络适配器来实时监视并分析通过 网络的所有通信业务。 网络的所有通信业务。 • 系统获取的数据是网络传输的数据包,保 系统获取的数据是网络传输的数据包 网络传输的数据包, 护的是网络的运行。 护的是网络的运行。
– 漏报率低 – 误报率高
异常检测的方法
• ① 概率统计异常检测 • ② 神经网络异常检测
⒉ 误用检测技术
• 误用检测技术要收集非正常操作的行为特 建立相关的特征库,也叫攻击特征库。 征,建立相关的特征库,也叫攻击特征库。 当监测的用户或系统行为与库中的记录相 匹配时,系统就认为这种行为是入侵。 匹配时,系统就认为这种行为是入侵。 • 特点: 特点:
它依赖于主机固有的日志与监视能力, ⑴ 它依赖于主机固有的日志与监视能力, 易受攻击,入侵者可设法逃避审计; 易受攻击,入侵者可设法逃避审计; 影响主机的性能; ⑵ 影响主机的性能; 只能对主机的特定用户、 ⑶ 只能对主机的特定用户、应用程序执行动 作和日志进行检测, 作和日志进行检测,所能检测到的攻击类 型受到限制; 型受到限制; 全面部署HIDS代价较大。 代价较大。 ⑷ 全面部署 代价较大
蜜罐
4. 入侵响应技术
• ⑴ 主动响应 • ⑵ 被动响应
第6章 入侵检测系统 章
• ⑴主动响应 • 入侵检测系统在检测到入侵后能够阻断攻 影响进而改变攻击的进程。 击、影响进而改变攻击的进程。 • 主动响应可以采取较严厉的方式,如入侵 主动响应可以采取较严厉的方式, 跟踪技术;也可以采取温和的方式, 跟踪技术;也可以采取温和的方式,如: 报警和修正系统环境等。 报警和修正系统环境等。
入侵检测系统
• 入侵检测就是察觉入侵的行为。 入侵检测就是察觉入侵的行为。 • 入侵检测的软件与硬件的结合便是入侵检 测系统。 测系统。
入侵检测系统起源
• 入侵检测的研究可以追溯到 入侵检测的研究可以追溯到1980年 年 • 1987年乔治敦大学首次给出一个入侵检测 年乔治敦大学首次给出一个入侵检测 的抽象模型 • 1990年是入侵检测系统发展史上的一个分 年是入侵检测系统发展史上的一个分 水岭 • 从20世纪 年代到现在,入侵检测系统的 世纪90年代到现在 世纪 年代到现在, 研发呈现出百家争鸣的繁荣局面, 研发呈现出百家争鸣的繁荣局面,并在智 能化和分布式两个方向取得了长足的进展
需求分析
1)黑客穿过防火墙寻找内部主机漏洞进行攻 ) 击 2)通过邮件传播蠕虫病毒进行检测报警。 )通过邮件传播蠕虫病毒进行检测报警。 3)对防病毒软件无法检测的新型病毒进行告 ) 警 4)检测内部人员的攻击和内植木马病毒的攻 ) 击
思考与讨论
• 为什么在校园网或企业网与外网之间中安 装了强大的防火墙, 装了强大的防火墙,我们内部主机也安装 了防病毒软件和个人防火墙, 了防病毒软件和个人防火墙,可是受攻击 的现象依然存在,而且到道高一尺, 的现象依然存在,而且到道高一尺,魔高 一丈呢? 有什么办法可以解决。 一丈呢? 有什么办法可以解决。 • 上网搜索几种入侵检测系统进行一下功能 比较,同时也进行成本比较。 比较,同时也进行成本比较。
Windows下使用 下使用SessionWall进行 下使用 进行 实时入侵检测
实验目的: 实验目的: 了解IDS的原理,并掌握 的原理, 了解 的原理 并掌握windows平台下 平台下 CASessionWall产品的配置和使用。 产品的配置和使用。 产品的配置和使用 实验内容和步骤参看教材P165 实验内容和步骤参看教材
基于移动代理的分布式入侵检测系统 • 分布式入侵检测系统系统架构 • 移动代理(Mobile Agent)技术 ) 移动代理(
分布式入侵检测系统的拓扑图
移动代理技术
• 在入侵检测系统中使用代理可以完成数据 采集、数据预处理、数据分析等功能, 采集、数据预处理、数据分析等功能,用 移动代理可以实时就地处理数据和突发事 减少系统内部通信量, 件,减少系统内部通信量,对入侵进行响 应和追踪等。 应和追踪等。
全国高等职业教育计算机类规划教材 实例与实训教程系列
网络安全应用技术
第6章 入侵检测系统 章
在这一章中
你将学习 入侵检测系统的概念、 ◇ 入侵检测系统的概念、分类 ◇ 入侵检测技术 ◇ 蜜罐技术 你将获取 系统下安装轻量级的入侵检测系统Snort △ 在Linux系统下安装轻量级的入侵检测系统 系统下安装轻量级的入侵检测系统 的技能 使用Snort在网络中进行入侵检测与嗅探 △ 使用 在网络中进行入侵检测与嗅探 使用Snort在网络中进行数据记录 △ 使用 在网络中进行数据记录
基于网络的入侵检测系统
基于网络的入侵检测优点
⑴ 拥有成本较低 ⑵ 检测基于主机的系统漏掉的攻击 ⑶ 攻击者不易转移证据 ⑷ 实时检测和响应 ⑸ 检测未成功的攻击和不良意图 ⑹ 操作系统无关性
基于网络的IDS缺点
只检测直接连接网段的通信, ⑴ 只检测直接连接网段的通信,不能检测在 不同网段的网络包; 不同网段的网络包; 交换以太网环境中会出现检测范围局限; ⑵ 交换以太网环境中会出现检测范围局限; 很难实现一些复杂的、 ⑶ 很难实现一些复杂的、需要大量计算与分 析时间的攻击检测; 析时间的攻击检测; ⑷ 处理加密的会话过程比较困难
入侵诱骗技术
• 蜜罐技术(Honeypot) 蜜罐技术( ) • 蜜罐技术采取主动的方式 ,用特有的特征吸引攻 击者,同时对攻击者的各种攻击行为进行分析并 击者, 找到有效的对付办法。 找到有效的对付办法。 • 蜜罐是一种资源 • 蜜罐系统最为重要的功能是对系统中所有操作和 行为进行监视和记录, 行为进行监视和记录,可以网络安全专家通过精 心的伪装, 心的伪装,使得攻击者在进入到目标系统后仍不 知道自己所有的行为已经处于系统的监视下。 知道自己所有的行为已经处于系统的监视下。
第6章 入侵检测系统 章
• • • • 6.1 案例问题 6.2 技术视角 6.3 单元实验 6.4 超越与提高
案例问题
• 案例说明 • 思考与讨论
案例说明
• 校园网中各种 校园网中各种P2P的应用在校园网内部广泛的应 的应用在校园网内部广泛的应 作为一种时下流行的下载手段,但是, 用,作为一种时下流行的下载手段,但是,大量 无限制的P2P连接将极大的消耗网络带宽资源, 连接将极大的消耗网络带宽资源, 无限制的 连接将极大的消耗网络带宽资源 给西工大正常的网络业务带来极大的困扰, 给西工大正常的网络业务带来极大的困扰,同时 也带来了一些安全隐患。 也带来了一些安全隐患。 • 此外,由于校园网内部的学生机器较多,且没有 此外,由于校园网内部的学生机器较多, 统一安装防病毒软件, 统一安装防病毒软件,如何预防内部网络的病毒 传播,也是摆在校网络中心负责人面前的一个重 传播, 要问题。 要问题。
第6章 入侵检测系统 章
• • • • 6.1 案例问题 6.2 技术视角 6.3 单元实验 6.4 超越与提高
6.2 技术视角
入侵检测技术概述 基于网络IDS和基于主机的 和基于主机的IDS比较 基于网络 和基于主机的 比较 入侵检测技术 入侵检测系统实例
Hale Waihona Puke Baidu
入侵检测技术概述
入侵检测系统及起源 IDS的基本结构 的基本结构 基本术语 入侵检测系统的分类
IDS的基本结构 的基本结构
• 美国国防高级研究计划署(DARPA)提出 美国国防高级研究计划署( ) 的建议是公共入侵检测框架( 的建议是公共入侵检测框架(CIDF) ) •
CIDF的通用模型 的通用模型
IDS基本术语 基本术语
误报 漏报 警报 特征 混杂模式
入侵检测系统的分类
分析方法和检测原 理 数据来源 体系结构 工作方式
– 误报率低 – 漏报率高
误用检测模型
• ⑴ 专家系统 • ⑵ 模式匹配
⒊ 入侵诱骗技术
• 定义:用特有的特征吸引攻击者,同时对 定义:用特有的特征吸引攻击者, 攻击者的各种攻击行为进行分析, 攻击者的各种攻击行为进行分析,并进而 找到有效的对付方法。 找到有效的对付方法。 • 特点:试图将攻击者从关键系统引诱开。 特点:试图将攻击者从关键系统引诱开。 是一种主动防御技术。 是一种主动防御技术。 • 目的:从现存的各种威胁中提取有用的信 目的: 息,以发现新型的攻击工具、确定攻击的 以发现新型的攻击工具、 模式并研究攻击者的攻击动机。 模式并研究攻击者的攻击动机。
NIDS和HIDS比较 和 比较
6.2.3 入侵检测技术
⒈ 异常检测技术 ⒉ 误用检测技术 ⒊ 入侵诱骗技术 4. 入侵响应技术
⒈ 异常检测技术
• 异常检测技术就是首先总结正常操作应该 具有的特征(用户轮廓), ),当用户活动与 具有的特征(用户轮廓),当用户活动与 正常行为有重大偏离时即被认为是入侵。 正常行为有重大偏离时即被认为是入侵。 • 特点: 特点:
Linux下Snort的安装和使用 下 的安装和使用
• 实验目的: 实验目的:
– 通过实验,深入理解入侵检测系统的原理和工 作方式,熟悉入侵检测工具snort在Linux操作 系统中的安装和配置方法。 – 实验内容和步骤参看教材P168
6.4超越与提高 超越与提高
• 基于移动代理的分布式入侵检测系统 (MADIDS) ) • 入侵防护系统 入侵防护系统IPS
第6章 入侵检测系统 章
• ⑵ 被动响应 • 入侵检测系统仅仅简单地报告和记录所检 测出的问题。 测出的问题。 • 包括记录安全事件,产生报警信息,记录 包括记录安全事件,产生报警信息, 附加日志,激活附加入侵检测工作等。 附加日志,激活附加入侵检测工作等。是 发现入侵时最常见的行动类型。 发现入侵时最常见的行动类型。
基于主机入侵检测系统
基于主机的入侵检测系统有如下优点 • ⑴ 确定攻击是否成功 • ⑵ 监视特定的系统活动 • ⑶ 能够检查到基于网络的系统检查不出的 攻击 • ⑷ 适用被加密的和交换的环境 • ⑸ 近于实时的检测和响应 • ⑹ 不要求额外的硬件设备 • ⑺ 记录花费更加低廉
HIDS弱点和局限性 弱点和局限性