蓝盾入侵检测系统41页PPT

基于网路的IDS不依赖于被保护主机的操作系统
2024/3/29
25
缺点
对加密通信无能为力
对高速网络无能为力 不能预测命令的执行后果
2024/3/29
26
集成入侵检测
概念：综合前几种技术的入侵检测方法 优点
具有每一种检测技术的优点，并试图弥补各自的不足 趋势分析 稳定性好 节约成本
2024/3/29
23
优点：
监视所有系统行为 有些攻击在网络的数据流中很难发现，或根本没有通过
网络在本地进行，此时基于网络的IDS系统将无能为力 适应交换和加密 不要求额外的硬件
缺点：
看不到网络活动的状况
运行审计功能要占用额外系统资源
主机监视感应器对不同的平台不能通用 管理和实施比较复杂
6.1 入侵检测系统 6.2 安全审计系统
2024/3/29
1
6.1 入侵检测系统
6.1.1 入侵检测系统的概念
入侵(Intrusion)是指任何企图危及资源的完整性、机密性 和可用性的活动。
入侵检测顾名思义，是指通过对计算机网络或计算机系 统中的若干关键点收集信息并对其进行分析，从中发现 网络或系统中是否有违反安全策略的行为和被攻击的迹 象。
不能够在没有用户参与的情况下阻止攻击行为的发 生
不能克服网络协议方面的缺陷 不能克服设计原理方面的缺陷 响应不够快时，签名数据库更新不够快。
2024/3/29
29
6.1.7 入侵检测体系结构
集中式结构
IDS发展初期，大都采用单一的体系结构，即所 有的工作包括数据的采集、分析都由单一主机上 的单一程序来完成。
入侵检测系统——Intrusion Detection System，简称IDS， 入侵检测的软件与硬件的组合。

相匹配时，系统就认为这种行为是入侵 3. 过程
监控 特征提取 匹配 判定
4. 指标 错报低 漏报高
误用检测模型
如果入侵特征与正常的用户行能匹配，则系统 会发生误报；如果没有特征能与某种新的攻击 行为匹配，则系统会发生漏报
特点：采用特征匹配，滥用模式能明显降低错 报率，但漏报率随之增加。攻击特征的细微变 化，会使得滥用检测无能为力
System Audit
Metrics
Pattern Matcher
Normal Activity No Signature Match
Signature Match Intrusion
误用检测模型
误用检测
1. 前提：所有的入侵行为都有可被检测到的特征 2. 攻击特征库: 当监测的用户或系统行为与库中的记录
黑客经常在系统日志文件中留下他们的踪迹， 因此，充分利用系统和网络日志文件信息是检 测入侵的必要条件
日志文件中记录了各种行为类型，每种类型又 包含不同的信息，例如记录“用户活动”类型 的日志，就包含登录、用户ID改变、用户对文 件的访问、授权和认证信息等内容
显然，对用户活动来讲，不正常的或不期望的 行为就是重复登录失败、登录到不期望的位置 以及非授权的企图访问重要文件等等
30 20 10 0
CPU
Process Size
probable intrusion
normal profile abnormal
Relatively high false positive rate anomalies can just be new normal activities.
误用检测
简单地说，入侵检测系统包括三个功能 部件：
（1）信息收集 （2）信息分析 （3）结果处理

2. 包过滤机制, 便于用户程序通过简单设置的一 系列过滤条件, 以获得满足条件的数据包.
包过滤机制实际上是布尔值操作函数,如果返 回true, 则通过过滤, 反之则丢弃
3. 最高层是针对用户程序的接口
精选ppt课件2021
18
BPF模型
组成: 网络分接头和数据包过滤器
精选ppt课件2021
19
6.4 基于Libpcap库的数据捕获技术
Libpcap是unix/linux平台下的网络数据包捕获 函数库
Libpcap最主要的优点是平台无关性,被广泛应 用在各种网络监控软件中
Libpcap头文件: 数据流存储文件头 (pcap_file_header)和数据信息包(pcap_pkthdr)
精选ppt课件2021
14
Sniffer介绍
Sniffer是利用计算机的网络接口截获目的地为 其他计算机的数据报文的一种工具
Sniffer工作原理: 通知网卡接收其收到的所有 包, 在交换HUB下接收别人的数据包,可通过欺 骗交换HUB的方法完成
大多数嗅探器至少能分析下面的协议: 标准以 太网, TCP/IP, IPX和DECNet
协议
精选ppt课件2021
4
TCP报文格式
数据报文的分层封装
TCP报头
TCP数据区 TCP
IP报头
IP数据区
IP
帧头
帧数据区
ETH
以太网IEEE802.3的帧格式
0
8
16
24
32
目标主机的以太网地址（第0~3字节）
目标主机的以太网地址（第4、5字节） 目标主机的以太网地址（第0、1字节）
目标主机的以太网地址（第2~5字节）

如何维护和管理入侵检测系统
定期更新系统：确保系统始终处于最新状态，以应对不断变化的威胁 监控系统运行状态：实时监控系统运行状态，及时发现并解决异常情况 定期备份数据：定期备份系统数据，以防数据丢失或损坏 培训员工：对员工进行系统使用和维护的培训，提高员工的安全意识和操作技能
THANKS
汇报人：
基于网络的入侵检测系统
基于主机的入侵检测系统
基于代理的入侵检测系统
基于蜜罐的入侵检测系统
入侵检测系统的重要性
保护网络安全： 及时发现并阻 止网络攻击， 保护网络和数
据安全
提高系统稳定 性：及时发现 并修复系统漏 洞，提高系统 稳定性和可靠
性
降低损失：及 时发现并阻止 网络攻击，降 低经济损失和
声誉损失
如何评估入侵检测系统的性能
检测率：评估系统对入侵行为的检测能 力
误报率：评估系统对正常行为的误报情 况
响应时间：评估系统对入侵行为的响应 速度
兼容性：评估系统与其他安全设备的兼 容性
易用性：评估系统的操作简便性和用户 友好性
成本：评估系统的购买和维护成本
如何部署和配置入侵检测系统
选择合适的入侵 检测系统：根据 企业需求、网络 环境、安全策略 等因素选择合适 的入侵检测系统。
法规政策：政 府对网络安全 的重视将推动 入侵检测系统 的发展和应用
Part Six
如何选择合适的入 侵检测系统
选择入侵检测速度和准确性
功能：系统的检测范围和功能是否满 足需求
兼容性：系统与其他安全设备的兼容 性
价格：系统的价格是否在预算范围内 易用性：系统的操作是否简单易用 售后服务：系统的售后服务是否完善
实时监控：能够实时监控网络流量，及时发现异常行为 智能分析：利用机器学习和人工智能技术，提高检测精度 自动响应：能够自动响应入侵行为，如阻断攻击、报警等 降低风险：减少网络攻击带来的损失，提高网络安全性

? 需要在计算机网络系统中的若干不同关键点（不同 网段和不同主机）收集信息，这样做的理由就是从 一个来源的信息有可能看不出疑点，但从几个来源 的信息的不一致性却是可疑行为或入侵的最好标识 。
14
信息收集
? 入侵检测的效果很大程度上依赖于收集信息的可靠 性和正确性
? 要保证用来检测网络系统的软件的完整性 ? 特别是入侵检测系统软件本身应具有相当强的坚固
? 包括文件和目录的内容及属性 ? 在发现被更改的、被安装木马的应用程序方面特别有效
20
? 主动响应 ? 被动响应
Байду номын сангаас响应动作
21
入侵检测性能关键参数
? 误报(false positive) ：如果系统错误地将异常活动定 义为入侵
? 漏报(false negative) ：如果系统未能检测出真正的 入侵行为
? 网络入侵的特点
? 没有地域和时间的限制； ? 通过网络的攻击往往混杂在大量正常的网络活动之间，
隐蔽性强； ? 入侵手段更加隐蔽和复杂。
3
为什么需要IDS？
? 单一防护产品的弱点
? 防御方法和防御策略的有限性 ? 动态多变的网络环境 ? 来自外部和内部的威胁
4
为什么需要IDS？
? 关于防火墙
? 网络边界的设备，只能抵挡外部來的入侵行为 ? 自身存在弱点，也可能被攻破 ? 对某些攻击保护很弱 ? 即使透过防火墙的保护，合法的使用者仍会非法地使用
? 统计模型 ? 误报、漏报较多
? 完整性分析
? 关注某个文件或对象是否被更改 ? 事后分析
17
模式匹配
? 模式匹配就是将收集到的信息与已知的网络入侵和 系统误用模式数据库进行比较，从而发现违背安全 策略的行为

4.3.1 分布式入侵检测框架及检测机制 随着高速网络的发展，网络范围的拓宽，各种分布式网 络技术、网络服务的发展，使原来的网络入侵检测很难适 应现在的状况。因此有必要把检测分析过程也实现分布化。 在分布式结构中，n个检测器分布在网络环境中，直接接 受sensor（传感器）的数据，有效的利用各个主机的资源， 消除了集中式检测的运算瓶颈和安全隐患；同时由于大量 的数据用不着在网络中传输，大大降低了网络带宽的占用， 提高了系统的运行效率。
除了以上两类主要数据分析技术外，研究人员还提出了 一些新的分析技术，如免疫系统、基因算法、数据挖掘、 基于代理的检测等。本节详细内容参见书本P126~P129页。
2020/3/31
3
4.1.3 主要入侵检测模型
如果按照检测对象划分，入侵检测技术又可分为“基于 主机的检测”、“基于网络的检测”和“混合型检测”三 大类。
本节详细内容参见书本P132~P134页。
2020/3/31
7
4.2 入侵检测原理和应用
4.2.1 入侵检测原理 从总体来说，入侵检测系统可以分为两个部分：收集系 统和非系统中的信息然后对收集到的数据进行分析，并采 取相应措施。 1. 信息收集 信息收集包括收集系统、网络、数据及用户活动的状态 和行为。入侵检测利用的信息一般来自：系统和网络日志 文件、非正常的目录和文件改变、非正常的程序执行这三 个方面。 2. 信号分析 对收集到的有关系统、网络、数据及用户活动的状态和 行为等信息，是通过模式匹配、统计分析和完整性分析这 三种手段进行分析的。前两种用于实时入侵检测，完整性 分析用于事后分析。
4.3 分布式入侵检测系统
由于传统入侵检测技术的种种不足，加上新型的分布式 入侵和攻击行为的频繁出现，所以一种新型的入侵检测技 术就诞生了，那就是分布式入侵检测系统（DIDS）。它包 括两方面的含义：首先它是针对分布式网络攻击的检测方 法；其次使用分布式方法检测分布式的攻击，其中的关键 技术为检测信息的协同处理与入侵攻击的全局信息提取。

layer）、消息层（Message layer）和传输层（Negotiated Transport layer）
其中传输层不属于CIDF规范，它可以采用很多种现有的传输机制
来实现
消息层负责对传输的信息进行加密认证，然后将其可靠地从源传
输到目的地，消息层不关心传输的内容，它只负责建立一个可靠 的传输通道
的攻击行为仍一无所知
为什么需要IDS
入侵很容易
入侵教程随处可见 各种工具唾手可得
网络安全工具的特点
防火墙 IDS
Scanner
VPN 防病毒
优点
局限性
可简化网络管理，产品成熟 无法处理网络内部的攻击
实时监控网络安全状态
误警率高，缓慢攻击，新 的攻击模式
完全主动式安全工具，能够了 并不能真正了解网络上即 解网络现有的安全水平，简单 时发生的攻击 可操作，帮助系统管理员和安 全服务人员解决实际问题，
真正的入侵行为
入侵检测系统的分类（1）
按照分析方法（检测方法） 异常检测模型（Anomaly Detection ):首先总 结正常操作应该具有的特征（用户轮廓），当用 户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型（Misuse Detection)：收集非正 常操作的行为特征，建立相关的特征库，当监测 的用户或系统行为与库中的记录相匹配时，系统 就认为这种行为是入侵
• 概述 • 入侵检测方法 • 入侵检测系统的设计原理 • 入侵检测响应机制 • 入侵检测标准化工作 • snort分析 • 展望
概述 • 入侵检测方法 • 入侵检测系统的设计原理 • 入侵检测响应机制 • 入侵检测标准化工作 • 其它 • 展望
IDS存在与发展的必然性
一、网络攻击造成的破坏性和损失日益严重 二、网络安全威胁日益增长 三、单纯的防火墙无法防范复杂多变的攻击

产品组成
BD-NIDS由两部分组成：控制中心和检测引擎 检测引擎 BD-NIDS检测引擎实际是系统运行的核心，它监 听该引擎所在的物理网络上的所有通信信息，并 分析这些网络通信信息，将分析结果与检测引擎 上运行的策略集相匹配，依照匹配结果对网络信 息的交换执行报警、阻断、日志等功能。同时它 还需要完成对控制中心指令的接收和响应工作。 BD-NIDS的检测引擎部分是由策略驱动的网络监 听和分析系统。
入侵检测系统概述
入侵检测系统的分类 按数据来源，分三类：
基于主机的入侵检测系统 基于网络的入侵检测系统 分布式入侵检测系统
按采用的方法，分三类：
基于行为的入侵检测系统 基于模型推理的入侵检测系统 采用两者混合检测的入侵检测系统
入侵检测系统概述
入侵检测系统的分类 按时间，分两类：
实时入侵检测系统 事后入侵检测系统
蓝盾入侵检测系统
广东天海威数码技术有限公司
内
入侵检测系统概述 蓝盾入侵检测系统简介
容
蓝盾入侵检测系统技术强项 蓝盾入侵检测系统主要功能特点 蓝盾入侵检测系统典型应用 蓝盾入侵检测系统基本操作
入侵检测系统概述
关于入侵检测系统 被认为是防火墙之后的第二道安全闸门！！ 被认为是防火墙之后的第二道安全闸门！！ 入侵检测系统（Intrusion Detection System） 就是对网络或操作系统上的可疑行为做出策略反 应，及时切断入侵源 ,记录、并通过各种途径通 知网络管理员，最大幅度地保障系统安全，是防 火墙的合理补充。在不影响网络性能的情况下能 对网络进行监测，从而提供对内部攻击、外部攻 击和误操作的实时保护, 最大幅度地保障系统安 全。
入侵检测系统概述
术语和定义 入侵intrusion：任何企图危害资源完整性、保密 性、可用性的行为。 报警alert：当有入侵正在发生或正在尝试时， IDS发出紧急通知，可以消息、邮件等形式发出。 入侵特征:预先定义好的能够确认入侵行为的特定 信息。 引擎：IDS中进行数据采集、分析的软硬件结合 体。

·可以识别特定类型的攻击，并进行报警，作出防御响应；
·可以使管理人员最新的版本升级添加到程序中；
·允许非专业人员从事系统安全工作；
·可以为信息系统安全提供指导。
2019/11/23
11
2. 局限
但是，与其他任何工具一样，入侵检测也不是万能的，它们的使用存 在如下局限： ·在无人干预的情形下，无法执行对攻击的检测； ·无法感知组织（公司）安全策略的内容； ·不能弥补网络协议的漏洞； ·不能弥补系统提供信息的质量或完整性问题； ·不能分析网络繁忙时的所有事物； ·不能总是对数据包级的攻击进行处理； · ……

根据入侵检测的信息来源不同，可以将入侵检测系统
分为两类：
基于主机的入侵ቤተ መጻሕፍቲ ባይዱ测系统和基于网络的入侵检测系统。
1、基于主机的入侵检测系统：主要用于保护运行关键应 用的服务器。它通过监视与分析主机的审计记录和日志 文件来检测入侵。日志中包含发生在系统上的不寻常和 不期望活动的证据，这些证据可以指出有人正在入侵或 已成功入侵了系统。通过查看日志文件，能够发现成功 的入侵或入侵企图，并很快地启动相应的应急响应程序。
2019/11/23
13
误报
没有一个入侵检测能无敌于误报，因为没有一 个应用系统不会发生错误，原因主要有四个方面。
1、缺乏共享数据的机制 2、缺乏集中协调的机制 3、缺乏揣摩数据在一段时间内变化的能力 4、缺乏有效的跟踪分析
2019/11/23
14
2 入侵检测系统的类型和性能比较
2019/11/23
2
简单地说，入侵检测系统是这样工作的：若有一个 计算机系统，它与网络连接着，或许也同Internet连接， 由于一些原因，允许网络上的授权用户访问该计算机。 例如，有一个连接着Internet的Web服务器，允许一定的 客户、员工和一些潜在的客户访问存放在该Web服务器 上的Web页面。然而，不希望其他员工、顾客或未知的 第三方的未授权访问。一般情况下，可以采用一个防火 墙或者一些类型的认证系统阻止未授权访问。然而，有 时简单的防火墙措施或者认证系统可能被攻破。入侵检 测是一系列在适当的位置上对计算机未授权访问进行警 告的机制。对于假冒身份的入侵者，入侵检测系统也能 采取一些措施来拒绝其访问。

• 入侵检测系统是继防火墙之后，保护网络安全的第 二道防线，它可以在网络受到攻击时，发出警报或 者采取一定的干预措施，以保证网络的安全。
2021
3
6.1入侵检测系统
• 我们可以通过入侵检测系统(IDS)和监控时间日志两种 方法就可以及时得到有关的网络安全事件。
2021
4
入侵检测系统
• 入侵检测系统(IDS)是一种用来确定不需要的网 络活动，并向有关人员发警报以便及时采取措 施的检测系统。
第6章 入侵检测和入侵防御系统
2021
1
目录
1 入侵检测系统 2 主动响应与IPS 3 入侵防御讨论
2021
2
6.1入侵检测系统
• 传统上，企业网络一般采用趋复杂多样， 单纯的防火墙策略已经无法满足对网络安全的进一 步需要，网络的防卫必须采用一种纵深的、多样化 的手段。
全，任何响应系统必须与该网关通过本地接口连接， 要么通过远程接口连接，以便能够影响路由决策(可 以使用SnortSam软件实现)，或者流量直接经过主 动响应系统本身(可以使用Fwsnort或snort_inline 软件实现)。
➢ SnortSam、Fwsnort和snort_inline软件如何 保护网络不受攻击，在本节内有详细的介绍。
➢ 虽然Snort的功能非常强大，但其代码非常简洁，可 移植性非常好。迄今为止数百万的下载量使得Snort 成为使用最为广泛的入侵保护和检测系统，并且成 为了事实上的行业标准。
2021
9
Linux系统上Snort配置
& Snort最主要的功能是对入侵进行检测，其工作方式 是对抓取的数据包进行分析后，与特定的规则模式进 行匹配，如果能匹配，则认为发生了入侵事件。

目的主机IP地址
2020/11/24ARP/RARP报文格式 Nhomakorabea8
TCP/IP报文格式
0
版本号
8
16
报头长度 服务类型
24
32
报文总长度
报文标识
标志
分段偏移量
生存期
协议号
报头校验和
源IP地址
目的IP地址
选项+填充数据
报文数据
2020/11/24
IP数据报头格式
9
TCP/IP报文格式
0
8
16
24
IP报头
2020/11/24
15
每个网络接口都有一个硬件物理地址和一个广播 地址
一个合法的网络接口应该只响应以下两种数据帧: 1. 帧目标域含有和本地网络接口相匹配的硬件地址 2. 帧的目标域含有”广播地址” 如果某台机器的网络接口处于混杂模式,则可以
捕获网络上所有的报文和帧,成为一个Sniffer
6.2 网络数据包的捕获
网络数据包捕获机制是网络入侵检测系统的基础 网络数据包捕获的要求: 1. 保证采用的捕获机制能捕获到所有网络上的数据
包 2. 数据捕获机制的捕获数据包效率直接影响整个网
络入侵检测系统的运行速度 Sniffer是一种常用的数据捕获方法
2020/11/24
14
局域网和网络设备的工作原理
Hub工作原理: 共享Hub是基于总线方式,物理 上是广播网络;交换式Hub只将数据发送到相应 端口
网卡工作原理: 先接收数据头的目的MAC地址, 如果该接收则产生中断信号通知CPU,如果不 该接收则丢弃不管
局域网工作过程: 帧通过网络驱动程序进行封 装, 通过网卡发送到网线上,到达目的机器,再执 行相反的过程. 接收端机器的以太网卡捕获到 帧并通知操作系统, 然后进行存储