课程05 安全检测技术PPT课件

5.1.1 IDS分类
– 入侵模式匹配的关键是如何表达入侵的模式，把入侵 与正常行为区分开来。入侵模式匹配的优点是误报少， 局限是它只能发现已知的攻击，对未知的攻击无能为 力。
5.1.1 IDS分类
▪ (2) 根据数据源不同分类 ▪ 根据检测系统所依据分析的原始数据不同，可将
入侵检测分为来自系统日志和网络数据包两种。
5.1.1 IDS分类
▪ 入侵检测的早期研究主要集中在对主机系统日志
文件的分析上，因为当时的用户对象局限于本地 用户。操作系统的日志文件中包含了详细的用户 信息和系统调用数据，从中可以分析系统是否被 侵入以及侵入者留下的痕迹等审计信息。
5.1.1 IDS分类
▪ 随着因特网的普及，用户可随机地从不同客户机
5.1 入侵检测技术与网络入侵检测系统产品
▪ 利用最新的可适应网络安全技术和P2DR (Policy，
Protection，Detection，Response，即策略、防护、 检测、响应) 安全模型 (图5.1) ，已经可以深入研 究入侵事件、入侵手段本身及被入侵目标的漏洞 等。随着P2DR安全模型被广泛认同，入侵检测 系统在信息系统安全中占据越来越重要的地位。
5.1.1 IDS分类
▪ 可以根据检测方法或者根据数据源的不同给IDS
分类。
5.1.1 IDS分类
▪ (1) 根据检测方法不同分类 ▪ 按具体的检测方法，可将入侵检测系统分为基于
行为和基于知识两类。
– 1) 基于行为的检测，也称为异常检测。是指根据使用 者的行为或资源使用状况的正常程度来判断是否发生 入侵，而不依赖具体行为是否出现，即建立被检测系 统正常行为的参考库，并通过与当前行为进行比较来 寻找偏离参考库的异常行为。
第5章 安全检测技术
▪ 5.1 入侵检测技术与网络入侵检测系统产品 ▪ 5.2 漏洞检测技术和MBSA
5.1 入侵检测技术与网络入侵检测系统产品
▪ 入侵检测系统 (Intrusion Detection System，IDS)
是一类专门面向网络入侵的安全监测系统，它从 计算机网络系统中的若干关键点收集信息，并分 析这些信息，查看网络中是否有违反安全策略的 行为和遭到袭击的迹象。入侵检测被认为是防火 墙之后的第二道安全防线，在不影响网络性能的 情况下能对网络进行监测，从而提供对内部攻击、 外部攻击和误操作的实时保护。
5.1 入侵检测技术与网络入侵检测系统产品
▪ 入侵检测系统主要执行以下任务：
– 1) 监视、分析用户及系统活动。 – 2) 系统构造和弱点的审计。 – 3) 识别反映已知进攻的活动模式并报警。 – 4) 异常行为模式的统计分析。 – 5) 评估重要系统和数据文件的完整性。 – 6) 对操作系统的审计追踪管理，并识别用户违反安全
策略的行为。
5.1 入侵检测技术与网络入侵检测系统产品
▪ 一个成功的入侵检测系统，不但可使系统管理员时
刻了解网络系统 (包括程序、文件和硬件设备等) 的 任何变更，还能给网络安全策略的制订提供指南。 同时，它应该是管理和配置简单，使非专业人员能 容易地获得网络安全。当然，入侵检测的规模还应 根据网络威胁、系统构造和安全需求的改变而改变。 入侵检测系统在发现入侵后，应及时做出响应，包 括切断网络连接、记录事件和报警等。
5.1.1 IDS分类
– 2) 基于知识的检测，也被称为误用检测。是指运用已 知攻击方法，根据已定义好的入侵模式，通过与这些 入侵模式是否匹配来判断入侵。入侵模式是入侵过程 的特征、条件、排列以及事件间的关系，即具体入侵 行为的迹象。这些迹象不仅对分析已经发生的入侵行 为有帮助，而且对即将发生的入侵也有警戒作用，因 为只要部分满足这些入侵迹象就意味着可能有入侵发 生。
5.1.1 IDS分类
– 对于异常阈值与特征的选择是异常发现技术的关键。 例如，通过流量统计分析将异常时间的异常网络流量 视为可疑。
– 异常发现技术的局限是，并非所有的入侵都表现为异 常，而且系统的轨迹也难以计算和更新。例如，一般 在白天使用计算机的某用户，如果他突然在午夜注册 登记，则有可能被认为是入侵者在使用。
上登录，主机间也经常需要交换信息，网络数据 包中同样也含有用户信息。这样，就使入侵检测 的对象范围扩大至整个网络。
▪ 此外，还可根据系统运行特性分为实时检测和周
期性检测，以及根据检测到入侵行为后是否采取 相应措施而分为主动型和被动型等。入侵检测系 统中两类检测的关系如图5.2所示。
原始数据 系统日志 网络数据包
图5.1 P2DR安全模型
5.1 入侵检测技术与网络入侵检测系统产品
▪ P2DR模型是动态安全模型(可适应网络安全模型)
的代表性模型。在整体的安全策略的控制和指导 下，在综合运用防护工具 (如防火墙、操作系统 身份认证、加密等手段) 的同时，利用检测工具 (如漏洞评估、入侵检测等系统) 了解和评估系统 的安全状态，通过适当的响应将系统调整到“最 安全”和“风险最低”的状态。
第五章 安全检测技术
第5章 安全检测技术
▪ 传统的操作系统加固技术和防火墙技术等都是静
态安全防御技术，对网络环境下日新月异的攻击 手段缺乏主动的反应；而入侵检测技术则是动态 安全技术的核心技术之一，可以作为防火墙的合 理补充，帮助系统对付网络攻击，扩展系统管理 员的安全管理能力 (包括安全审计、安全检测、 入侵识别、入侵取证和响应等) ，提高了信息安 全基础结构的完整性。
检测原理 异常检测 误用检测
报警 报警并做出响应措施
实时检测
周期性检测
图5.2 两类检测的关系
5.1.2 IDS的基本原理
▪ 由于对安全事件的检测通常包括了大量复杂的步
骤，涉及到很多方面，任何单一技术都很难提供 完备的检测能力，需要综合多个检测系统以达到 尽量完备的检测能力。在根据安全事件报警的标 准格式所定义的安全模型中，对一些入侵检测Βιβλιοθήκη Baidu 语进行了规范，包括：
5.1 入侵检测技术与网络入侵检测系统产品
▪ 目前，入侵检测系统主要以模式匹配技术为主，
并结合异常匹配技术。从实现方式上一般分为两 种：基于主机和基于网络，而一个完备的入侵检 测系统则一定是基于主机和基于网络这两种方式 兼备的分布式系统。另外，能够识别的入侵手段 数量的多少、最新入侵手段的更新是否及时也是 评价入侵检测系统的关键指标。