入侵检测技术

–
– – –
如果主机数目多，代价过大
不能监控网络上的情况
不如基于网络的入侵检查系统快捷
额外产生的安全问题（会降低应用系统的效率）
基于网络的入侵检测系统
基于网络的入侵检测系统的原理
网络数据
检测器
分析结果
Biblioteka Baidu
分析引擎
安全策略
网络安全数据库

入侵检测系统安装在比较重要的网段内；
该结构重点放在对网络本身的入侵行为上，如DNS欺骗、TC P劫持、端口扫描等，以类似嗅探器的特定工具来实时截获网 络数据包，并在其中寻找入侵的痕迹。
–
–
协同工作能力弱
难以处理加密的会话
–
不适合交换环境和高速环境
两种系统的比较
HIDS
在宿主系统审计日志文件或其 他操作中寻找攻击特征 HIDS安装在被保护的机器之上 HIDS往往不能识别基于IP的拒 绝服务攻击和碎片攻击
NIDS
使用监听的方式，在网络通信 中寻找符合网络入侵模板的数 据包 独立于被保护的机器之外 如果攻击不经过网络基于网络 的IDS无法检测到
基于网络的入侵检测系统的优点
– –
检测范围广 无需改变主机配置和性能
–
独立性和操作系统无关性（不会增加网络中主机的
负担）
– –
安装方便
既可以用于实时检测系统，也是记录审计系统，可 以做到实时保护，事后分析取证
基于网络的入侵检测系统的缺点
– –
不能检测不同网段的网络包 很难检测复杂的需要大量计算的攻击
它从计算机网络系统中的若干关键点收集信息，并分析这些信息；
根据信息来源不同，IDS可分为：

基于主机的入侵检测系统（HIDS） 基于网络的入侵检测系统（NIDS）

基于主机的入侵检测系统

入侵检测系统安装在被检测的主机上 HIDS检测目标是主机系统和系统本地用户 智能分析主机提供的审计信息，发现不安全的行为后采取相 应的措施
3. 对用户的非正常活动进行统计分析，发现入侵行为的规律；
4. 确保系统程序和数据的一致性与正确性； 5. 识别攻击的活动模式，并向网管人员报警； 6. 对异常活动的统计分析； 7. 操作系统审计跟踪管理，识别违反政策的用户活动；
入侵检测系统的分类
入侵检测技术IDS是一种主动保护自己免受攻击的网络安全技术；
• 或利用正规的数学表达式来表示安全状态的变化；
模式发现的关键是如何表达入侵的模式，把真正的入侵行为与正常
行为区分开来。
模式发现技术的优缺点
优 点 缺 点
只需收集相关的数据集合； 显著减少系统负担； 且技术已相当成熟；
需要不断升级以对付不断出现 的黑客攻击手法； 不能检测到从未出现过的黑客
模式发现技术 异常发现技术 完整性分析技术
模式发现技术
模式发现是基于知识的检测技术；
它假定所有入侵行为和手段（及其变种）都能够表达为一种模式或
特征，那么所有已知的入侵方法都可以用匹配的方式发现。
实现方式：将收集到的信息与已知的网络入侵和系统误用模式数据
库进行比较，从而发现违背安全策略的行为。 如： • 通过字符串匹配以寻找一个简单的条目或指令；
管理控制台
响应单元
事件分析器
事件数据库
事件产生器 用于 事后分析
• 作用是从整个计算环境中收集信息； • 信息收集包括收集：系统、网络、 数据及用户活动的状态和行为； • 并在不同关键点（不同网段和不同 主机）收集；
入侵检测系统的功能
入侵检测系统被认为是防火墙系统之后的第二道安全闸门，是一种动 态的安全检测技术。 一个合格的入侵检测系统应具备以下功能： 1. 监视用户和系统的运行状况，查找非法和合法用户的越权操作； 2. 检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞；
软硬件故障 黑客攻击技术 物理环境威胁 恶意代码和病 毒
网络
无作为或 操作失误 越权和滥用
物理攻击
蠕虫
泄密、篡 改、抵赖
管理不到位
入侵检测概念
入侵检测系统（Intrusion Detection System）是从计
算机网络系统中的关键点收集信息，分析这些信息，利 用模式匹配或异常检测技术来检查网络中是否有违反安 全策略的行为和遭到袭击的迹象。 IDS是信息与网络系统安全的主要设备之一； 是防火墙系统的一个重要补充；
基于主机的入侵检测系统的优点
– –
检测准确率高（精确地判断攻击行为是否成功） 适用于加密及交换环境
–
–
近于实时的检测和响应
不要求额外的硬件设备
–
–
能够检查到基于网络的系统检查不出的攻击
监视特定的系统活动（主机上特定用户）
基于主机的入侵检测系统的缺 点
–
HIDS依赖性强（系统必须是特定的，没有遭到破 坏的操作系统中才能正常工作）
入侵检测系统的作用和目的
… …
• • • •
交换机
智能发现攻击 记录并发出报警信息 启动响应动作 审计跟踪
Internet
内部网
入侵检测系统模型
IDS的通用模型图
事件数据库
• 是存放各种中间和 最终数据的地方的 统称； 用于实时的 • 可以是数据库也可 入侵检测 以是文本文件； • 分析得到的数据； • 分析手段：模式匹 配、统计分析和完 整性分析； • 会根据事件数据库的内容智能地形 成分析报告； • 对分析结果作出 反应的功能单元； • 反应有：切断连 接、改变文件属 性、发动对攻击 者的反击、报警 （邮件或手机短 信报警）
混合型入侵检测系统
混合型入侵检测系统（Hybrid IDS）
在新一代的入侵检测系统中将把现在的基于网络和基于
主机这两种检测技术很好地集成起来，提供集成化的攻击签
名检测报告和事件关联功能。 可以深入地研究入侵事件、入侵手段本身及被入侵目标 的漏洞等。
入侵检测系统采用的技术
入侵检测技术是动态安全技术的核心技术之一； （传统的操作系统加固技术和防火墙隔离技术等都是静态安全 防御技术） 入侵检测系统的核心功能是对各种事件进行分析，从中发现 违反安全策略的行为； 从分析方式上来讲，入侵检测系统一般采用如下3项技术：
入侵检测技术
教师：梁旭玲
概 述
一般防范网络攻击最常用的方法是防火墙。
然而防火墙系统的局限性导致它无法防范内部网络
之间的通信。 如果把防火墙比作守卫网络大门的门卫，那入侵检 测系统（IDS）就是主动监视内部网络安全的巡警。
入侵的定义
入侵：是指任何企图危及资源的完整性、机密性和可用性的活动