ch5 入侵检测技术
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第五章 入侵检测技术
第5章 入侵检测技术 章 内容提要: 内容提要:
入侵检测概述 入侵检测的技术实现 分布式入侵检测 入侵检测系统的标准 入侵检测系统示例 本章小结
第五章 入侵检测技术
5.1 入侵检测概述
入侵检测技术研究最早可追溯到1980年 James P.Aderson所写的一份技术报告, 他首先 所写的一份技术报告, 所写的一份技术报告 提 出 了 入 侵 检 测 的 概 念 . 1 9 8 7 年 Dorothy Denning提出了入侵检测系统 ( IDS,Intrusion 提出了入侵检测系统( 提出了入侵检测系统 , Detection System)的抽象模型(如图 所示), 所示) )的抽象模型(如图5-1所示 首次提出了入侵检测可作为一种计算机系统安全 防御措施的概念, 防御措施的概念,与传统的加密和访问控制技术 相比, 是全新的计算机安全措施. 相比,IDS是全新的计算机安全措施. 是全新的计算机安全措施
返回本章首页
第五章 入侵检测技术
2.基于检测理论的分类 . 从具体的检测理论上来说, 从具体的检测理论上来说,入侵检测又可分 为异常检测和误用检测. 为异常检测和误用检测. 异常检测( 异常检测 ( Anomaly Detection) 指根据使 ) 用者的行为或资源使用状况的正常程度来判断是 否入侵,而不依赖于具体行为是否出现来检测. 否入侵,而不依赖于具体行为是否出现来检测. 误用检测( 误用检测 ( Misuse Detection) 指运用已知 ) 攻击方法,根据已定义好的入侵模式, 攻击方法,根据已定义好的入侵模式,通过判断 这些入侵模式是否出现来检测. 这些入侵模式是否出现来检测.
返回本章首页
第五章 入侵检测技术
5.1.2 系统结构
由于网络环境和系统安全策略的差异, 由于网络环境和系统安全策略的差异,入侵 检测系统在具体实现上也有所不同. 检测系统在具体实现上也有所不同.从系统构成 上看,入侵检测系统应包括事件提取,入侵分析, 上看,入侵检测系统应包括事件提取,入侵分析, 入侵响应和远程管理四大部分, 入侵响应和远程管理四大部分,另外还可能结合 安全知识库,数据存储等功能模块, 安全知识库,数据存储等功能模块,提供更为完 善的安全检测及数据分析功能(如图5-3所示 所示) 善的安全检测及数据分析功能 ( 如图 所示 ) .
返回本章首页
第五章 入侵检测技术
近年来,入侵检测技术研究的主要创新有: 近年来,入侵检测技术研究的主要创新有: Forrest等将免疫学原理运用于分布式入侵检测 等将免疫学原理运用于分布式入侵检测 领域;1998年Ross Anderson和Abida Khattak将 领域; 年 和 将 信息检索技术引进入侵检测; 信息检索技术引进入侵检测;以及采用状态转换 分析, 分析,数据挖掘和遗传算法等进行误用和异常检 测.
返回本章首页
第五章 入侵检测技术
响应处理
知识库
入侵分析
数据存储
数据提取 原始数据流
图5-3 入侵检测系统结构
返回本章首页
第五章 入侵检测技术
入侵检测的思想源于传统的系统审计, 入侵检测的思想源于传统的系统审计,但拓 宽了传统审计的概念, 宽了传统审计的概念,它以近乎不间断的方式进 行安全检测,从而可形成一个连续的检测过程. 行安全检测,从而可形成一个连续的检测过程. 这通常是通过执行下列任务来实现的: 这通常是通过执行下列任务来实现的:
返回本章首页
第五章 入侵检测技术
5.1.3 系统分类
由于功能和体系结构的复杂性, 由于功能和体系结构的复杂性,入侵检测按 照不同的标准有多种分类方法.可分别从数据源, 照不同的标准有多种分类方法.可分别从数据源, 检测理论, 检测理论,检测时效三个方面来描述入侵检测系 统的类型. 统的类型. 1.基于数据源的分类 . 通常可以把入侵检测系统分为五类, 通常可以把入侵检测系统分为五类,即基于 主机,基于网络,混合入侵检测, 主机,基于网络,混合入侵检测,基于网关的入 侵检测系统以及文件完整性检查系统. 侵检测系统以及文件完整性检查系统.
返回本章首页
第五章 入侵检测技术
3.基于检测时效的分类 . IDS在处理数据的时候可以采用实时在线检 在处理数据的时候可以采用实时在线检 测方式,也可以采用批处理方式, 测方式,也可以采用批处理方式,定时对处理原 始数据进行离线检测,这两种方法各有特点( 始数据进行离线检测,这两种方法各有特点(如 所示) 图5-5所示). 所示 离线检测方式将一段时间内的数据存储起来, 离线检测方式将一段时间内的数据存储起来, 然后定时发给数据处理单元进行分析, 然后定时发给数据处理单元进行分析,如果在这 段时间内有攻击发生就报警. 段时间内有攻击发生就报警.在线检测方式的实 时处理是大多数IDS所采用的办法,由于计算机 所采用的办法, 时处理是大多数 所采用的办法 硬件速度的提高, 硬件速度的提高,使得对攻击的实时检测和响应 成为可能. 成为可能. 返回本章首页
监视,分析用户及系统活动; 监视,分析用户及系统活动; 系统构造和弱点的审计; 系统构造和弱点的审计; 识别分析知名攻击的行为特征并告警; 识别分析知名攻击的行为特征并告警; 异常行为特征的统计分析; 异常行为特征的统计分析; 评估重要系统和数据文件的完整性; 评估重要系统和数据文件的完整性; 操作系统的审计跟踪管理, 操作系统的审计跟踪管理,并识别用户违反安全策略 的行为. 的行为.
返回本章首页
第五章 入侵检测技术
5.1.1 入侵检测原理
给出了入侵检测的基本原理图. 图 5-2给出了入侵检测的基本原理图 . 入侵 给出了入侵检测的基本原理图 检测是用于检测任何损害或企图损害系统的保密 完整性或可用性的一种网络安全技术. 性,完整性或可用性的一种网络安全技术.它通 过监视受保护系统的状态和活动, 过监视受保护系统的状态和活动,采用误用检测 ( Misuse Detection) 或 异 常 检 测 ( Anomaly ) Detection) 的方式 , 发现非授权的或恶意的系 ) 的方式, 统及网络行为,为防范入侵行为提供有效的手段. 统及网络行为,为防范入侵行为提供有效的手段.
返回本章首页
第五章 入侵检测技术
1 9 8 8 年 Teresa Lunt 等 人 进 一 步 改 进 了 Denning提出的入侵检测模型 , 并创建了 提出的入侵检测模型, 提出的入侵检测模型 并创建了IDES (Intrusion Detection Expert System),该系统 ) 用于检测单一主机的入侵尝试, 用于检测单一主机的入侵尝试,提出了与系统平 台无关的实时检测思想, 年开发的NIDES 台无关的实时检测思想 , 1995年开发的 年开发的 (Next-Generation Intrusion Detection Expert System) 作为 ) 作为IDES完善后的版本可以检测出多 完善后的版本可以检测出多 个主机上的入侵. 个主机上的入侵.
返回本章首页
第五章 入侵检测技术
图5-2 入侵检测原理框图
返回本章首页
第五章 入侵检测技术
入侵检测系统( 入侵检测系统(Intrusion Detection System, , IDS)就是执行入侵检测任务的硬件或软件产品. )就是执行入侵检测任务的硬件或软件产品. IDS通过实时的分析,检查特定的攻击模式,系 通过实时的分析, 通过实时的分析 检查特定的攻击模式, 统配置,系统漏洞, 统配置,系统漏洞,存在缺陷的程序版本以及系 统或用户的行为模式,监控与安全有关的活动. 统或用户的行为模式,监控与安全有关的活动. 一个基本的入侵检测系统需要解决两个问 题:一是如何充分并可靠地提取描述行为特征的 数据;二是如何根据特征数据, 数据;二是如何根据特征数据,高效并准确地判 定行为的性质. 定行为的性质.
返回本章首页
第五章 入侵检测技术
1994年, Mark Crosbie和Gene Spafford建 年 和 建 议使用自治代理( 议使用自治代理 ( autonomous agents) 以提高 ) IDS的可伸缩性,可维护性,效率和容错性,该 的可伸缩性, 的可伸缩性 可维护性,效率和容错性, 理念非常符合计算机科学其他领域(如软件代理, 理念非常符合计算机科学其他领域(如软件代理, software agent) 正在进行的相关研究 . 另一个 agent) 正在进行的相关研究. 致力于解决当代绝大多数入侵检测系统伸缩性不 足的方法于1996年提出,这就是 年提出, 足的方法于 年提出 这就是GrIDS(Graph( based Intrusion Detection System)的设计和实 ) 现,该系统可以方便地检测大规模自动或协同方 式的网络攻击. 式的网络攻击.
返回本章首页
Baidu Nhomakorabea
第五章 入侵检测技术
5.2.1 入侵检测分析模型
分析是入侵检测的核心功能, 分析是入侵检测的核心功能,它既能简单到 像一个已熟悉日志情况的管理员去建立决策表, 像一个已熟悉日志情况的管理员去建立决策表, 也能复杂得像一个集成了几百万个处理的非参数 系统.入侵检测的分析处理过程可分为三个阶段: 系统.入侵检测的分析处理过程可分为三个阶段: 构建分析器,对实际现场数据进行分析, 构建分析器,对实际现场数据进行分析,反馈和 提炼过程.其中,前两个阶段都包含三个功能: 提炼过程.其中,前两个阶段都包含三个功能: 数据处理,数据分类(数据可分为入侵指示, 数据处理,数据分类(数据可分为入侵指示,非 入侵指示或不确定)和后处理. 入侵指示或不确定)和后处理.
返回本章首页
第五章 入侵检测技术
返回本章首页
第五章 入侵检测技术
入侵检测技术研究最早可追溯到1980年 James P.Aderson所写的一份技术报告, 他首先 所写的一份技术报告, 所写的一份技术报告 提 出 了 入 侵 检 测 的 概 念 . 1 9 8 7 年 Dorothy Denning提出了入侵检测系统 ( IDS,Intrusion 提出了入侵检测系统( 提出了入侵检测系统 , Detection System)的抽象模型(如图 所示), 所示) )的抽象模型(如图5-1所示 首次提出了入侵检测可作为一种计算机系统安全 防御措施的概念, 防御措施的概念,与传统的加密和访问控制技术 相比, 是全新的计算机安全措施. 相比,IDS是全新的计算机安全措施. 是全新的计算机安全措施
返回本章首页
第五章 入侵检测技术
1990年 , Heberlein等人提出了一个具有里 年 等人提出了一个具有里 程碑意义的新型概念:基于网络的入侵检测—— 程碑意义的新型概念:基于网络的入侵检测 网 络 安 全 监 视 器 NSM(Network Security ( Monitor).1991年,NADIR(Network Anomaly ) 年 ( Detection and Intrusion Reporter) 与 DIDS ) (Distribute Intrusion Detection System) 提出 ) 了通过收集和合并处理来自多个主机的审计信息 可以检测出一系列针对主机的协同攻击. 可以检测出一系列针对主机的协同攻击.
第五章 入侵检测技术
返回本章首页
第五章 入侵检测技术
5.2 入侵检测的技术实现
对于入侵检测的研究, 对于入侵检测的研究,从早期的审计跟踪数 据分析,到实时入侵检测系统, 据分析,到实时入侵检测系统,到目前应用于大 型网络的分布式检测系统, 型网络的分布式检测系统,基本上已发展成为具 有一定规模和相应理论的研究领域. 有一定规模和相应理论的研究领域.入侵检测的 核心问题在于如何对安全审计数据进行分析, 核心问题在于如何对安全审计数据进行分析,以 检测其中是否包含入侵或异常行为的迹象.这里, 检测其中是否包含入侵或异常行为的迹象.这里, 我们先从误用检测和异常检测两个方面介绍当前 关于入侵检测技术的主流技术实现, 关于入侵检测技术的主流技术实现,然后对其它 类型的检测技术作简要介绍. 类型的检测技术作简要介绍.
第5章 入侵检测技术 章 内容提要: 内容提要:
入侵检测概述 入侵检测的技术实现 分布式入侵检测 入侵检测系统的标准 入侵检测系统示例 本章小结
第五章 入侵检测技术
5.1 入侵检测概述
入侵检测技术研究最早可追溯到1980年 James P.Aderson所写的一份技术报告, 他首先 所写的一份技术报告, 所写的一份技术报告 提 出 了 入 侵 检 测 的 概 念 . 1 9 8 7 年 Dorothy Denning提出了入侵检测系统 ( IDS,Intrusion 提出了入侵检测系统( 提出了入侵检测系统 , Detection System)的抽象模型(如图 所示), 所示) )的抽象模型(如图5-1所示 首次提出了入侵检测可作为一种计算机系统安全 防御措施的概念, 防御措施的概念,与传统的加密和访问控制技术 相比, 是全新的计算机安全措施. 相比,IDS是全新的计算机安全措施. 是全新的计算机安全措施
返回本章首页
第五章 入侵检测技术
2.基于检测理论的分类 . 从具体的检测理论上来说, 从具体的检测理论上来说,入侵检测又可分 为异常检测和误用检测. 为异常检测和误用检测. 异常检测( 异常检测 ( Anomaly Detection) 指根据使 ) 用者的行为或资源使用状况的正常程度来判断是 否入侵,而不依赖于具体行为是否出现来检测. 否入侵,而不依赖于具体行为是否出现来检测. 误用检测( 误用检测 ( Misuse Detection) 指运用已知 ) 攻击方法,根据已定义好的入侵模式, 攻击方法,根据已定义好的入侵模式,通过判断 这些入侵模式是否出现来检测. 这些入侵模式是否出现来检测.
返回本章首页
第五章 入侵检测技术
5.1.2 系统结构
由于网络环境和系统安全策略的差异, 由于网络环境和系统安全策略的差异,入侵 检测系统在具体实现上也有所不同. 检测系统在具体实现上也有所不同.从系统构成 上看,入侵检测系统应包括事件提取,入侵分析, 上看,入侵检测系统应包括事件提取,入侵分析, 入侵响应和远程管理四大部分, 入侵响应和远程管理四大部分,另外还可能结合 安全知识库,数据存储等功能模块, 安全知识库,数据存储等功能模块,提供更为完 善的安全检测及数据分析功能(如图5-3所示 所示) 善的安全检测及数据分析功能 ( 如图 所示 ) .
返回本章首页
第五章 入侵检测技术
近年来,入侵检测技术研究的主要创新有: 近年来,入侵检测技术研究的主要创新有: Forrest等将免疫学原理运用于分布式入侵检测 等将免疫学原理运用于分布式入侵检测 领域;1998年Ross Anderson和Abida Khattak将 领域; 年 和 将 信息检索技术引进入侵检测; 信息检索技术引进入侵检测;以及采用状态转换 分析, 分析,数据挖掘和遗传算法等进行误用和异常检 测.
返回本章首页
第五章 入侵检测技术
响应处理
知识库
入侵分析
数据存储
数据提取 原始数据流
图5-3 入侵检测系统结构
返回本章首页
第五章 入侵检测技术
入侵检测的思想源于传统的系统审计, 入侵检测的思想源于传统的系统审计,但拓 宽了传统审计的概念, 宽了传统审计的概念,它以近乎不间断的方式进 行安全检测,从而可形成一个连续的检测过程. 行安全检测,从而可形成一个连续的检测过程. 这通常是通过执行下列任务来实现的: 这通常是通过执行下列任务来实现的:
返回本章首页
第五章 入侵检测技术
5.1.3 系统分类
由于功能和体系结构的复杂性, 由于功能和体系结构的复杂性,入侵检测按 照不同的标准有多种分类方法.可分别从数据源, 照不同的标准有多种分类方法.可分别从数据源, 检测理论, 检测理论,检测时效三个方面来描述入侵检测系 统的类型. 统的类型. 1.基于数据源的分类 . 通常可以把入侵检测系统分为五类, 通常可以把入侵检测系统分为五类,即基于 主机,基于网络,混合入侵检测, 主机,基于网络,混合入侵检测,基于网关的入 侵检测系统以及文件完整性检查系统. 侵检测系统以及文件完整性检查系统.
返回本章首页
第五章 入侵检测技术
3.基于检测时效的分类 . IDS在处理数据的时候可以采用实时在线检 在处理数据的时候可以采用实时在线检 测方式,也可以采用批处理方式, 测方式,也可以采用批处理方式,定时对处理原 始数据进行离线检测,这两种方法各有特点( 始数据进行离线检测,这两种方法各有特点(如 所示) 图5-5所示). 所示 离线检测方式将一段时间内的数据存储起来, 离线检测方式将一段时间内的数据存储起来, 然后定时发给数据处理单元进行分析, 然后定时发给数据处理单元进行分析,如果在这 段时间内有攻击发生就报警. 段时间内有攻击发生就报警.在线检测方式的实 时处理是大多数IDS所采用的办法,由于计算机 所采用的办法, 时处理是大多数 所采用的办法 硬件速度的提高, 硬件速度的提高,使得对攻击的实时检测和响应 成为可能. 成为可能. 返回本章首页
监视,分析用户及系统活动; 监视,分析用户及系统活动; 系统构造和弱点的审计; 系统构造和弱点的审计; 识别分析知名攻击的行为特征并告警; 识别分析知名攻击的行为特征并告警; 异常行为特征的统计分析; 异常行为特征的统计分析; 评估重要系统和数据文件的完整性; 评估重要系统和数据文件的完整性; 操作系统的审计跟踪管理, 操作系统的审计跟踪管理,并识别用户违反安全策略 的行为. 的行为.
返回本章首页
第五章 入侵检测技术
5.1.1 入侵检测原理
给出了入侵检测的基本原理图. 图 5-2给出了入侵检测的基本原理图 . 入侵 给出了入侵检测的基本原理图 检测是用于检测任何损害或企图损害系统的保密 完整性或可用性的一种网络安全技术. 性,完整性或可用性的一种网络安全技术.它通 过监视受保护系统的状态和活动, 过监视受保护系统的状态和活动,采用误用检测 ( Misuse Detection) 或 异 常 检 测 ( Anomaly ) Detection) 的方式 , 发现非授权的或恶意的系 ) 的方式, 统及网络行为,为防范入侵行为提供有效的手段. 统及网络行为,为防范入侵行为提供有效的手段.
返回本章首页
第五章 入侵检测技术
1 9 8 8 年 Teresa Lunt 等 人 进 一 步 改 进 了 Denning提出的入侵检测模型 , 并创建了 提出的入侵检测模型, 提出的入侵检测模型 并创建了IDES (Intrusion Detection Expert System),该系统 ) 用于检测单一主机的入侵尝试, 用于检测单一主机的入侵尝试,提出了与系统平 台无关的实时检测思想, 年开发的NIDES 台无关的实时检测思想 , 1995年开发的 年开发的 (Next-Generation Intrusion Detection Expert System) 作为 ) 作为IDES完善后的版本可以检测出多 完善后的版本可以检测出多 个主机上的入侵. 个主机上的入侵.
返回本章首页
第五章 入侵检测技术
图5-2 入侵检测原理框图
返回本章首页
第五章 入侵检测技术
入侵检测系统( 入侵检测系统(Intrusion Detection System, , IDS)就是执行入侵检测任务的硬件或软件产品. )就是执行入侵检测任务的硬件或软件产品. IDS通过实时的分析,检查特定的攻击模式,系 通过实时的分析, 通过实时的分析 检查特定的攻击模式, 统配置,系统漏洞, 统配置,系统漏洞,存在缺陷的程序版本以及系 统或用户的行为模式,监控与安全有关的活动. 统或用户的行为模式,监控与安全有关的活动. 一个基本的入侵检测系统需要解决两个问 题:一是如何充分并可靠地提取描述行为特征的 数据;二是如何根据特征数据, 数据;二是如何根据特征数据,高效并准确地判 定行为的性质. 定行为的性质.
返回本章首页
第五章 入侵检测技术
1994年, Mark Crosbie和Gene Spafford建 年 和 建 议使用自治代理( 议使用自治代理 ( autonomous agents) 以提高 ) IDS的可伸缩性,可维护性,效率和容错性,该 的可伸缩性, 的可伸缩性 可维护性,效率和容错性, 理念非常符合计算机科学其他领域(如软件代理, 理念非常符合计算机科学其他领域(如软件代理, software agent) 正在进行的相关研究 . 另一个 agent) 正在进行的相关研究. 致力于解决当代绝大多数入侵检测系统伸缩性不 足的方法于1996年提出,这就是 年提出, 足的方法于 年提出 这就是GrIDS(Graph( based Intrusion Detection System)的设计和实 ) 现,该系统可以方便地检测大规模自动或协同方 式的网络攻击. 式的网络攻击.
返回本章首页
Baidu Nhomakorabea
第五章 入侵检测技术
5.2.1 入侵检测分析模型
分析是入侵检测的核心功能, 分析是入侵检测的核心功能,它既能简单到 像一个已熟悉日志情况的管理员去建立决策表, 像一个已熟悉日志情况的管理员去建立决策表, 也能复杂得像一个集成了几百万个处理的非参数 系统.入侵检测的分析处理过程可分为三个阶段: 系统.入侵检测的分析处理过程可分为三个阶段: 构建分析器,对实际现场数据进行分析, 构建分析器,对实际现场数据进行分析,反馈和 提炼过程.其中,前两个阶段都包含三个功能: 提炼过程.其中,前两个阶段都包含三个功能: 数据处理,数据分类(数据可分为入侵指示, 数据处理,数据分类(数据可分为入侵指示,非 入侵指示或不确定)和后处理. 入侵指示或不确定)和后处理.
返回本章首页
第五章 入侵检测技术
返回本章首页
第五章 入侵检测技术
入侵检测技术研究最早可追溯到1980年 James P.Aderson所写的一份技术报告, 他首先 所写的一份技术报告, 所写的一份技术报告 提 出 了 入 侵 检 测 的 概 念 . 1 9 8 7 年 Dorothy Denning提出了入侵检测系统 ( IDS,Intrusion 提出了入侵检测系统( 提出了入侵检测系统 , Detection System)的抽象模型(如图 所示), 所示) )的抽象模型(如图5-1所示 首次提出了入侵检测可作为一种计算机系统安全 防御措施的概念, 防御措施的概念,与传统的加密和访问控制技术 相比, 是全新的计算机安全措施. 相比,IDS是全新的计算机安全措施. 是全新的计算机安全措施
返回本章首页
第五章 入侵检测技术
1990年 , Heberlein等人提出了一个具有里 年 等人提出了一个具有里 程碑意义的新型概念:基于网络的入侵检测—— 程碑意义的新型概念:基于网络的入侵检测 网 络 安 全 监 视 器 NSM(Network Security ( Monitor).1991年,NADIR(Network Anomaly ) 年 ( Detection and Intrusion Reporter) 与 DIDS ) (Distribute Intrusion Detection System) 提出 ) 了通过收集和合并处理来自多个主机的审计信息 可以检测出一系列针对主机的协同攻击. 可以检测出一系列针对主机的协同攻击.
第五章 入侵检测技术
返回本章首页
第五章 入侵检测技术
5.2 入侵检测的技术实现
对于入侵检测的研究, 对于入侵检测的研究,从早期的审计跟踪数 据分析,到实时入侵检测系统, 据分析,到实时入侵检测系统,到目前应用于大 型网络的分布式检测系统, 型网络的分布式检测系统,基本上已发展成为具 有一定规模和相应理论的研究领域. 有一定规模和相应理论的研究领域.入侵检测的 核心问题在于如何对安全审计数据进行分析, 核心问题在于如何对安全审计数据进行分析,以 检测其中是否包含入侵或异常行为的迹象.这里, 检测其中是否包含入侵或异常行为的迹象.这里, 我们先从误用检测和异常检测两个方面介绍当前 关于入侵检测技术的主流技术实现, 关于入侵检测技术的主流技术实现,然后对其它 类型的检测技术作简要介绍. 类型的检测技术作简要介绍.