入侵检测技术2378852页PPT

入侵检测系统分析的数据来源
❖ 主机系统日志 ❖ 原始的网络数据包 ❖ 应用程序的日志 ❖ 防火墙报警日志 ❖ 其它入侵检测系统的报警信息
对入侵攻击的响应方式
❖ 主动的入侵检测系统。主动地入侵检测系统在检测 出入侵后，可自动地对目标系统中的漏洞采取修补、 强制可疑用户（可能的入侵者）退出系统以及关闭 相关服务等对策和响应措施。
（1）安全审计 安全审计机制的目标有以下几方面。
① 为安全职员提供足够的信息使之能够将问题 局限于局部，而信息量不足以以其为基础进 行攻击。
② 优化审计记录的内容，审计分析机制应该可 以对一些特定资源辨认正常的行为。
（2）IDS（Intrusion Detection Systems） 的诞生
3 网络安全体系结构
使用入侵检测系统有如下优点：
① 检测防护部分阻止不了的入侵；
② 检测入侵的前兆；
③ 对入侵事件进行归档；
④ 对网络遭受的威胁程度进行评估；
⑤ 对入侵事件进行恢复。
入侵检测系统利用优化匹配模式和统计学技术 把传统的电子数据处理和安全审查结合起来，已经 发展成为构筑完整的现代网络安全技术的一个必不 可少的部分。
1 入侵检测概述 2 入侵检测原理 3 入侵检测系统的关键技术 4 基于数据挖掘的智能化入侵检测系统设计
1 入侵检测概述
计算机网络主要由以下3部分组成： （1）若干主机； （2）通信子网，包括通信处理机和连接网络中各 个节点的通信链路； （3）通信协议，如以太网协议、TCP/IP等。 信息安全包含以下几个方面的内容: 保密性 完整性 有效性
基于主机的入侵检测系统
目标系统 审计记录
审计记录收集方法
审计记录预处理
异常检测
误用检测
安全管理员接口
ຫໍສະໝຸດ Baidu
审计记录数据 归档/查询
审计记录 数据库
基于主机的入侵检测系统
❖ 优点
性能价格比高 细腻性，审计内容全面 视野集中 适用于加密及交换环境
基于主机的入侵检测系统
❖ 缺点
额外产生的安全问题 依赖性强 如果主机数目多，代价过大 不能监控网络上的情况
入侵检测系统的分类
❖ 基于主机的入侵检测系统 ❖ 基于网络的入侵检测系统
基于主机的入侵检测系统
❖ 系统安装在主机上面，对本主机进行安全检测
❖ 通过监视与分析主机的审计记录检测入侵。这些系 统的实现不全在目标主机上，有一些采用独立的外 围处理机。另外NIDES使用网络将主机信息传到中 央处理单元。但它们全部是根据目标系统的审计记 录工作。能否及时采集到审计记录是这些系统的难 点之一，从而有的入侵者会将主机审计子系统作为 攻击目标以避开入侵检测系统。
基于网络的入侵检测系统
分析系统 侦听器
管理/配置 分析结果
入侵分析引擎器
侦听器
基于网络的入侵检测系统
❖ 优点 检测范围广 无需改变主机配置和性能 独立性和操作系统无关性 安装方便
基于网络的入侵检测系统
❖ 缺点
不能检测不同网段的网络包 很难检测复杂的需要大量计算的攻击 协同工作能力弱 难以处理加密的会话
基于网络的入侵检测系统
❖ 系统安装在比较重要的网段内 ❖ 通过在共享网段上那个对通信数据进行侦听采集数
据，分析可疑现象。与主机系统相比，这类系统对 入侵者而言是透明的。由于这类系统不需要主机提 供严格的审计，因而对主机资源消耗少，而且由于 网络协议是标准的，它可以提供对网络通用的保护， 而无需顾及异构主机的的不同架构。基于网关的检 测系统可以认为是这类系统的变种。
（1）入侵性而非异常。 （2）非入侵性且异常。 （3）非入侵性非异常。 （4）入侵性且异常。
另外，设置异常的门槛值不当，往往会导致 IDS许多误报警或者漏检的现象，漏检对于重要的 安全系统来说是相当危险的，因为IDS给安全管理 员造成了系统安全假象。
2.2 误用入侵检测原理
误用检测也被称为基于知识的检测或特征检测； 通过对比已知攻击手段及系统漏洞的模式特征 来判断系统中是否有入侵发生。具体说，根据 静态的、预先定义好的模式集合来过滤数据流， 一旦发现数据包特征与某个模式特征相匹配， 则认为是一次入侵。 可以将已有的入侵方式检测出来，但对新的入 侵方式无能为力。
❖ 分布式入侵检测系统。系统的各个模块分布在网络 中不同的计算机、设备上，一般来说分布性主要体 现在数据收集模块上，如果网络环境比较复杂、数 据量比较大，那么数据分析模块也会分布，一般是 按照层次性的原则进行组织的。
入侵检测的主要目的有：
1识别入侵者； 2识别入侵行为； 3检测和监视已成功的安全突破； 为对抗措施即时提供重要信息。因而，入侵检测 是非常必要的，可以弥补传统安全保护措施的不 足。 入侵检测系统的主要功能是检测，当然还有其他 的功能选项，因而增加了计算机系统和网络的安 全性。
2 研究入侵检测的必要性
因为访问控制和保护模型本身存着在以下问题。 （1）弱口令问题。 （2）静态安全措施不足以保护安全对象属性。 （3）软件的Bug-Free近期无法解决。 （4）软件生命周期缩短和软件测试不充分。 （5）系统软件缺陷的修补工作复杂，而且源代码大 多数不公开，也缺乏修补Bug的专门技术，导致修补 进度太慢，因而计算机系统的不安全系统将持续一段 时间。
❖ 被动的入侵检测系统。被动的入侵检测系统在检测 出对系统的入侵攻击后只是产生报警信息通知系统 安全管理员，至于之后的处理工作则由系统管理员 来完成。
根据系统各个模块运行的分布方式
❖ 集中式入侵检测系统。系统的各个模块包括数据的 收集与分析以及响应都集中在一台主机上运行，这 种方式适用于网络环境比较简单的情况。
网络攻击共经历了如下几个过程。 （1）攻击来源： （2）攻击工具：用户命令、脚本或程序、自治主体等 （3）访问系统方式： （4）攻击结束： （5）攻击者意图：
而从防卫者的角度出发，针对上述目标，网 络安全的目标包含以下几个方面。
（1）网络服务有效可用 （2）网络信息的保密性不被破坏 （3）网络信息的完整性不被破坏 （4）确保网络信息的不可抵赖性 （5）有效控制网络的运行
图2 单机安全模型
图3 安全系统管理模型
2 入侵检测原理
入侵检测和其他检测技术基于同样的原理， 即从一组数据中，检测出符合某一特点的数据。
2.1 异常入侵检测原理 构筑异常检测原理的入侵检测系统，首先要
建立系统或用户的正常行为模式库，不属于该库 的行为被视为异常行为。
但是，入侵性活动并不总是与异常活动相符合， 而是存在下列4种可能性。