第八章入侵检测系统
合集下载
第8章 入侵检测系统(IDS)及应用
2.IDS产品的结构
一种类型的IDS产品是探测器和控制台装在不同 的机器上,控制台可以对探测器远程管理。 另一种类型的产品是探测器和控制台以软件形 式安装在一台机器上,虽然操作简单,但不 能进行远程管理。
3.IDS的测试和评估
(1)测试评估IDS性能的标准 ①准确性 ②处理性能 ③完备性 ④容错性 ⑤及时性
(2)每秒抓包数(pps) 每秒抓包数是反映网络入侵检测系统性能的最 重要的指标。 (3)每秒能监控的网络连接数 (4)每秒能够处理的事件数
三、 IDS使用
1.基于网络的入侵检测产品(NIDS)
2.基于主机的入侵检测产品(HIDS)
国内市场上能见到的HIDS产品只有:理工先河 的“金海豚”、CA的eTrust(包含类似于 HIDS的功能模块)、东方龙马HIDS(纯软 件的)、曙光God Eye-HIDS等屈指可数的几 个产品,而且能支持的操作系统主要有Solaris、 Linux、Windows2000。
入侵检测系统的三个组成部分: • 感应器(Sensor) • 分析器(Analyzer) • 管理器(Manager)
3、入侵检测系统的分类
(1)根据其监测的对象是主机还是网络分为 基于主机的入侵检测系统和基于网络的入侵 检测系统 (2)根据检测系统对入侵行为的响应方式分 为主动检测系统和被动检测系统 (3)根据工作方式分为在线检测系统和离线 检测系统
入侵检测(Intrusion Detection),顾名思义, 便是对入侵行为的发觉。它通过对计算机系 统、或计算机网络中的若干关键部位收集信 息并对其进行分析,从中发现网络或系统中 是否有违反安全策略的行为。入侵检测的内 容包括:试图闯入、成功闯入、冒充其他用 户、违反安全策略、合法用户的泄漏、独占 资源以及恶意使用。
第八章 入侵检测系统
入侵检测的起源
1988年之后,美国开展对分布式入侵检测系统 (DIDS)的研究,将基于主机和基于网络的检测 方法集成到一起。
DIDS是分布式入侵检测系统历史上的一个里程碑式 的产品。
从20世纪90年代到现在,入侵检测系统的研发 呈现出百家争鸣的繁荣局面,并在智能化和分 布式两个方向取得了长足的进展。
IDS的基本工作原理 当前系统或 网络行为
入侵检测 分析引擎
模式知识库
入侵行为模式 安全策略
入侵
否
正常行为模式
是
证据记录
数据采集
响应处理
8.1 概 述
检测IDS性能的两个关键参数
误报(false positive)
实际无害的事件却被IDS检测为攻击事件
漏报(false negative)
修正
异常检测
特点
异常检测系统的效率取决于用户轮廓的完备性 和监控的频率
不需要对每种入侵行为进行定义,因此能有效 检测未知的入侵
系统能针对用户行为的改变进行自我调整和优 化,但随着检测模型的逐步精确,异常检测会 消耗更多的系统资源
误用检测
前提
所有的入侵行为都有可以被检测到的特征
攻击特征库
模式匹配(与已知的攻击进行比较)
统计分析(确定对象的异常行为)
完整性分析(常用于事后分析)
8.1 概 述 警报信息 事件分析器
IDS的通用模型
事件数据库
存放各种中间和最终数据的地方 从事件产生器或事件分析器接收
数据,一般会将数据进行较长时 间的保存,以便于今后的关联分 析等。
响应单元
IDS
IDS
NIDS
Internet
IDS
IDS
IDS
1988年之后,美国开展对分布式入侵检测系统 (DIDS)的研究,将基于主机和基于网络的检测 方法集成到一起。
DIDS是分布式入侵检测系统历史上的一个里程碑式 的产品。
从20世纪90年代到现在,入侵检测系统的研发 呈现出百家争鸣的繁荣局面,并在智能化和分 布式两个方向取得了长足的进展。
IDS的基本工作原理 当前系统或 网络行为
入侵检测 分析引擎
模式知识库
入侵行为模式 安全策略
入侵
否
正常行为模式
是
证据记录
数据采集
响应处理
8.1 概 述
检测IDS性能的两个关键参数
误报(false positive)
实际无害的事件却被IDS检测为攻击事件
漏报(false negative)
修正
异常检测
特点
异常检测系统的效率取决于用户轮廓的完备性 和监控的频率
不需要对每种入侵行为进行定义,因此能有效 检测未知的入侵
系统能针对用户行为的改变进行自我调整和优 化,但随着检测模型的逐步精确,异常检测会 消耗更多的系统资源
误用检测
前提
所有的入侵行为都有可以被检测到的特征
攻击特征库
模式匹配(与已知的攻击进行比较)
统计分析(确定对象的异常行为)
完整性分析(常用于事后分析)
8.1 概 述 警报信息 事件分析器
IDS的通用模型
事件数据库
存放各种中间和最终数据的地方 从事件产生器或事件分析器接收
数据,一般会将数据进行较长时 间的保存,以便于今后的关联分 析等。
响应单元
IDS
IDS
NIDS
Internet
IDS
IDS
IDS
《入侵检测系统》课件
如何维护和管理入侵检测系统
定期更新系统:确保系统始终处于最新状态,以应对不断变化的威胁 监控系统运行状态:实时监控系统运行状态,及时发现并解决异常情况 定期备份数据:定期备份系统数据,以防数据丢失或损坏 培训员工:对员工进行系统使用和维护的培训,提高员工的安全意识和操作技能
THANKS
汇报人:
基于网络的入侵检测系统
基于主机的入侵检测系统
基于代理的入侵检测系统
基于蜜罐的入侵检测系统
入侵检测系统的重要性
保护网络安全: 及时发现并阻 止网络攻击, 保护网络和数
据安全
提高系统稳定 性:及时发现 并修复系统漏 洞,提高系统 稳定性和可靠
性
降低损失:及 时发现并阻止 网络攻击,降 低经济损失和
声誉损失
如何评估入侵检测系统的性能
检测率:评估系统对入侵行为的检测能 力
误报率:评估系统对正常行为的误报情 况
响应时间:评估系统对入侵行为的响应 速度
兼容性:评估系统与其他安全设备的兼 容性
易用性:评估系统的操作简便性和用户 友好性
成本:评估系统的购买和维护成本
如何部署和配置入侵检测系统
选择合适的入侵 检测系统:根据 企业需求、网络 环境、安全策略 等因素选择合适 的入侵检测系统。
法规政策:政 府对网络安全 的重视将推动 入侵检测系统 的发展和应用
Part Six
如何选择合适的入 侵检测系统
选择入侵检测速度和准确性
功能:系统的检测范围和功能是否满 足需求
兼容性:系统与其他安全设备的兼容 性
价格:系统的价格是否在预算范围内 易用性:系统的操作是否简单易用 售后服务:系统的售后服务是否完善
实时监控:能够实时监控网络流量,及时发现异常行为 智能分析:利用机器学习和人工智能技术,提高检测精度 自动响应:能够自动响应入侵行为,如阻断攻击、报警等 降低风险:减少网络攻击带来的损失,提高网络安全性
入侵检测系统(IDS)精品PPT课件
❖ HIDS是配置在被保护的主机上的,用来检测针对主 机的入侵和攻击
❖ 主要分析的数据包括主机的网络连接状态、审计日 志、系统日志。
❖ 实现原理
配置审计信息 系统对审计数据进行分析(日志文件)
28
NIDS和HIDS比较
29
入侵检测的分类 (混合IDS)
❖ 基于网络的入侵检测产品和基于主机的入侵检测产 品都有不足之处,单纯使用一类产品会造成主动防 御体系不全面。但是,它们的缺憾是互补的。如果 这两类产品能够无缝结合起来部署在网络内,则会 构架成一套完整立体的主动防御体系,综合了基于 网络和基于主机两种结构特点的入侵检测系统,既 可发现网络中的攻击信息,也可从系统日志中发现 异常情况。
34
入侵检测的部署
❖ 检测器放置于防火墙的DMZ区域
可以查看受保护区域主机被攻击状态 可以看出防火墙系统的策略是否合理 可以看出DMZ区域被黑客攻击的重点
35
入侵检测的部署
❖ 检测器放置于路由器和边界防火墙之间
可以审计所有来自Internet上面对保护网络的攻 击数目
可以审计所有来自Internet上面对保护网络的攻 击类型
❖ 需要在计算机网络系统中的若干不同关键点(不同 网段和不同主机)收集信息,这样做的理由就是从 一个来源的信息有可能看不出疑点,但从几个来源 的信息的不一致性却是可疑行为或入侵的最好标识 。14Fra bibliotek信息收集
❖ 入侵检测的效果很大程度上依赖于收集信息的可靠 性和正确性
❖ 要保证用来检测网络系统的软件的完整性 ❖ 特别是入侵检测系统软件本身应具有相当强的坚固
❖ 入侵检测系统(IDS):入侵检测系统是软件与硬 件的组合,是防火墙的合理补充,是防火墙之后的 第二道安全闸门。
❖ 主要分析的数据包括主机的网络连接状态、审计日 志、系统日志。
❖ 实现原理
配置审计信息 系统对审计数据进行分析(日志文件)
28
NIDS和HIDS比较
29
入侵检测的分类 (混合IDS)
❖ 基于网络的入侵检测产品和基于主机的入侵检测产 品都有不足之处,单纯使用一类产品会造成主动防 御体系不全面。但是,它们的缺憾是互补的。如果 这两类产品能够无缝结合起来部署在网络内,则会 构架成一套完整立体的主动防御体系,综合了基于 网络和基于主机两种结构特点的入侵检测系统,既 可发现网络中的攻击信息,也可从系统日志中发现 异常情况。
34
入侵检测的部署
❖ 检测器放置于防火墙的DMZ区域
可以查看受保护区域主机被攻击状态 可以看出防火墙系统的策略是否合理 可以看出DMZ区域被黑客攻击的重点
35
入侵检测的部署
❖ 检测器放置于路由器和边界防火墙之间
可以审计所有来自Internet上面对保护网络的攻 击数目
可以审计所有来自Internet上面对保护网络的攻 击类型
❖ 需要在计算机网络系统中的若干不同关键点(不同 网段和不同主机)收集信息,这样做的理由就是从 一个来源的信息有可能看不出疑点,但从几个来源 的信息的不一致性却是可疑行为或入侵的最好标识 。14Fra bibliotek信息收集
❖ 入侵检测的效果很大程度上依赖于收集信息的可靠 性和正确性
❖ 要保证用来检测网络系统的软件的完整性 ❖ 特别是入侵检测系统软件本身应具有相当强的坚固
❖ 入侵检测系统(IDS):入侵检测系统是软件与硬 件的组合,是防火墙的合理补充,是防火墙之后的 第二道安全闸门。
第8章 入侵检测系统(IDS)及应用 网络维护与安全技术教程与实训电子教案
入侵检测过程示意图
报警 日志记录
入侵检测
记录
内部入侵
终止入侵
重新配置 防火墙 路由器
入侵检测
记录入侵 过程
3、入侵检测的发展
❖ 入侵检测技术的发展过程: ❖概念诞生阶段:1980年 James P. Anderson第一
次详细阐述了入侵检测的概念。《Computer Security Threat Monitoring and Surveillance》。 ❖模型产生阶段:1986年 Denning提出了一种通 用的入侵检测模型。研究出了一个实时入侵检测 系统模型—IDES(入侵检测专家系统)。 ❖ 百家争鸣阶段:90年初-至今(基于数据挖掘、 基于神经网络的入侵检测等)。
4.入侵检测系统的工作过程
❖ IDS处理过程分为四个阶段。 ❖ 数据采集阶段:数据采集是入侵检测的基础。在
数据采集阶段,入侵检测系统主要收集目标系统 中引擎提供的主机通信数据包和系统使用等情况。
❖ 数据处理及过滤阶段:把采集到的数据进行处理, 转换为可以识别是否发生入侵的形式。
❖ 分析及检测入侵阶段:通过分析上一阶段提供的 数据来判断是否发生入侵。这一阶段是整个入侵 检测系统的核心阶段。
入侵过程示意图
入侵:是指试图破坏计
算机系统的完整性、机 密性和可用性的行为
➢入侵者取得超出合 法身份的系统控制 权 ➢ 收集漏洞信息和拒 绝服务攻击
互联网
防火墙
入侵者进入用户系统的方式
❖ 入侵者进入用户系统主要有以下三种方式: ❖ 物理入侵:在未授权的情况对网络硬件的连接,
或对系统物理资源的直接破坏等。
它的特点是实时入侵检测 在网络连接过程中进行。系统对 实时网络数据包分析,对实时主机审计分析,一旦发现入 侵迹象立即断开入侵者与主机的连接,并收集证据和实施数 据恢复。
网络信息安全课件—入侵检测系统
防火墙为网络提供了第一道防线,入侵检测被认为 是防火墙之后的第二道闸门,在不影响网络性能的 情况下对网络进行检测,从而提供对内部攻击、外 部攻击和误操作的实时保护。由于入侵检测系统是 防火墙后的又一道防线,从而可以极大地减少网络 免受各种攻击的伤害。
入侵检测系统的作用
使系统管理员时
刻了解网络系统
的任何变更
1
3
具有管理方便、配置
简单的特性,从而使
非专业人员非常容易
的管理网络安全
给网络安全策略的 定制提供指南
2
4
规模根据网络威胁、 系统构造 和安全 需求的改变而改变。
入侵检测系统的特点
• 不需要人工干预即可不间断地运行。 • 有容错功能。即使系统发生了崩溃,也不会丢失数据。 • 不需要占用大量的系统资源。 • 能够发现异于正常行为的操作。 • 能够适应系统行为的长期变化。 • 保持领先,能及时升级。
三.数据完整性分析法
• 数据完整性分析法主要用来查证文件或对象是否被修改过。 • 理论基础是密码学。
入侵检测系统的主要类型
一.应用软件入侵检测
在应用软件收集信息。 控制性好,具有很高的可靠性。 需要支持的应用软件数量多。
二.基于主机的入侵检测
通常采用查看针对可疑行为的审计记录来执行。它对新的记录条目与 攻击特征进行比较并检查不应该被改变的系统文件的校验和来分析系统 是否被侵入或者被攻击。如果发现与攻击模式匹配,IDS系统通过向管理 员报警和其他行为来响应。在事件发生后提供足够的分析来阻止进一步 的攻击。反应的时间为与定期检测的时间间隔。
2、Network Associates公司的CyberCo
• 局域网管理员正是NetWork Associates的主要客户群。 • CyberCop还能生成可以被 Sniffer识别的踪迹文件。与NetRanger相
入侵检测系统及应用 PPT课件
4.3.1 分布式入侵检测框架及检测机制 随着高速网络的发展,网络范围的拓宽,各种分布式网 络技术、网络服务的发展,使原来的网络入侵检测很难适 应现在的状况。因此有必要把检测分析过程也实现分布化。 在分布式结构中,n个检测器分布在网络环境中,直接接 受sensor(传感器)的数据,有效的利用各个主机的资源, 消除了集中式检测的运算瓶颈和安全隐患;同时由于大量 的数据用不着在网络中传输,大大降低了网络带宽的占用, 提高了系统的运行效率。
除了以上两类主要数据分析技术外,研究人员还提出了 一些新的分析技术,如免疫系统、基因算法、数据挖掘、 基于代理的检测等。本节详细内容参见书本P126~P129页。
2020/3/31
3
4.1.3 主要入侵检测模型
如果按照检测对象划分,入侵检测技术又可分为“基于 主机的检测”、“基于网络的检测”和“混合型检测”三 大类。
本节详细内容参见书本P132~P134页。
2020/3/31
7
4.2 入侵检测原理和应用
4.2.1 入侵检测原理 从总体来说,入侵检测系统可以分为两个部分:收集系 统和非系统中的信息然后对收集到的数据进行分析,并采 取相应措施。 1. 信息收集 信息收集包括收集系统、网络、数据及用户活动的状态 和行为。入侵检测利用的信息一般来自:系统和网络日志 文件、非正常的目录和文件改变、非正常的程序执行这三 个方面。 2. 信号分析 对收集到的有关系统、网络、数据及用户活动的状态和 行为等信息,是通过模式匹配、统计分析和完整性分析这 三种手段进行分析的。前两种用于实时入侵检测,完整性 分析用于事后分析。
4.3 分布式入侵检测系统
由于传统入侵检测技术的种种不足,加上新型的分布式 入侵和攻击行为的频繁出现,所以一种新型的入侵检测技 术就诞生了,那就是分布式入侵检测系统(DIDS)。它包 括两方面的含义:首先它是针对分布式网络攻击的检测方 法;其次使用分布式方法检测分布式的攻击,其中的关键 技术为检测信息的协同处理与入侵攻击的全局信息提取。
除了以上两类主要数据分析技术外,研究人员还提出了 一些新的分析技术,如免疫系统、基因算法、数据挖掘、 基于代理的检测等。本节详细内容参见书本P126~P129页。
2020/3/31
3
4.1.3 主要入侵检测模型
如果按照检测对象划分,入侵检测技术又可分为“基于 主机的检测”、“基于网络的检测”和“混合型检测”三 大类。
本节详细内容参见书本P132~P134页。
2020/3/31
7
4.2 入侵检测原理和应用
4.2.1 入侵检测原理 从总体来说,入侵检测系统可以分为两个部分:收集系 统和非系统中的信息然后对收集到的数据进行分析,并采 取相应措施。 1. 信息收集 信息收集包括收集系统、网络、数据及用户活动的状态 和行为。入侵检测利用的信息一般来自:系统和网络日志 文件、非正常的目录和文件改变、非正常的程序执行这三 个方面。 2. 信号分析 对收集到的有关系统、网络、数据及用户活动的状态和 行为等信息,是通过模式匹配、统计分析和完整性分析这 三种手段进行分析的。前两种用于实时入侵检测,完整性 分析用于事后分析。
4.3 分布式入侵检测系统
由于传统入侵检测技术的种种不足,加上新型的分布式 入侵和攻击行为的频繁出现,所以一种新型的入侵检测技 术就诞生了,那就是分布式入侵检测系统(DIDS)。它包 括两方面的含义:首先它是针对分布式网络攻击的检测方 法;其次使用分布式方法检测分布式的攻击,其中的关键 技术为检测信息的协同处理与入侵攻击的全局信息提取。
第8章 入侵检测系统(IDS)及应用习题答案
习题答案一、填空题1. 入侵者进入我们的系统主要有三种方式:物理入侵、系统入侵、远程入侵。
2. 入侵检测系统是进行入侵检测的软件与硬件的组合。
3. 入侵检测系统由三个功能部分组成,它们分别是感应器(Sensor)、分析器(Analyzer)和管理器(Manager)。
4. 入侵检测系统根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。
5.入侵检测系统根据工作方式分为在线检测系统和离线检测系统。
6. 通用入侵检测模型由主体、客体、审计记录、活动参数、异常记录、活动规则六部分组成。
二、选择题1.IDS产品相关的等级主要有(BCD)等三个等级:A: EAL0 B: EAL1 C: EAL2 D: EAL32. IDS处理过程分为(ABCD )等四个阶段。
A: 数据采集阶段B: 数据处理及过滤阶段C: 入侵分析及检测阶段D: 报告以及响应阶段3. 入侵检测系统的主要功能有(ABCD ):A: 监测并分析系统和用户的活动B: 核查系统配置和漏洞C: 评估系统关键资源和数据文件的完整性。
D: 识别已知和未知的攻击行为4. IDS产品性能指标有(ABCD ):A:每秒数据流量B: 每秒抓包数C: 每秒能监控的网络连接数D:每秒能够处理的事件数5. 入侵检测产品所面临的挑战主要有(ABCD ):A:黑客的入侵手段多样化B:大量的误报和漏报C:恶意信息采用加密的方法传输D:客观的评估与测试信息的缺乏三、判断题1. 有了入侵检测系统以后,我们可以彻底获得网络的安全。
(F )2. 最早关于入侵检测的研究是James Anderson在1980年的一份报告中提出的。
( T )3. 基于网络的入侵检测系统比基于主机的入侵检测系统性能优秀一些。
( F )4. 现在市场上比较多的入侵检测产品是基于网络的入侵检测系统。
( T )四、简答题1. 什么是入侵检测系统?简述入侵检测系统的作用?答:入侵检测系统(Intrusion Detection System,简称IDS)是进行入侵检测的软件与硬件的组合,事实上入侵检测系统就是“计算机和网络为防止网络小偷安装的警报系统”。
第8章入侵检测技术PPT讲义
入侵 行为
时间信息
添加新 的规则
如果正常的用户行为与入侵特征匹配,则系统会发生误报 如果没有特征能与某种新的攻击行为匹配,则系统会发生漏报
异常检测技术
1. 前提:入侵是异常活动的子集
2. 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合,用于描述 正常行为范围;检查实际用户行为和系统的运行情况是否偏离预设的门限?
较,得出是否有入侵行为
异常检测(Anomaly Detection) ——基于行为的检测
总结正常操作应该具有的特征,得出正常操作的模型 对后续的操作进行监视,一旦发现偏离正常操作模式,即进
行报警
误用检测技术
1. 前提:所有的入侵行为都有可被检测到的特征
2. 攻击特征库: 当监测的用户或系统行为与库中的记录相匹 配时,系统就认为这种行为是入侵
中止连接
Internet
商务伙伴
外外部部攻攻击击
类程序附在电子邮件上传输
入侵检测系统的作用
摄像机=IDS探测引擎
监控室=控制中心
后门 Card Key
保安=防火墙
形象地说,IDS就是一台智能的X光摄像机,它能够捕获并记录网络上的所有数据, 分析并提炼出可疑的、异常的内容,尤其是它能够洞察一些巧妙的伪装,抓住内 容的实质。此外,它还能够对入侵行为自动地进行响应:报警、阻断连接、关闭 道路(与防火墙联动)
通过提交上千次相同命令,来实施对POP3服务器的拒绝 服务攻击.
入侵检测系统发现该行为发生次数超过预定义阈值,认 为是异常事件。
实例二:暴力破解FTP账号密码
黑客得知FTP Server存在用户名admin 使用字典程序对admin用户暴力猜密码 入侵检测系统会发现在很短的时间内会出现大量如下数
入侵检测系统 PPT课件
计算机入侵检测系统 (IDS)
内容提要
入侵检测的概念及功能 入侵检测的构架原理 入侵检测的分类 入侵检测系统的评级标准 入侵检测的响应与恢复 小结
网络安全
–网络安全 –P2DR –入侵检测的位置 –入侵检测系统的应用前景
网络安全
• 计算机网络的安全是指计算机网络的机密性 (Confidentiality)、完整性(Integrity)、可用性 (Access)
的有效手段。
入侵检测发挥的作用
从事后 到事前
领导层面:对安全主管领导来说,是可以把IDS做为把握全局一种
有效的方法,目的是提高安全效能。
入侵检测发挥的作用
从预警 到保障
意识层面:对政府或者大的行业来说,是可以通过IDS来建立一套
完善的网络预警与响应体系,减小安全风险。
入侵检测系统的功能
监控用户和系统的活动 查找非法用户和合法用户的越权操作 检测系统配置的正确性和安全漏洞 评估关键系统和数据的完整性 识别攻击的活动模式并向网管人员报警 对用户的非正常活动进行统计分析,发现入侵行为 的规律 操作系统审计跟踪管理,识别违反政策的用户活动 检查系统程序和数据的一致性与正确性
应用前景
各种基于网络的信息系统已成为国民经济关 键领域中的重要组成部分,如交通控制系统、国 防信息系统、电力信息系统、气油运输和存储系 统、金融服务系统、医疗卫生信息服务系统、电 子商务信息系统等。然而,对网络的依赖性越大, 面临网络入侵的威胁越大,产生的后果越严重。
一、入侵检测的概念及功能
–概念的诞生 –入侵检测研究发展 –入侵检测的作用 –入侵检测系统的功能
• 传统的安全保护主要从被动防御的角度出发,增 加攻击者对网络系统破坏的难度,典型的如:
内容提要
入侵检测的概念及功能 入侵检测的构架原理 入侵检测的分类 入侵检测系统的评级标准 入侵检测的响应与恢复 小结
网络安全
–网络安全 –P2DR –入侵检测的位置 –入侵检测系统的应用前景
网络安全
• 计算机网络的安全是指计算机网络的机密性 (Confidentiality)、完整性(Integrity)、可用性 (Access)
的有效手段。
入侵检测发挥的作用
从事后 到事前
领导层面:对安全主管领导来说,是可以把IDS做为把握全局一种
有效的方法,目的是提高安全效能。
入侵检测发挥的作用
从预警 到保障
意识层面:对政府或者大的行业来说,是可以通过IDS来建立一套
完善的网络预警与响应体系,减小安全风险。
入侵检测系统的功能
监控用户和系统的活动 查找非法用户和合法用户的越权操作 检测系统配置的正确性和安全漏洞 评估关键系统和数据的完整性 识别攻击的活动模式并向网管人员报警 对用户的非正常活动进行统计分析,发现入侵行为 的规律 操作系统审计跟踪管理,识别违反政策的用户活动 检查系统程序和数据的一致性与正确性
应用前景
各种基于网络的信息系统已成为国民经济关 键领域中的重要组成部分,如交通控制系统、国 防信息系统、电力信息系统、气油运输和存储系 统、金融服务系统、医疗卫生信息服务系统、电 子商务信息系统等。然而,对网络的依赖性越大, 面临网络入侵的威胁越大,产生的后果越严重。
一、入侵检测的概念及功能
–概念的诞生 –入侵检测研究发展 –入侵检测的作用 –入侵检测系统的功能
• 传统的安全保护主要从被动防御的角度出发,增 加攻击者对网络系统破坏的难度,典型的如:
入侵检测系统ppt课件
网络入侵的特点
没有地域和时间的限制; 通过网络的攻击往往混杂在大量正常的网络活动之间,
隐蔽性强; 入侵手段更加隐蔽和复杂。
3
为什么需要IDS?
单一防护产品的弱点
防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁
4
为什么需要IDS?
关于防火墙
网络边界的设备,只能抵挡外部來的入侵行为 自身存在弱点,也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护,合法的使用者仍会非法地使用
入侵检测系统IDS
1
黑客攻击日益猖獗,防范问题日趋 严峻
政府、军事、邮电和金融网络是黑客攻击的主要目 标。即便已经拥有高性能防火墙等安全产品,依然 抵挡不住这些黑客对网络和系统的破坏。据统计, 几乎每20秒全球就有一起黑客事件发生,仅美国每 年所造成的经济损失就超过100亿美元。
2
网络入侵的特点
包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效
20
主动响应 被动响应
响应动作
21
入侵检测性能关键参数
误报(false positive):如果系统错误地将异常活动定 义为入侵
漏报(false negative):如果系统未能检测出真正的 入侵行为
12
入侵检测的工作过程
信息收集
检测引擎从信息源收集系统、网络、状态和行为信息。
信息分析
从信息中查找和分析表征入侵的异常和可疑信息。
告警与响应
根据入侵性质和类型,做出相应的告警和响应。
13
信息收集
入侵检测的第一步是信息收集,收集内容包括系统 、网络、数据及用户活动的状态和行为
没有地域和时间的限制; 通过网络的攻击往往混杂在大量正常的网络活动之间,
隐蔽性强; 入侵手段更加隐蔽和复杂。
3
为什么需要IDS?
单一防护产品的弱点
防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁
4
为什么需要IDS?
关于防火墙
网络边界的设备,只能抵挡外部來的入侵行为 自身存在弱点,也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护,合法的使用者仍会非法地使用
入侵检测系统IDS
1
黑客攻击日益猖獗,防范问题日趋 严峻
政府、军事、邮电和金融网络是黑客攻击的主要目 标。即便已经拥有高性能防火墙等安全产品,依然 抵挡不住这些黑客对网络和系统的破坏。据统计, 几乎每20秒全球就有一起黑客事件发生,仅美国每 年所造成的经济损失就超过100亿美元。
2
网络入侵的特点
包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效
20
主动响应 被动响应
响应动作
21
入侵检测性能关键参数
误报(false positive):如果系统错误地将异常活动定 义为入侵
漏报(false negative):如果系统未能检测出真正的 入侵行为
12
入侵检测的工作过程
信息收集
检测引擎从信息源收集系统、网络、状态和行为信息。
信息分析
从信息中查找和分析表征入侵的异常和可疑信息。
告警与响应
根据入侵性质和类型,做出相应的告警和响应。
13
信息收集
入侵检测的第一步是信息收集,收集内容包括系统 、网络、数据及用户活动的状态和行为
入侵检测系统基本知识ppt课件
三、入侵检测系统构件
1、IDS框架介绍 2、入侵检测系统构件 3、事件产生器 4、事件分析器 5、响应单元 6、事件数据库 7、管理器
1、IDS框架介绍(1)
理论界:CIDF
Common Intrusion Detection Framework
由DARPA于1997年3月开始着手制定
为了解决不同入侵检测系统
1、异常检测技术-概念
2、异常检测技术的优势
入侵检测技术分为滥用检测和异常检测两 种。滥用检测技术的局限性: 不能检测未知攻击和新的攻击,特征库需要不 断升级更新 检测系统知识库中的入侵攻击知识与系统的运 行环境有关 对于系统内部攻击者的越权行为,由于他们没 有利用系统的缺陷,因而很难检测出来
2、异常检测技术的优势
硬件平台 操作系统 系统中运行的应用程序
4、完整性分析
通过检查系统的当前系统配置,诸如系统文件 的内容或者系统表,来检查系统是否已经或者 可能会遭到破坏。
其优点是不管模式匹配方法和统计分析方法能 否发现入侵,只要是成功的攻击导致了文件或 其它对象的任何改变,它都能够发现。
缺点是一般以批处理方式实现,不用于实时响 应。
防火墙不能保证绝对的安全
网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 防火墙是锁,入侵检测系统是监视器
5、IDS的优点
提高信息安全构造的其他部分的完整性 提高系统的监控能力 从入口点到出口点跟踪用户的活动 识别和汇报数据文件的变化 侦测系统配置错误并纠正 识别特殊攻击类型,并向管理人员发出警报
基于网络的入侵检测系统
视野更宽 、隐蔽性好 、攻击者不易转移证据
3、根据检测技术进行分类
异常入侵检测
第八章 防火墙与入侵检测技术
第八章防火墙与入侵检测技术一、选择题1.防火墙是计算机网络安全中常用到的一种技术,它通常被用在。
A LAN内部B LAN和WAN之间C PC和PC之间D PC和LAN之间标准答案:B2.为HTTP协议开放的端口是。
A 80B 139C 135D 99标准答案:A3.防火墙一般由分组过滤路由器和两部分组成。
A 应用网关B 网桥C 杀毒软件D防病毒卡标准答案:A4,下列选项是入侵检测常用的方法。
A 模式匹配B 统计分析C 静态配置分析D 完整性分析标准答案:C5,如果内部网络的地址网段为192.168.1.0/24 ,需要用到防火墙的功能,才能使用户上网。
A 地址映射B 地址转换C IP地址和MAC地址绑定功能D URL过滤功能标准答案:B6.下面哪种安全技术被称为是信息安全的第一道闸门?。
A 入侵检测技术B 防火墙技术C 防病毒技术D 加密技术标准答案:B7.下面哪种安全技术被称为是信息安全的第二道闸门?。
A 防火墙技术B 防病毒技术C 入侵检测技术D 加密技术标准答案:C8.下列不属于系统安全的技术是。
A 防火墙B 加密狗C 认证D 防病毒标准答案:B9.电路级网关是以下哪一种软/硬件的类型?。
A 防火墙B 入侵检测软件C 入侵防御软件D 商业支付程序标准答案:A10. 对于防火墙不足之处,描述错误的是。
A无法防护基于操作系统漏洞的攻击B 无法防护端口反弹木马的攻击C 无法防护病毒的侵袭D 无法进行带宽管理标准答案:D11.防火墙对数据包进行状态检测包过滤时,不可以进行过滤的是。
A 源和目的IP地址B 源和目的端口C IP协议号D 数据包中的内容标准答案:D12.包过滤防火墙不能对进行过滤。
A IP地址B 病毒C 协议D 端口标准答案:B13,加强网络安全性的最重要的基础措施是。
A 设计有效的网络安全策略B 选择更安全的操作系统C 安装杀毒软件D 加强安全教育标准答案:A14. 下面关于包过滤描述错误的是。
第8章入侵检测技术方案
8.6 案例 8.6.1 Snort的安装与使用
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1 入侵检测概述
入侵是所有试图破坏网络信息的完整性、保密性、可用 性、可信任性的行为。入侵是一个广义的概念,不仅包括发 起攻击的人取得超出合法范围的系统控制权,也包括收集漏 洞信息,造成拒绝服务等危害计算机和网络的行为。 入侵检测作为安全技术其作用在于:
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.2 入侵检测技术
8.2.1 入侵检测分析模型
人们多年来对入侵检测的研究,使得该研究领域已具有一定的规模和相应的 理论体系。入侵检测的核心问题在于如何对安全审计数据进行分析,以检测其中 是否包含入侵或异常行为的迹象。
分析是入侵检测的核心功能,它既能简单到像一个已熟悉日志情况的管理员 去建立决策表,也能复杂得像一个集成了几百万个处理的非参数系统。入侵检测 过程分析过程分为三部分:信息收集、信息分析和结果处理。
信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及 用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信 息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的 程序执行。
信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息, 被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析: 模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并 发送给控制台。
图8-1 CIDF模型结构图
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.2 入侵检测系统结构
从系统构成上看,入侵检测系统应包括事件提取、入侵分析、入侵响应和远程管 理四大部分,另外还可能结合安全知识库、数据存储等功能模块,提供更为完善 的安全检测及数据分析功能。如图8-2所示。
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1 入侵检测概述
入侵是所有试图破坏网络信息的完整性、保密性、可用 性、可信任性的行为。入侵是一个广义的概念,不仅包括发 起攻击的人取得超出合法范围的系统控制权,也包括收集漏 洞信息,造成拒绝服务等危害计算机和网络的行为。 入侵检测作为安全技术其作用在于:
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.2 入侵检测技术
8.2.1 入侵检测分析模型
人们多年来对入侵检测的研究,使得该研究领域已具有一定的规模和相应的 理论体系。入侵检测的核心问题在于如何对安全审计数据进行分析,以检测其中 是否包含入侵或异常行为的迹象。
分析是入侵检测的核心功能,它既能简单到像一个已熟悉日志情况的管理员 去建立决策表,也能复杂得像一个集成了几百万个处理的非参数系统。入侵检测 过程分析过程分为三部分:信息收集、信息分析和结果处理。
信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及 用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信 息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的 程序执行。
信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息, 被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析: 模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并 发送给控制台。
图8-1 CIDF模型结构图
清华大学出版社出版
曾湘黔主编: 网络安全技术
8.1.2 入侵检测系统结构
从系统构成上看,入侵检测系统应包括事件提取、入侵分析、入侵响应和远程管 理四大部分,另外还可能结合安全知识库、数据存储等功能模块,提供更为完善 的安全检测及数据分析功能。如图8-2所示。
入侵检测系统介绍课件
运行状态和行为
基于网络的入侵检 测系统:部署在网 络中,监控网络流
量和行为
基于应用的入侵检 测系统:针对特定 应用进行监控和检
测
基于数据的入侵检 测系统:对数据进 行分析和检测,发
现异常行为
2
入侵检测系统 的工作原理
数据收集
01
网络流量监控:收集网络流量数 据,分析数据包特征
03
主机监控:收集主机运行状态 数据,分析主机行为
入侵检测系 统介绍课件
目录
01. 入侵检测系统概述 02. 入侵检测系统的工作原理 03. 入侵检测系统的应用 04. 入侵检测系统的局限性
1
入侵检测系 统概述
入侵检测系统的定义
入侵检测系统 (IDS)是一种 网络安全设备, 用于检测和预防
网络攻击。
IDS通过分析网 络流量、系统日 志和其他数据来 识别潜在的安全
误报:将正常行为误 判为入侵行为,导致 系统发出错误警报
02
漏报:未能检测到真 正的入侵行为,导致 系统未能发出警报
03
误报和漏报的原因: 入侵检测系统的算法 和策略存在缺陷
04
误报和漏报的影响: 影响系统可靠性和准 确性,可能导致用户 忽略真正入侵行为
实时性不足
1
2
3
4
入侵检测系统通常 需要一定的时间才 能检测到入侵行为
入侵检测系统的发展趋势
01
01
智能化:利用机器学习和人工智 能技术,提高检测精度和速度
02
02
集成化:与其他安全系统集成, 实现协同防御
03
03
云化:利用云计算技术,提高系 统的可扩展性和灵活性
04
04
自动化:实现自动检测、响应和 修复,降低人工干预成本
基于网络的入侵检 测系统:部署在网 络中,监控网络流
量和行为
基于应用的入侵检 测系统:针对特定 应用进行监控和检
测
基于数据的入侵检 测系统:对数据进 行分析和检测,发
现异常行为
2
入侵检测系统 的工作原理
数据收集
01
网络流量监控:收集网络流量数 据,分析数据包特征
03
主机监控:收集主机运行状态 数据,分析主机行为
入侵检测系 统介绍课件
目录
01. 入侵检测系统概述 02. 入侵检测系统的工作原理 03. 入侵检测系统的应用 04. 入侵检测系统的局限性
1
入侵检测系 统概述
入侵检测系统的定义
入侵检测系统 (IDS)是一种 网络安全设备, 用于检测和预防
网络攻击。
IDS通过分析网 络流量、系统日 志和其他数据来 识别潜在的安全
误报:将正常行为误 判为入侵行为,导致 系统发出错误警报
02
漏报:未能检测到真 正的入侵行为,导致 系统未能发出警报
03
误报和漏报的原因: 入侵检测系统的算法 和策略存在缺陷
04
误报和漏报的影响: 影响系统可靠性和准 确性,可能导致用户 忽略真正入侵行为
实时性不足
1
2
3
4
入侵检测系统通常 需要一定的时间才 能检测到入侵行为
入侵检测系统的发展趋势
01
01
智能化:利用机器学习和人工智 能技术,提高检测精度和速度
02
02
集成化:与其他安全系统集成, 实现协同防御
03
03
云化:利用云计算技术,提高系 统的可扩展性和灵活性
04
04
自动化:实现自动检测、响应和 修复,降低人工干预成本
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
8.1 入侵检测系统概述 8.2 入侵检测系统的组成 8.3 入侵检测的相关技术
8.4 入侵检测系统Snort
8.5 入侵防御系统 8.6 实验:基于snort的入侵检测系统安装和使用
8.7 小结
习题
2019/2/12
3
8.1
入侵检测系统概述
入侵检测系统全称为Intrusion Detection System (IDS),国际计算机安全协会(International Computer Security Association,ICSA)入侵检测系统 论坛将其定义为:通过从计算机网络或计算机系统中的若 干关键点收集信息进行分析,从中发现网络或系统中是否 有违反安全策略的行为和遭到攻击的迹象。 相对于防火墙来说,入侵检测通常被认为是一种动态 的防护手段。与其他安全产品不同的是,入侵检测系统需 要较复杂的技术,它将得到的数据进行分析,并得出有用 的结果。一个合格的入侵检测系统能大大地简化管理员的 工作,使管理员能够更容易地监视、审计网络和计算机系 统,扩展了管理员的安全管理能力,保证网络和计算机系 统的安全运行。
2019/2/12
4
8.1
入侵检测系统概述(续)
防火墙是所有保护网络的方法中最能普遍接受的 方法,能阻挡外部入侵者,但对内部攻击无能为力; 同时,防火墙绝对不是坚不可摧的,即使是某些防火 墙本身也会引起一些安全问题。防火墙不能防止通向 站点的后门,不提供对内部的保护,无法防范数据驱 动型的攻击,不能防止用户由Internet上下载被病毒 感染的计算机程序或将该类程序附在电子邮件上传输。 入侵检测是防火墙的合理补充,它帮助系统对付网 络攻击,扩展了系统管理员的安全管理能力(包括安全 审计、监视、进攻识别和响应),提高了信息安全基础 结构的完整性。
2019/2/12 5
8.1 入侵检测系统概述(续)
相关术语
攻击 •攻击者利用工具,出于某种动机,对目标系统采取的行动, 其后果是获取/破坏/篡改目标系统的数据或访问权限 事件 •在攻击过程中发生的可以识别的行动或行动造成的后果。在 入侵检测系统中,事件常常具有一系列属性和详细的描述信 息可供用户查看。也可以将入侵检测系统需要分析的数据统 称为事件(event)
入侵检测系统根据数据包来源的不同,采用不用的实现 方式,一般地可分为网络型、主机型,也可是这两种类型 的混合应用。 •基于网络的入侵检测系统(NIDS) •基于主机的入侵检测系统(HIDS) •混合型入侵检测系统(Hybrid IDS)
2019/2/12 13
入侵检测的实现方式 1、网络IDS:
网络IDS是网络上的一个监听设备(或一个专用主机), 通过监听网络上的所有报文,根据协议进行分析,并报告 网络中的非法使用者信息。 –安装在被保护的网段(共享网络、交换环境中交换机要 支持端口映射)中 –混杂模式监听 –分析网段中所有的数据包 –实时检测和响应
2019/2/12 10
8.1
入侵检测系统概述(续)
2019/2/12
11
8.1
入侵检测系统概述(续)
入侵检测的发展历程
1980年,概念的诞生
1984~1986年,模型的发展
1990年,形成网络IDS和主机IDS两大阵营
九十年代后至今,百家争鸣、繁荣昌盛
2019/2/12
12
入侵检测的实现方式
8.2 入侵检测系统的组成
CIDF把一个入侵检测系统分为以下组件: 事件产生器:负责原始数据采集,并将收集到的原始数据转 换为事件,向系统的其他部分提供此事件,又称传感器 (sensor)。 事件分析器:接收事件信息,对其进行分析,判断是否为入 侵行为或异常现象,最后将判断结果变为警告信息。 事件数据库:存放各种中间和最终入侵信息的地方,并从事 件产生器和事件分析器接收需要保存的事件,一般会将数 据长时间保存。 事件响应器:是根据入侵检测的结果,对入侵的行为作出适 当的反映,可选的响应措施包括主动响应和被动响应。
2019/2/12 9
入侵检测系统的作用
•监控网络和系统 •发现入侵企图或异常现象 •实时报警 •主动响应 •审计跟踪 形象地说,它就是网络摄像机,能够捕获并记录网络上的 所有数据,同时它也是智能摄像机,能够分析网络数据并提 炼出可疑的、异常的网络数据,它还是X光摄像机,能够穿 透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄像 机,还包括保安员的摄像机。
2019/2/12 24
8.2 入侵检测系统的组成
通用入侵检测框架 (Common Intrusion Detection Framework,CIDF)把一个入侵检测系统分为以下组件:
事件产生器 E 事件分析器 A
D 事件数据库
R 响应单元
图8-2 CIDF的入侵检测通用模型
2019/2/12 25
具体实现上也有所不同。从系统构成上看,入侵检测系统 至少包括数据提取、人侵分析、响应处理三个部分,另外 还可能结合安全知识库、数据存储等功能模块,提供更为 完善的安全检测及数据分析功能。如1987年Denning提出 的通用入侵检测模型主要由六部分构成,IDES与它的后继 版本NIDES都完全基于Denning的模型;另外,在总结现有 的入侵检测系统的基础上提出了一个入侵检测系统的通用 模型如图8-2所示。
2019/2/12 16
8.1
入侵检测系统概述(续)
网络IDS的劣势 (1) 交换环境和高速环境需附加条件 (2) 不能处理加密数据
(3) 资源及处理能力局限
(4) 系统相关的脆弱性
2019/2/12
17
入侵检测的实现方式 2、主机IDS
运行于被检测的主机之上,通过查询、监听当前系统
的各种资源的使用运行状态,发现系统资源被非法使用和 修改的事件,进行上报和处理。 – 安装于被保护的主机中 – 主要分析主机内部活动 – 占用一定的系统资源
2019/2/12 14
8.1
入侵检测系统概述(续)
网 络 数 据
读取网络数据 网络报文数据
协议分析
事件数据库 比较数据
N
Y
上报事件
图8-1 网络IDS工作模型
2019/2/12 15
8.1
入侵检测系统概述(续)
网络IDS优势 (1) 实时分析网络数据,检测网络系统的非法行为; (2) 网络IDS系统单独架设,不占用其它计算机系统的任何资 源; (3) 网络IDS系统是一个独立的网络设备,可以做到对黑客透 明,因此其本身的安全性高; (4) 它既可以用于实时监测系统,也是记录审计系统,可以 做到实时保护,事后取证分析; (5) 通过与防火墙的联动,不但可以对攻击预警,还可以更 有效地阻止非法入侵和破坏。 (6)不会增加网络中主机的负担。
2019/2/12 18
主机IDS优势 (1) 精确地判断攻击行为是否成功。 (2) ຫໍສະໝຸດ 控主机上特定用户活动、系统运行情况
(3) HIDS能够检测到NIDS无法检测的攻击
(4) HIDS适用加密的和交换的环境 (5) 不需要额外的硬件设备
2019/2/12
19
主机IDS的劣势
(1) HIDS对被保护主机的影响
4、混合型入侵检测系统(Hybrid IDS)
在新一代的入侵检测系统中将把现在的基于网络和基
于主机这两种检测技术很好地集成起来,提供集成化的攻
击签名检测报告和事件关联功能。
可以深入地研究入侵事件入侵手段本身及被入侵目标 的漏洞等。
2019/2/12
22
入侵检测系统的功能(小结)
1、监视并分析用户和系统的活动,查找非法用户和合法用户的越 权操作; 2、检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;
第八章 入侵检测系统
内容提要
入侵检测技术用来发现攻击行为,进而采取正确的响应措施, 是安全防御的重要环节。通过本章学习使学生能够掌握入侵检测 系统的基本原理,在了解Snort工作原理的基础上,掌握其安装和
使用方法,了解入侵防御技术的特点及其和入侵检测的区别。
2019/2/12
2
第八章 入侵检测系统
27
8.2 入侵检测系统的组成(续)
IDS的基本结构
引擎的主要功能 为:原始数据读取、 数据分析、产生事件、 策略匹配、事件处理、 通信等功能
2019/2/12
图8-3 引擎的工作流程
28
8.2 入侵检测系统的组成(续)
IDS的基本结构
控制中心的主要功能为:通信、事件读取、事件显示、策 略定制、日志分析、系统帮助等。
2019/2/12 6
8.1
入侵
入侵检测系统概述(续)
•对信息系统的非授权访问及(或)未经许可在信息系统 中进行操作
入侵检测
•对企图入侵、正在进行的入侵或已经发生的入侵进行识 别的过程 入侵检测系统(IDS) •用于辅助进行入侵检测或者独立进行入侵检测的自动化 工具
2019/2/12 7
8.1
入侵检测系统概述(续)
3、对用户的非正常活动进行统计分析,发现入侵行为的规律;
4、检查系统程序和数据一致性与正确性,如计算和比较文件系统 的校验;
5、能够实时对检测到的入侵行为作出反应;
6、操作系统的审计跟踪管理。
2019/2/12
23
8.2 入侵检测系统的组成
根据不同的网络环境和系统的应用,入侵检测系统在
2019/2/12
8
8.1
入侵检测系统概述(续)
入侵检测系统(IDS )由入侵检测的软件与硬件组合而 成,被认为是防火墙之后的第二道安全闸门,在不影响网络 性能的情况下能对网络进行监测,提供对内部攻击、外部攻 击和误操作的实时保护。这些都通过它执行以下任务来实现: 1)监视、分析用户及系统活动。 2)系统构造和弱点的审计。 3)识别反映已知进攻的活动模式并向相关人士报警。 4)异常行为模式的统计分析。 5)评估重要系统和数据文件的完整性。 6)操作系统的审计跟踪管理,并识别用户违反安全策 略的行为。
8.4 入侵检测系统Snort
8.5 入侵防御系统 8.6 实验:基于snort的入侵检测系统安装和使用
8.7 小结
习题
2019/2/12
3
8.1
入侵检测系统概述
入侵检测系统全称为Intrusion Detection System (IDS),国际计算机安全协会(International Computer Security Association,ICSA)入侵检测系统 论坛将其定义为:通过从计算机网络或计算机系统中的若 干关键点收集信息进行分析,从中发现网络或系统中是否 有违反安全策略的行为和遭到攻击的迹象。 相对于防火墙来说,入侵检测通常被认为是一种动态 的防护手段。与其他安全产品不同的是,入侵检测系统需 要较复杂的技术,它将得到的数据进行分析,并得出有用 的结果。一个合格的入侵检测系统能大大地简化管理员的 工作,使管理员能够更容易地监视、审计网络和计算机系 统,扩展了管理员的安全管理能力,保证网络和计算机系 统的安全运行。
2019/2/12
4
8.1
入侵检测系统概述(续)
防火墙是所有保护网络的方法中最能普遍接受的 方法,能阻挡外部入侵者,但对内部攻击无能为力; 同时,防火墙绝对不是坚不可摧的,即使是某些防火 墙本身也会引起一些安全问题。防火墙不能防止通向 站点的后门,不提供对内部的保护,无法防范数据驱 动型的攻击,不能防止用户由Internet上下载被病毒 感染的计算机程序或将该类程序附在电子邮件上传输。 入侵检测是防火墙的合理补充,它帮助系统对付网 络攻击,扩展了系统管理员的安全管理能力(包括安全 审计、监视、进攻识别和响应),提高了信息安全基础 结构的完整性。
2019/2/12 5
8.1 入侵检测系统概述(续)
相关术语
攻击 •攻击者利用工具,出于某种动机,对目标系统采取的行动, 其后果是获取/破坏/篡改目标系统的数据或访问权限 事件 •在攻击过程中发生的可以识别的行动或行动造成的后果。在 入侵检测系统中,事件常常具有一系列属性和详细的描述信 息可供用户查看。也可以将入侵检测系统需要分析的数据统 称为事件(event)
入侵检测系统根据数据包来源的不同,采用不用的实现 方式,一般地可分为网络型、主机型,也可是这两种类型 的混合应用。 •基于网络的入侵检测系统(NIDS) •基于主机的入侵检测系统(HIDS) •混合型入侵检测系统(Hybrid IDS)
2019/2/12 13
入侵检测的实现方式 1、网络IDS:
网络IDS是网络上的一个监听设备(或一个专用主机), 通过监听网络上的所有报文,根据协议进行分析,并报告 网络中的非法使用者信息。 –安装在被保护的网段(共享网络、交换环境中交换机要 支持端口映射)中 –混杂模式监听 –分析网段中所有的数据包 –实时检测和响应
2019/2/12 10
8.1
入侵检测系统概述(续)
2019/2/12
11
8.1
入侵检测系统概述(续)
入侵检测的发展历程
1980年,概念的诞生
1984~1986年,模型的发展
1990年,形成网络IDS和主机IDS两大阵营
九十年代后至今,百家争鸣、繁荣昌盛
2019/2/12
12
入侵检测的实现方式
8.2 入侵检测系统的组成
CIDF把一个入侵检测系统分为以下组件: 事件产生器:负责原始数据采集,并将收集到的原始数据转 换为事件,向系统的其他部分提供此事件,又称传感器 (sensor)。 事件分析器:接收事件信息,对其进行分析,判断是否为入 侵行为或异常现象,最后将判断结果变为警告信息。 事件数据库:存放各种中间和最终入侵信息的地方,并从事 件产生器和事件分析器接收需要保存的事件,一般会将数 据长时间保存。 事件响应器:是根据入侵检测的结果,对入侵的行为作出适 当的反映,可选的响应措施包括主动响应和被动响应。
2019/2/12 9
入侵检测系统的作用
•监控网络和系统 •发现入侵企图或异常现象 •实时报警 •主动响应 •审计跟踪 形象地说,它就是网络摄像机,能够捕获并记录网络上的 所有数据,同时它也是智能摄像机,能够分析网络数据并提 炼出可疑的、异常的网络数据,它还是X光摄像机,能够穿 透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄像 机,还包括保安员的摄像机。
2019/2/12 24
8.2 入侵检测系统的组成
通用入侵检测框架 (Common Intrusion Detection Framework,CIDF)把一个入侵检测系统分为以下组件:
事件产生器 E 事件分析器 A
D 事件数据库
R 响应单元
图8-2 CIDF的入侵检测通用模型
2019/2/12 25
具体实现上也有所不同。从系统构成上看,入侵检测系统 至少包括数据提取、人侵分析、响应处理三个部分,另外 还可能结合安全知识库、数据存储等功能模块,提供更为 完善的安全检测及数据分析功能。如1987年Denning提出 的通用入侵检测模型主要由六部分构成,IDES与它的后继 版本NIDES都完全基于Denning的模型;另外,在总结现有 的入侵检测系统的基础上提出了一个入侵检测系统的通用 模型如图8-2所示。
2019/2/12 16
8.1
入侵检测系统概述(续)
网络IDS的劣势 (1) 交换环境和高速环境需附加条件 (2) 不能处理加密数据
(3) 资源及处理能力局限
(4) 系统相关的脆弱性
2019/2/12
17
入侵检测的实现方式 2、主机IDS
运行于被检测的主机之上,通过查询、监听当前系统
的各种资源的使用运行状态,发现系统资源被非法使用和 修改的事件,进行上报和处理。 – 安装于被保护的主机中 – 主要分析主机内部活动 – 占用一定的系统资源
2019/2/12 14
8.1
入侵检测系统概述(续)
网 络 数 据
读取网络数据 网络报文数据
协议分析
事件数据库 比较数据
N
Y
上报事件
图8-1 网络IDS工作模型
2019/2/12 15
8.1
入侵检测系统概述(续)
网络IDS优势 (1) 实时分析网络数据,检测网络系统的非法行为; (2) 网络IDS系统单独架设,不占用其它计算机系统的任何资 源; (3) 网络IDS系统是一个独立的网络设备,可以做到对黑客透 明,因此其本身的安全性高; (4) 它既可以用于实时监测系统,也是记录审计系统,可以 做到实时保护,事后取证分析; (5) 通过与防火墙的联动,不但可以对攻击预警,还可以更 有效地阻止非法入侵和破坏。 (6)不会增加网络中主机的负担。
2019/2/12 18
主机IDS优势 (1) 精确地判断攻击行为是否成功。 (2) ຫໍສະໝຸດ 控主机上特定用户活动、系统运行情况
(3) HIDS能够检测到NIDS无法检测的攻击
(4) HIDS适用加密的和交换的环境 (5) 不需要额外的硬件设备
2019/2/12
19
主机IDS的劣势
(1) HIDS对被保护主机的影响
4、混合型入侵检测系统(Hybrid IDS)
在新一代的入侵检测系统中将把现在的基于网络和基
于主机这两种检测技术很好地集成起来,提供集成化的攻
击签名检测报告和事件关联功能。
可以深入地研究入侵事件入侵手段本身及被入侵目标 的漏洞等。
2019/2/12
22
入侵检测系统的功能(小结)
1、监视并分析用户和系统的活动,查找非法用户和合法用户的越 权操作; 2、检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;
第八章 入侵检测系统
内容提要
入侵检测技术用来发现攻击行为,进而采取正确的响应措施, 是安全防御的重要环节。通过本章学习使学生能够掌握入侵检测 系统的基本原理,在了解Snort工作原理的基础上,掌握其安装和
使用方法,了解入侵防御技术的特点及其和入侵检测的区别。
2019/2/12
2
第八章 入侵检测系统
27
8.2 入侵检测系统的组成(续)
IDS的基本结构
引擎的主要功能 为:原始数据读取、 数据分析、产生事件、 策略匹配、事件处理、 通信等功能
2019/2/12
图8-3 引擎的工作流程
28
8.2 入侵检测系统的组成(续)
IDS的基本结构
控制中心的主要功能为:通信、事件读取、事件显示、策 略定制、日志分析、系统帮助等。
2019/2/12 6
8.1
入侵
入侵检测系统概述(续)
•对信息系统的非授权访问及(或)未经许可在信息系统 中进行操作
入侵检测
•对企图入侵、正在进行的入侵或已经发生的入侵进行识 别的过程 入侵检测系统(IDS) •用于辅助进行入侵检测或者独立进行入侵检测的自动化 工具
2019/2/12 7
8.1
入侵检测系统概述(续)
3、对用户的非正常活动进行统计分析,发现入侵行为的规律;
4、检查系统程序和数据一致性与正确性,如计算和比较文件系统 的校验;
5、能够实时对检测到的入侵行为作出反应;
6、操作系统的审计跟踪管理。
2019/2/12
23
8.2 入侵检测系统的组成
根据不同的网络环境和系统的应用,入侵检测系统在
2019/2/12
8
8.1
入侵检测系统概述(续)
入侵检测系统(IDS )由入侵检测的软件与硬件组合而 成,被认为是防火墙之后的第二道安全闸门,在不影响网络 性能的情况下能对网络进行监测,提供对内部攻击、外部攻 击和误操作的实时保护。这些都通过它执行以下任务来实现: 1)监视、分析用户及系统活动。 2)系统构造和弱点的审计。 3)识别反映已知进攻的活动模式并向相关人士报警。 4)异常行为模式的统计分析。 5)评估重要系统和数据文件的完整性。 6)操作系统的审计跟踪管理,并识别用户违反安全策 略的行为。