网络安全与管理第6章 入侵检测
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(3)有些攻击在网络数据中很难发现,或者 根本没有通过网络而在本地进行。这时网络入侵 检测系统将无能为力,只能借助HIDS。
6.2.2 基于网络系统的结构
基于网络的入侵检测系统NIDS如下图所示, 通过在共享式网络上对通信数据进行侦听采集数 据,分析可疑现象。
6.2.3 基于分布式系统的结构
(2)容错性。入侵检测系统必须是可容错的, 即使系统崩溃,检测系统本身必须保留下来。
(3)可用性。入侵检测系统所占用的系统资 源要最小,这样不会严重降低系统性能。
(4)可检验性。能观察到非正常行为的行为。
(5)对观察的系统来说必须是易于开发的, 每一个系统都有不同的使用模式。
(6)可适应性。检测系统应能实时追踪系统 环境的改变,如操作系统和应用系统的升级。
第6章 入侵检测
主讲:×××
6.1 入侵检测方法
6.1.1 异常入侵检测技术 6.1.2 误用入侵检测技术
6.1 入侵检测方法
入侵(Intrusion)不仅包括发起攻击的人 取得超出范围的系统控制权,也包括收集漏洞信 息,造成拒绝访问等对计算机造成危害的行为。
入侵检测(Intrusion Detection)便是对 入侵行为的发觉。它通过对计算机网络或计算机 系统中的若干关键点收集信息并对其进行分析, 从中发现网络或系统中是否有违反安全策略的行 为和被攻击的迹象。
基于主机的IDS的结构如下页图所示。
6.2.1 基于主机系统的结构
HIDS的优点如下:
(1)能够监视特定的系统行为。基于主机的 IDS能够监视所有的用户登录和退出,甚至用户 所做的所有操作,日志里记录的审计系统策略的 改变,关键系统文件和可执行文件的改变等。
(2)HIDS能够确定攻击是否成功。由于使 用含有已经发生事件的信息,它们可以比网络入 侵检测系统更加准确地判断攻击是否成功。
CIDF的体系结构如下页图所示。
6.2.5 入侵检测框架简介
2.入侵检测交换格式IDEF
入侵检测工作组IDWG采用面向对象的方式, 定义和设计了入侵检测的数据模型,用于描述在 不同组件之间所交换的各种警报信息、控制命令 和配置信息等通信数据,然后采用基于XML的 IDMEF消息格式对该数据模型进行了形式化的描 述和实现。
如果系统错误地将异常活动定义为入侵称为 错报,如果系统未能检测出真正的入侵行为则称 为漏报。如下图所示是异常检测技术的模型。
6.1.2 异常入侵检测技术
误用检测的前提是首先提取已知入侵行为的 特征,建立入侵特征库,然后将当前用户或系统 行为与入侵特征库中的记录进行匹配,如果相匹 配就认为当前用户或系统行为是入侵,否则入侵 检测系统认为是正常行为。很显然,如果正常行 为与入侵特征相匹配,则入侵检测系统发生错报, 而如果没有入侵特征与某种新的攻击行为相匹配, 则IDS系统发生漏报。如下图所示是误用检测模 型。
(7)准确性。检测系统不能随意发送误警报 和漏报。
(8)安全性。检测系统应不易于被欺骗和保 护自身系统的安全。
6.2.5 入侵检测框架简介
1.通用入侵检测框架CIDF
CIDF定义了IDS表达检测信息的标准语言以 及IDS组件之间的通信协议。符合CIDF规范的 IDS可以共享检测信息、相互通信、协同工作, 还可以与其他系统配合,协调实施统一的配置响 应和恢复策略。CIDF的主要工作在于集成各种 IDS使之协同工作,实现各IDS之间的组件重用, 所以CIDF也是构建分布式IDS的基础。
无论 NIDS还是HIDS,无论采用误用检测 技术还是异常检测技术,在整个数据处理过程中, 包括数据的收集、预处理、分析、检测以及检测 到入侵行为后采取的相应措施,都由单个监控设 备或者监控程序完成。在面临大规模、分布式的 应用环境时,传统的单机方式遇到了极大的挑战。 在这种情况下,要求各个IDS之间能够实现高效 的信息共享和协作检测。在大范围网络中部署有 效的IDS推动了分布式入侵检测系统的诞生和不 断发展。
入侵检测系统(Intrusion Detection System,IDS)指的是任何有能力检测系统或网 络状态改变的系统或系统的集合,它能发送警报 或采取预先设置好的行动来帮助保护网络。
6.1.1 异常入侵检测技术
异常检测技术是运行在系统层或应用层的监 控程序通过将当前主体的活动情况和用户轮廓进 行比较来监控用户的行为。当当前主体的活动与 正常行为有重大偏离时即被认为是入侵行为。
6.2 入侵检测系统的设计原理
6.1.1 基于主机系统的结构 6.1.2 基于网络系统的结构 6.2.3 基于分布式系统的结构 6.2.4 入侵检测系统需求特性 6.2.5 入侵检测框架简介
6.2.1 基于主机系统的结构
基于主机的入侵检测系统(HIDS)通常从主 机的审计记录和日志文件中获得所需要的主要数 据,并辅助以主机上的其他信息,例如文件系统 属性、进程Βιβλιοθήκη Baidu态等,在此基础上完成检测攻击行 为的任务。从技术发展的历程来看,入侵检测是 从主机审计的技术上发展起来的,因而早期的入 侵检测系统都是基于主机的入侵检测技术。
6.2.4 入侵检测系统需求特性
入侵检测的部署与实现是和用户的需求密切 相关的,有的是用来检测内部用户发起的攻击行 为,有的是用来检测外部发起的攻击行为,但根 据前面的知识,无论采用什么样的入侵检测系统, 也不管入侵检测系统是基于什么机制,入侵检测 系统应该具有以下特点:
(1)可靠性。检测系统必须可以在无人监控 的情况下持续运行。系统必须是可靠的,这样才 可以允许它运行在被检测的系统环境中。而且, 检测系统不是一个“黑匣子”,其内部情况应该 可以从外部观察到,并且具有可控制性和可操作 性。
数据模型用统一建模语言(UML)描述,UML 用一个简单的框架表示实体以及它们之间的关系, 并将实体定义为类。
6.3 入侵检测系统的部署
6.3.1 定义IDS的目标 6.3.2 选择监视内容 6.3.3 部署IDS
6.3.1 定义IDS的目标
不同的组网应用可能使用不同的规则配置, 所以用户在配置入侵检测系统前应先明确自己的 目标,建议从如下几个方面进行考虑。
6.2.2 基于网络系统的结构
基于网络的入侵检测系统NIDS如下图所示, 通过在共享式网络上对通信数据进行侦听采集数 据,分析可疑现象。
6.2.3 基于分布式系统的结构
(2)容错性。入侵检测系统必须是可容错的, 即使系统崩溃,检测系统本身必须保留下来。
(3)可用性。入侵检测系统所占用的系统资 源要最小,这样不会严重降低系统性能。
(4)可检验性。能观察到非正常行为的行为。
(5)对观察的系统来说必须是易于开发的, 每一个系统都有不同的使用模式。
(6)可适应性。检测系统应能实时追踪系统 环境的改变,如操作系统和应用系统的升级。
第6章 入侵检测
主讲:×××
6.1 入侵检测方法
6.1.1 异常入侵检测技术 6.1.2 误用入侵检测技术
6.1 入侵检测方法
入侵(Intrusion)不仅包括发起攻击的人 取得超出范围的系统控制权,也包括收集漏洞信 息,造成拒绝访问等对计算机造成危害的行为。
入侵检测(Intrusion Detection)便是对 入侵行为的发觉。它通过对计算机网络或计算机 系统中的若干关键点收集信息并对其进行分析, 从中发现网络或系统中是否有违反安全策略的行 为和被攻击的迹象。
基于主机的IDS的结构如下页图所示。
6.2.1 基于主机系统的结构
HIDS的优点如下:
(1)能够监视特定的系统行为。基于主机的 IDS能够监视所有的用户登录和退出,甚至用户 所做的所有操作,日志里记录的审计系统策略的 改变,关键系统文件和可执行文件的改变等。
(2)HIDS能够确定攻击是否成功。由于使 用含有已经发生事件的信息,它们可以比网络入 侵检测系统更加准确地判断攻击是否成功。
CIDF的体系结构如下页图所示。
6.2.5 入侵检测框架简介
2.入侵检测交换格式IDEF
入侵检测工作组IDWG采用面向对象的方式, 定义和设计了入侵检测的数据模型,用于描述在 不同组件之间所交换的各种警报信息、控制命令 和配置信息等通信数据,然后采用基于XML的 IDMEF消息格式对该数据模型进行了形式化的描 述和实现。
如果系统错误地将异常活动定义为入侵称为 错报,如果系统未能检测出真正的入侵行为则称 为漏报。如下图所示是异常检测技术的模型。
6.1.2 异常入侵检测技术
误用检测的前提是首先提取已知入侵行为的 特征,建立入侵特征库,然后将当前用户或系统 行为与入侵特征库中的记录进行匹配,如果相匹 配就认为当前用户或系统行为是入侵,否则入侵 检测系统认为是正常行为。很显然,如果正常行 为与入侵特征相匹配,则入侵检测系统发生错报, 而如果没有入侵特征与某种新的攻击行为相匹配, 则IDS系统发生漏报。如下图所示是误用检测模 型。
(7)准确性。检测系统不能随意发送误警报 和漏报。
(8)安全性。检测系统应不易于被欺骗和保 护自身系统的安全。
6.2.5 入侵检测框架简介
1.通用入侵检测框架CIDF
CIDF定义了IDS表达检测信息的标准语言以 及IDS组件之间的通信协议。符合CIDF规范的 IDS可以共享检测信息、相互通信、协同工作, 还可以与其他系统配合,协调实施统一的配置响 应和恢复策略。CIDF的主要工作在于集成各种 IDS使之协同工作,实现各IDS之间的组件重用, 所以CIDF也是构建分布式IDS的基础。
无论 NIDS还是HIDS,无论采用误用检测 技术还是异常检测技术,在整个数据处理过程中, 包括数据的收集、预处理、分析、检测以及检测 到入侵行为后采取的相应措施,都由单个监控设 备或者监控程序完成。在面临大规模、分布式的 应用环境时,传统的单机方式遇到了极大的挑战。 在这种情况下,要求各个IDS之间能够实现高效 的信息共享和协作检测。在大范围网络中部署有 效的IDS推动了分布式入侵检测系统的诞生和不 断发展。
入侵检测系统(Intrusion Detection System,IDS)指的是任何有能力检测系统或网 络状态改变的系统或系统的集合,它能发送警报 或采取预先设置好的行动来帮助保护网络。
6.1.1 异常入侵检测技术
异常检测技术是运行在系统层或应用层的监 控程序通过将当前主体的活动情况和用户轮廓进 行比较来监控用户的行为。当当前主体的活动与 正常行为有重大偏离时即被认为是入侵行为。
6.2 入侵检测系统的设计原理
6.1.1 基于主机系统的结构 6.1.2 基于网络系统的结构 6.2.3 基于分布式系统的结构 6.2.4 入侵检测系统需求特性 6.2.5 入侵检测框架简介
6.2.1 基于主机系统的结构
基于主机的入侵检测系统(HIDS)通常从主 机的审计记录和日志文件中获得所需要的主要数 据,并辅助以主机上的其他信息,例如文件系统 属性、进程Βιβλιοθήκη Baidu态等,在此基础上完成检测攻击行 为的任务。从技术发展的历程来看,入侵检测是 从主机审计的技术上发展起来的,因而早期的入 侵检测系统都是基于主机的入侵检测技术。
6.2.4 入侵检测系统需求特性
入侵检测的部署与实现是和用户的需求密切 相关的,有的是用来检测内部用户发起的攻击行 为,有的是用来检测外部发起的攻击行为,但根 据前面的知识,无论采用什么样的入侵检测系统, 也不管入侵检测系统是基于什么机制,入侵检测 系统应该具有以下特点:
(1)可靠性。检测系统必须可以在无人监控 的情况下持续运行。系统必须是可靠的,这样才 可以允许它运行在被检测的系统环境中。而且, 检测系统不是一个“黑匣子”,其内部情况应该 可以从外部观察到,并且具有可控制性和可操作 性。
数据模型用统一建模语言(UML)描述,UML 用一个简单的框架表示实体以及它们之间的关系, 并将实体定义为类。
6.3 入侵检测系统的部署
6.3.1 定义IDS的目标 6.3.2 选择监视内容 6.3.3 部署IDS
6.3.1 定义IDS的目标
不同的组网应用可能使用不同的规则配置, 所以用户在配置入侵检测系统前应先明确自己的 目标,建议从如下几个方面进行考虑。