第5章入侵检测与防御技术讲解

13
入侵检测系统的主要功能
监测并分析用户和系统的活动 核查系统配置和漏洞 评估系统关键资源和数据文件的完整性 识别已知的攻击行为 统计分析异常行为 操作系统日志管理，并识别违反安全策略的
用户活动 实时通知
14
实时监控非法入侵的过程示意图
报警 日志记录
入侵检测
记录
内部入侵
终止入侵
重新配置 防火墙 路由器
• 目的： – 定义数据格式 – 定义交换流程
• 输出 – 需求文件 – 公共入侵检测语言规范 – 框架文件
• 目前成果 17 – 尚未形成正式标准，形成 4个草案
IDWG通用IDS模型
入侵检测系统（IDS） – 一个或多个下列组建的 组合：传感器、分析器和 管理器。
安全策略 – 预定义的、正式的成文 的说明，它定义了组织机 构内网络或特定主机上允 许发生的目的为支持组织 机构要求的活动。它包括 但不限于下列活动：哪一 台主机拒绝外部网络访问 等。
• 防护、检测和响应组成了一个 完整的、动态的安全循环。
网络安全对策与入侵检测
• 入侵检测是最近10余年发展起来的一种动态的 监控、预防或抵御系统入侵行为的安全机制。 主要通过监控网络、系统的状态、行为以及系 统的使用情况，来检测系统用户的越权使用以 及系统外部的入侵者利用系统的安全缺陷对系 统进行入侵的企图。
• 入侵检测系统（Intrusion Detection System,简 称IDS）是进行入侵检测的软件与硬件的组合
– 与其他安全产品不同的是，入侵检测系统需要更多的智 能，它必须可以将得到的数据进行分析，并得出有用的 结果。一个合格的入侵检测系统能大大的简化管理员的 工作，保证网络安全的运行
12
– DARPA（Defense Advanced Research Projects Agency）的Teresa Lunt女 士提出
– Stuart Staniford-Chen对CIDF概念进行拓宽
• 通用入侵检测框架－Common Intrusion Detection Framework
– 体系结构的IDS模块 – 用于审计数据和数据传送的规范
• CIDF信息
– http://www.seclab.ucdavis.edu/cidf/spec/cidf.txt – http://www.isi.edu/gost/cidf/
8
P2DR模型
• P2DR模型是在整体的安全策略（Policy）的控制和指导下， 在综合运用防护工具（Protection，如防火墙、身份认证系 统、加密设备）的同时，利用检测工具（Detection，如漏 洞评估、入侵检测系统）了解和判断系统的安全状态，通 过适当响应（Response）措施将系统调整到最安全和风险 最低的状态。
防火墙在大多数机构的网络安全策略中起到 支柱作用
4
防火墙的位置
Internet
防火墙
入侵检测概述
Intranet
5
防火墙的作用
阻绝非法进出
防火墙
STOP!
1. 验明正身 2. 检查权限
6
防火墙办不到的事
•病毒等恶性程序可利用 email夹带闯关
防火墙
•防火墙无法有效解决自身 的安全问题
•不能提供实时的攻击检测 能力，防火墙只是按照固 定的工作模式来防范已知 的威胁
•防火墙不能阻止来自内部 的攻击
7
网络安全
• 计算机网络的安全是指计算机网络的机密性 (Confidentiality)、完整性（Integrity）、可用性。
• 传统的安全保护主要从被动防御的角度出发，增 加攻击者对网络系统破坏的难度，典型的如： ➢利用访问控制机制防止未经许可的主体对对象 的访问； ➢利用认证机制防止未经授权的使用者登录用户 系统； ➢利用加密技术防止第三者获取机密信息。
IDS置于防火墙与内部网之间
攻击者
内部网
Internet
Web服务器
防火墙
Email服务器
IDS
来自百度文库
入侵检测即是对入侵行为的发觉
入侵检测系统是入侵检测的软件与硬件的有机组合
入侵检测系统是处于防火墙之后对网络活动的实时监控
入侵检测系统是不仅能检测来自外部的入侵行为，同时也监
督内部用户的未授权活动
IETF IDWG（Intrusion Detection Working Group） 《D18raft：Intrusion Detection Message Exchange Requirements》
CIDF—Common Intrusion Detection Framework
• 历史
– 入侵检测被认为是防火墙之后的第二道安全闸门。 – 入侵检测在不影响网络性能的情况下对网络进行监
测，从而提供对内部攻击、外部攻击和误操作的实 施保护。
10
入侵及入侵检测系统的定义
• 入侵
—绕过系统安全机制的非授权行为。 —危害计算机、网络的机密性、完整性和可用性或者绕过 计算机、网络的安全机制的尝试。入侵通常是由从互联网 访问系统的攻击者、或者试图获得额外或者更高的非法权 限的授权用户等引起的。
攻击检测
记录入侵
过程
15
IDS产品常见结构
传感器 SENSOR
传感器 SENSOR
传感器 SENSOR
16
控制台 CONSOLE
传感器 SENSOR
传感器 SENSOR
IDWG—Intrusion Detection Working Group
• IDWG:入侵检测工作组 http://www.ietf.org/html.charters/idwg-charter.html
• 入侵检测
—是一种对计算机系统或网络事件进行监测并分析这些入 侵事件特征的过程。
• 入侵检测系统
—自动进行这种监测和分析过程的软件或硬件产品。
11
入侵检测技术简介
• 入侵检测（Intrusion Detection），是对入侵行 为的发觉
– 它通过对计算机网络或计算机系统中得若干关键点收集 信息并对其进行分析，从中发现网络或系统中是否有违 反安全策略的行为和被攻击的迹象
第5章
入侵检测与防御技术
主要内容
• 入侵检测系统定义和模型 • 入侵检测系统的发展历史 • 入侵检测系统的架构 • 入侵检测的流程 • 入侵检测系统的部署
2
安全事件模式
3
传统的安全措施
• 加密 • 数字签名 • 身份鉴别：口令、鉴别交换协议、生物特征 • 访问控制 • 安全协议： IPSec、SSL • 网络安全产品与技术：防火墙、VPN