入侵检测系统
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5
一、什么是入侵检测
2、入侵检测的分类
根据所采用的技术可以分为: 1)异常检测:异常检测的假设是入侵者活动 异常于正常主体的活动,建立正常活动的 “活动简档”,当前主体的活动违反其统计 规律时,认为可能是“入侵”行为。 2)特征检测:特征检测假设入侵者活动可以 用一种模式来表示,系统的目标是检测主体 活动是否符合这些模式。
入侵检测系统
1
一、什么是入侵检测
1、入侵检测的概念
入侵检测的内容:试图闯入、成功闯入、冒充 其他用户、违反安全策略、合法用户的泄漏、 独占资源以及恶意使用。 入侵检测( Intrusion Detection):通过从计算 机网络或计算机系统的关键点收集信息并进行 分析,从中发现网络或系统中是否有违反安全 策略的行为和被攻击的迹象。 入侵检测系统( IDS):入侵检测的软件与硬 件的组合,是防火墙的合理补充,是防火墙之 后的第二道安全闸门。 2
14
二、入侵检测产品分析
1、基于网络的入侵检测
基于网络的入侵检测系统使用原始网络包作为数据源。 通常采用四种技术来识别攻击标志: 模式、表达式或字节匹配 频率或穿越阈值 低级事件的相关性 统计学意义上的非常规现象检测 一旦检测到了攻击行为,IDS的响应模块提供多种选项 以通知、报警并对攻击采取相应的反应。通常都包括 通知管理员、中断连接,收集证据。
一、什么是入侵检测
1、入侵检测的概念:模型
Dennying的通用入侵检测模型。模型缺点是它没有包含已知 系统漏洞或攻击方法的知识
3
一、什么是入侵检测
1、入侵检测的概念:任务
· 监视、分析用户及系统活动,查找非法用户和合法 用户的越权操作; ·系统构造和弱点的审计,并提示管理员修补漏洞; ·识别反映已知进攻的活动模式并报警,能够实时对 检测到的入侵行为进行反应; ·异常行为模式的统计分析,发现入侵行为的规律;
8
一、什么是入侵检测
3、信息收集
第一步是信息收集,包括系统、网络、数据及用户活 动的状态和行为。需要在系统中的不同关键点(网段 和主机)收集信息,这样做的理由就是从一个来源的 信息有可能看不出疑点,但从几个源来的信息的不一 致性却是可疑行为或入侵的最好标识。 1.系统和网络日志文件 2.目录和文件中的不期望的改变 3.程序执行中的不期望行为 4. 物理形式的入侵信息
优点:攻克文件完整性检查系统,无论是时间 上还是空间上都是不可能的。 配置灵活,可以有选择地监测重要文件。
13
二、入侵检测产品分析
文件完整性检查的弱点: 一般以批处理方式实现,不用于实时响应。 该方法作为网络安全的必要补充,定期运行。 文件完整性检查系统依赖于本地的文摘数据 库。这些数据可能被入侵者修改。防范对策: 将摘要数据库放在只读介质上。 文件完整性检查非常耗时。 系统正常的升级会带来大量的文件更新。例 如,Windows NT系统中升级MS-Outlook将会 带来1800多个文件变化。
11
一、什么是入侵检测
4、信号分析
2.统计分析
对系统对象(如用户、文件、目录和设备等)创建一 个统计描述,统计正常使用时的一些测量属性(如访 问次数、操作失败次数和延时等)。测量属性的平均 值与网络、系统的行为进行比较,任何观察值在正常 值范围之外时,就认为有入侵发生。例如,某帐户突 然在凌晨两点试图登录。 优点:可检测到未知的入侵和更为复杂的入侵
缺点:误报、漏报率高,不适应用户正常行为的突然 改变。统计分析方法如基于专家系统的、基于模型推 理的和基于神经网络的分析方法。 12
一、什么是入侵检测
3.完整性分析:利用消息摘要Hash函数计算
完整性分析关注某个文件或对象是否被更改, 包括文件和目录的内容及属性,它在发现被木 马、病毒更改的应用程序方面特别有效。检查 系统保存有每个文件的数字摘要数据库,通过 重新计算文件的数字文摘并与数据库中的值相 比较来判断文件是否被修改。
·评估重要系统和数据文件的完整性;
·操作系统的审计跟踪管理,并识别用户违反安全策 略的行为。
4
一、什么是入侵检测
1、入侵检测的概念
传统安全防范技术的不足 传统的操作系统加固技术和防火墙隔离技术 等都是静态安全防御技术,对网络环境下日 新月异的攻击手段缺乏主动的反应。 入侵检测技术通过对入侵行为的过程与特征 的研究使安全系统对入侵事件和入侵过程能 做出实时响应。
7
一、什么是入侵检测
2、入侵检测的分类
根据系统的工作方式分为: 1 )离线检测系统:离线检测系统是非实时工作的 系统,它在事后分析审计事件,从中检查入侵活动。
2 )在线检测系统:在线检测系统是实时联机的检 测系统,它包含对实时网络数据包分析,实时主机 审计分析。其工作过程是实时入侵检测在网络连接 过程中进行,系统根据用户的历史行为模型、存储 在计算机中的专家知识以及神经网络模型对用户当 前的操作进行判断,一旦发现入侵迹象立即断开入 侵者与主机的连接,并收集证据和实施数据恢复。
6
一、什么是入侵检测
2、入侵检测的分类
根据所监测的对象来分: 1 )基于主机的入侵检测系统( HIDS):通过监视 与分析主机的审计记录检测入侵。能否及时采集到 审计是这些系统的弱点之一,入侵者会将主机审计 子系统作为攻击目标以避开入侵检测系统。 2 )基于网络的入侵检测系统( NIDS):通过在共 享网段上对通信数据的侦听采集数据,分析可疑现 象。这类系统不需要主机提供严格的审计,对主机 资源消耗少,并可以提供对网络通用的保护而无需 顾及异构主机的不同架构。
9
一、什么是入侵检测
手 段进行分析: 模式匹配:用于实时的入侵检测
统计分析:用于实时的入侵检测
完整性分析:用于事后分析。
10
一、什么是入侵检测
4、信号分析
1. 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵 和系统误用模式数据库进行比较,从而发现违背安 全策略的行为。 优点:只需收集相关的数据集合,显著减少系统负 担,且技术已相当成熟。它与病毒防火墙采用的方 法一样,检测准确率和效率都相当高。 缺点:需要不断的升级以对付不断出现的黑客攻击 手法,不能检测到从未出现过的黑客攻击手段。
一、什么是入侵检测
2、入侵检测的分类
根据所采用的技术可以分为: 1)异常检测:异常检测的假设是入侵者活动 异常于正常主体的活动,建立正常活动的 “活动简档”,当前主体的活动违反其统计 规律时,认为可能是“入侵”行为。 2)特征检测:特征检测假设入侵者活动可以 用一种模式来表示,系统的目标是检测主体 活动是否符合这些模式。
入侵检测系统
1
一、什么是入侵检测
1、入侵检测的概念
入侵检测的内容:试图闯入、成功闯入、冒充 其他用户、违反安全策略、合法用户的泄漏、 独占资源以及恶意使用。 入侵检测( Intrusion Detection):通过从计算 机网络或计算机系统的关键点收集信息并进行 分析,从中发现网络或系统中是否有违反安全 策略的行为和被攻击的迹象。 入侵检测系统( IDS):入侵检测的软件与硬 件的组合,是防火墙的合理补充,是防火墙之 后的第二道安全闸门。 2
14
二、入侵检测产品分析
1、基于网络的入侵检测
基于网络的入侵检测系统使用原始网络包作为数据源。 通常采用四种技术来识别攻击标志: 模式、表达式或字节匹配 频率或穿越阈值 低级事件的相关性 统计学意义上的非常规现象检测 一旦检测到了攻击行为,IDS的响应模块提供多种选项 以通知、报警并对攻击采取相应的反应。通常都包括 通知管理员、中断连接,收集证据。
一、什么是入侵检测
1、入侵检测的概念:模型
Dennying的通用入侵检测模型。模型缺点是它没有包含已知 系统漏洞或攻击方法的知识
3
一、什么是入侵检测
1、入侵检测的概念:任务
· 监视、分析用户及系统活动,查找非法用户和合法 用户的越权操作; ·系统构造和弱点的审计,并提示管理员修补漏洞; ·识别反映已知进攻的活动模式并报警,能够实时对 检测到的入侵行为进行反应; ·异常行为模式的统计分析,发现入侵行为的规律;
8
一、什么是入侵检测
3、信息收集
第一步是信息收集,包括系统、网络、数据及用户活 动的状态和行为。需要在系统中的不同关键点(网段 和主机)收集信息,这样做的理由就是从一个来源的 信息有可能看不出疑点,但从几个源来的信息的不一 致性却是可疑行为或入侵的最好标识。 1.系统和网络日志文件 2.目录和文件中的不期望的改变 3.程序执行中的不期望行为 4. 物理形式的入侵信息
优点:攻克文件完整性检查系统,无论是时间 上还是空间上都是不可能的。 配置灵活,可以有选择地监测重要文件。
13
二、入侵检测产品分析
文件完整性检查的弱点: 一般以批处理方式实现,不用于实时响应。 该方法作为网络安全的必要补充,定期运行。 文件完整性检查系统依赖于本地的文摘数据 库。这些数据可能被入侵者修改。防范对策: 将摘要数据库放在只读介质上。 文件完整性检查非常耗时。 系统正常的升级会带来大量的文件更新。例 如,Windows NT系统中升级MS-Outlook将会 带来1800多个文件变化。
11
一、什么是入侵检测
4、信号分析
2.统计分析
对系统对象(如用户、文件、目录和设备等)创建一 个统计描述,统计正常使用时的一些测量属性(如访 问次数、操作失败次数和延时等)。测量属性的平均 值与网络、系统的行为进行比较,任何观察值在正常 值范围之外时,就认为有入侵发生。例如,某帐户突 然在凌晨两点试图登录。 优点:可检测到未知的入侵和更为复杂的入侵
缺点:误报、漏报率高,不适应用户正常行为的突然 改变。统计分析方法如基于专家系统的、基于模型推 理的和基于神经网络的分析方法。 12
一、什么是入侵检测
3.完整性分析:利用消息摘要Hash函数计算
完整性分析关注某个文件或对象是否被更改, 包括文件和目录的内容及属性,它在发现被木 马、病毒更改的应用程序方面特别有效。检查 系统保存有每个文件的数字摘要数据库,通过 重新计算文件的数字文摘并与数据库中的值相 比较来判断文件是否被修改。
·评估重要系统和数据文件的完整性;
·操作系统的审计跟踪管理,并识别用户违反安全策 略的行为。
4
一、什么是入侵检测
1、入侵检测的概念
传统安全防范技术的不足 传统的操作系统加固技术和防火墙隔离技术 等都是静态安全防御技术,对网络环境下日 新月异的攻击手段缺乏主动的反应。 入侵检测技术通过对入侵行为的过程与特征 的研究使安全系统对入侵事件和入侵过程能 做出实时响应。
7
一、什么是入侵检测
2、入侵检测的分类
根据系统的工作方式分为: 1 )离线检测系统:离线检测系统是非实时工作的 系统,它在事后分析审计事件,从中检查入侵活动。
2 )在线检测系统:在线检测系统是实时联机的检 测系统,它包含对实时网络数据包分析,实时主机 审计分析。其工作过程是实时入侵检测在网络连接 过程中进行,系统根据用户的历史行为模型、存储 在计算机中的专家知识以及神经网络模型对用户当 前的操作进行判断,一旦发现入侵迹象立即断开入 侵者与主机的连接,并收集证据和实施数据恢复。
6
一、什么是入侵检测
2、入侵检测的分类
根据所监测的对象来分: 1 )基于主机的入侵检测系统( HIDS):通过监视 与分析主机的审计记录检测入侵。能否及时采集到 审计是这些系统的弱点之一,入侵者会将主机审计 子系统作为攻击目标以避开入侵检测系统。 2 )基于网络的入侵检测系统( NIDS):通过在共 享网段上对通信数据的侦听采集数据,分析可疑现 象。这类系统不需要主机提供严格的审计,对主机 资源消耗少,并可以提供对网络通用的保护而无需 顾及异构主机的不同架构。
9
一、什么是入侵检测
手 段进行分析: 模式匹配:用于实时的入侵检测
统计分析:用于实时的入侵检测
完整性分析:用于事后分析。
10
一、什么是入侵检测
4、信号分析
1. 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵 和系统误用模式数据库进行比较,从而发现违背安 全策略的行为。 优点:只需收集相关的数据集合,显著减少系统负 担,且技术已相当成熟。它与病毒防火墙采用的方 法一样,检测准确率和效率都相当高。 缺点:需要不断的升级以对付不断出现的黑客攻击 手法,不能检测到从未出现过的黑客攻击手段。