第7讲 网络入侵检测PPT幻灯片

2、为什么需要IDS？
入侵很容易
入侵教程随处可见 各种工具唾手可得
防火墙不能保证绝对的安全
网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 防火墙是锁，入侵检测系统是监视器
3、 IDS功能
监控、分析用户和系统活动
实现入侵检测任务的前提条件
发现入侵企图或异常现象
入侵检测系统的核心功能 这主要包括两个方面，一是入侵检测系统对进出网络或主机的数据
流进行监控，看是否存在对系统的入侵行为，另一个是评估系统关 键资源和数据文件的完整性，看系统是否已经遭受了入侵。
记录、报警和响应
入侵检测系统在检测到攻击后，应该采取相应的措施来阻止攻击或 响应攻击。入侵检测系统作为一种主动防御策略，必然应该具备此 功能。
5、IDS的两个指标
漏报率
指攻击事件没有被IDS检测到
误报率
把正常事件识别为攻击并报警 误报率与检出率成正比例关系
6、IDS的特点（1）
IDS的优点
提高信息安全构造的其他部分的完整性 提高系统的监控能力 从入口点到出口点跟踪用户的活动ຫໍສະໝຸດ Baidu 识别和汇报数据文件的变化 侦测系统配置错误并纠正 识别特殊攻击类型，并向管理人员发出警报
1、CIDF模型（2）
1、CIDF模型－事件产生器（1）
事件产生器的目的是从整个计算环境中获得事 件，并向系统的其他部分提供此事件。 入侵检测的第一步 采集内容
系统日志 应用程序日志 系统调用 网络数据 用户行为 其他IDS的信息
1、CIDF模型－事件产生器（2）
注意： 入侵检测很大程度上依赖于收集信息的 可靠性和正确性
入侵要利用漏洞，漏洞是指系统硬 件、操作系统、软件、网络协议等在设 计上、实现上出现的可以被攻击者利用 的错误、缺陷和疏漏。
3、入侵者
入侵者可以是一个手工发出命令的人，也可是 一个基于入侵脚本或程序的自动发布命令的计 算机。 入侵者一般可以分为两类：内部的（一般指系 统中的合法用户但违规或者越权操作）和外部 的（一般指系统中的非法用户）。
入侵检测是一种主动保护自己的网络和系统免 遭非法攻击的网络安全技术。
1、入侵检测与入侵检测系统（2）
入侵检测系统(Intrusion Detection System)， 是完成入侵检测功能的软件、硬件及其组合。 它试图检测、识别和隔离“入侵”企图或计算 机的不恰当未授权使用。
加载入侵检测技术的系统我们称之为入侵检测 系统。一般情况下，我们并不严格的去区分入 侵检测和入侵检测系统两个概念，而都称为 IDS或入侵检测技术。
1、入侵 (Intrusion)
入侵是指未经授权蓄意尝试访问信息、窜改 信息，使系统不可靠或不能使用的行为。它 企图破坏计算机资源的：
完整性(Integrity) 机密性（Confidentiality） 可用性（Availability） 可控性（Controliability）
2、漏洞
1、CIDF模型－响应单元
响应单元则是对分析结果作出反应的功 能单元，功能包括：
告警和事件报告 终止进程，强制用户退出 切断网络连接，修改防火墙设置 灾难评估，自动恢复 查找定位攻击者
1、CIDF模型－事件数据库
事件数据库是存放各种中间和最终数据 的地方的统称，它可以是复杂的数据库， 也可以是简单的文本文件。
要保证用来检测网络系统的软件的完整性， 特别是入侵检测系统软件本身应具有相当强
的坚固性，防止被篡改而收集到错误的信息
1、CIDF模型－事件分析器
事件分析器接收事件信息，对其进行分析，判断是否 为入侵行为或异常现象，最后将判断的结果转变为告 警信息。 分析是核心 效率高低直接决定整个IDS性能 分析方法： 模式匹配 统计分析 完整性分析（往往用于事后分析）
二、入侵检测系统基本知识
1、入侵检测与入侵检测系统 2、为什么需要IDS？ 3、IDS能做什么？ 4、入侵检测系统在系统安全中的地位 5、IDS的两个指标 6、IDS的特点 7、入侵检测的发展历史
1、入侵检测与入侵检测系统（1）
入侵检测，顾名思义，是指对入侵行为的发觉。 它通过在计算机网络或计算机系统中的若干关 键点收集信息并对收集到的信息进行分析，从 而判断网络或系统中是否有违反安全策略的行 为和被攻击的迹象。
四、入侵检测系统的分类
1、根据原始数据的来源 2、根据检测技术进行分类 3、根据体系结构分类 4、根据响应方式分类
1、根据原始数据的来源－主机IDS
基于主机的入侵检测系统
定义：安装在单个主机或服务器系统上，对针对 主机或服务器系统的入侵行为进行检测和响应， 对主机系统进行全面保护的系统。
主机入侵检测系统主要是对该主机的网络连接行 为以及系统审计日志进行智能分析和判断。
审计系统的配置和弱点、评估关键系统和数据文件的完整性等
摄像机=探测引擎
监控室=控制中心
后门 Card Key
保安=防火墙
形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是 智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光 摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机， 还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路 （与防火墙联动）。
6、IDS的特点（2）
IDS的缺点
IDS系统本身还在迅速发展和变化，远未成熟 现有IDS系统错报率(或称为误报率偏高)严重干扰了
检测结果 事件响应与恢复机制不完善 IDS与其他安全技术的协作性不够 IDS缺乏国际统一的标准
三、入侵检测体系结构
1、IDS框架介绍 2、CIDF模型 3、Denning模型
1、主机IDS示意图（1）
1、主机IDS示意图（2）
1、CIDF模型（1）
CIDF根据IDS系统的通用需求以及现有 IDS的系统结构，将IDS系统构成划分如 下部分：
事件产生器(Event Generators) 事件分析器(Event analyzers) 响应单元(Response units) 事件数据库(Event databases)