入侵检测技术.ppt
合集下载
入侵检测ppt课件
入侵检测
传统防火墙的主要缺陷之一在于对内联网络的防范措施不力。这是因 为一般的防火墙的目的就是为了保护用户网络,所以它们都假定内联网络 是安全的外联网络是不安全的。但研究表明,50%以上的攻击行为是从内 部发起的。
入侵检测技术是人们对网络探测与攻击技术层出不穷的的反应,其目 的是通过对系统负载的深入分析,发现和处理更加隐蔽的网络探测与攻击 行为,为系统提供更强大、更可靠的安全策略和解决方案,弥补防火墙的 不足。
28
IDS 模式匹配举例
模式匹配举例:
较早版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell! 模式匹配 检查每个packet是否包含:
“WIZ” | “DEBUG”
29
6.5
入侵检测的历史
32
6.6.1 按照检测数据的来源划分 (1)
1 基于主机的入侵检测
基于主机的入侵检测系统(HIDS)检查 判断的依据是系统内的各种数据以及 相关记录。具体来说,可以分成以下 几种:
系统审计记录 系统日志 应用程序日志 其它数据源 比如文件系统信息
33
1 基于主机的入侵检测
基于主机的IDS的优点
26
6.4 入侵检测的主要作用
识别并阻断系统活动中存在的已知攻击行为,防止入侵行为对受保护 系统造成损害。
识别并阻断系统用户的违法操作行为或者越权操作行为,防止用户对 受保护系统有意或者无意的破坏。
检查受保护系统的重要组成部分以及各种数据文件的完整性。
审计并弥补系统中存在的弱点和漏洞,其中最重要的一点是审计并纠 正错误的系统配置信息。
7
6.1.1
拒绝服务(3)
3 报文超载
传统防火墙的主要缺陷之一在于对内联网络的防范措施不力。这是因 为一般的防火墙的目的就是为了保护用户网络,所以它们都假定内联网络 是安全的外联网络是不安全的。但研究表明,50%以上的攻击行为是从内 部发起的。
入侵检测技术是人们对网络探测与攻击技术层出不穷的的反应,其目 的是通过对系统负载的深入分析,发现和处理更加隐蔽的网络探测与攻击 行为,为系统提供更强大、更可靠的安全策略和解决方案,弥补防火墙的 不足。
28
IDS 模式匹配举例
模式匹配举例:
较早版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell! 模式匹配 检查每个packet是否包含:
“WIZ” | “DEBUG”
29
6.5
入侵检测的历史
32
6.6.1 按照检测数据的来源划分 (1)
1 基于主机的入侵检测
基于主机的入侵检测系统(HIDS)检查 判断的依据是系统内的各种数据以及 相关记录。具体来说,可以分成以下 几种:
系统审计记录 系统日志 应用程序日志 其它数据源 比如文件系统信息
33
1 基于主机的入侵检测
基于主机的IDS的优点
26
6.4 入侵检测的主要作用
识别并阻断系统活动中存在的已知攻击行为,防止入侵行为对受保护 系统造成损害。
识别并阻断系统用户的违法操作行为或者越权操作行为,防止用户对 受保护系统有意或者无意的破坏。
检查受保护系统的重要组成部分以及各种数据文件的完整性。
审计并弥补系统中存在的弱点和漏洞,其中最重要的一点是审计并纠 正错误的系统配置信息。
7
6.1.1
拒绝服务(3)
3 报文超载
《入侵检测技术 》课件
总结词
能够应对复杂多变的网络威胁。
详细描述
基于统计、数据挖掘、机器学习等技术的入侵检测方法, 能够从大量数据中提取有用的信息,并自动学习攻击手段 的变化,从而更有效地应对复杂的网络威胁。
总结词
对资源要求较高。
详细描述
由于这些方法需要处理大量的网络流量数据,因此对系统 资源的要求较高,需要高性能的硬件和软件支持。
《入侵检测技术》 PPT课件
• 入侵检测技术概述 • 入侵检测技术分类 • 入侵检测技术原理 • 入侵检测技术应用场景 • 入侵检测技术面临的挑战与解决
方案 • 未来入侵检测技术的发展趋势
目录
01
入侵检测技术概述
定义与目的
定义
入侵检测技术是一种用于检测、识别 和应对网络或系统上未经授权的访问 或异常行为的手段。
性能有一定影响。
混合型入侵检测技术
混合型入侵检测技术是指结合 基于主机和基于网络的入侵检 测技术的一种技术。
它通过综合分析主机系统和网 络流量数据,提高对攻击行为 的检测和识别的准确性。
混合型入侵检测技术可以提供 更全面的安全防护,但需要同 时考虑主机和网络的部署和管 理。
其他分类方法
基于时间的入侵检测技术
主机入侵检测技术可以提供更精确的攻击识别和更深入的攻击分析,但需要安装在 被保护的主机上,且对主机的性能有一定影响。
基于网络的入侵检测技术
网络入侵检测技术是指基于网络 流量数据来检测和识别恶意行为
的一种技术。
它通过分析网络流量数据,检测 和识别异常的网络行为,如未经 授权的访问、恶意代码传播等。
网络入侵检测技术可以提供实时 的攻击检测和预警,但需要部署 在网络的关键节点上,且对网络
通过检测和应对安全威胁,入侵检测 技术有助于提高网络和系统的安全性 ,保护组织的机密信息和资产。
能够应对复杂多变的网络威胁。
详细描述
基于统计、数据挖掘、机器学习等技术的入侵检测方法, 能够从大量数据中提取有用的信息,并自动学习攻击手段 的变化,从而更有效地应对复杂的网络威胁。
总结词
对资源要求较高。
详细描述
由于这些方法需要处理大量的网络流量数据,因此对系统 资源的要求较高,需要高性能的硬件和软件支持。
《入侵检测技术》 PPT课件
• 入侵检测技术概述 • 入侵检测技术分类 • 入侵检测技术原理 • 入侵检测技术应用场景 • 入侵检测技术面临的挑战与解决
方案 • 未来入侵检测技术的发展趋势
目录
01
入侵检测技术概述
定义与目的
定义
入侵检测技术是一种用于检测、识别 和应对网络或系统上未经授权的访问 或异常行为的手段。
性能有一定影响。
混合型入侵检测技术
混合型入侵检测技术是指结合 基于主机和基于网络的入侵检 测技术的一种技术。
它通过综合分析主机系统和网 络流量数据,提高对攻击行为 的检测和识别的准确性。
混合型入侵检测技术可以提供 更全面的安全防护,但需要同 时考虑主机和网络的部署和管 理。
其他分类方法
基于时间的入侵检测技术
主机入侵检测技术可以提供更精确的攻击识别和更深入的攻击分析,但需要安装在 被保护的主机上,且对主机的性能有一定影响。
基于网络的入侵检测技术
网络入侵检测技术是指基于网络 流量数据来检测和识别恶意行为
的一种技术。
它通过分析网络流量数据,检测 和识别异常的网络行为,如未经 授权的访问、恶意代码传播等。
网络入侵检测技术可以提供实时 的攻击检测和预警,但需要部署 在网络的关键节点上,且对网络
通过检测和应对安全威胁,入侵检测 技术有助于提高网络和系统的安全性 ,保护组织的机密信息和资产。
入侵检测技术
–安装在被保护的网段(通常是共享网络,交换环境中交 换机需支持端口映射)中 –混杂模式监听 –分析网段中所有的数据包 –实时检测和响应
10
7.2 入侵检测的原理与技术
网络数据
读取网络数据 网络报文数据
协议分析
比较数据
事件数据库
上报事件
图7-1 网络IDS工作模型
11
7.2 入侵检测的原理与技术
网络IDS优势
22
7.2 入侵检测的原理与技术
7.2.3 IDS采用的技术
2、异常检测技术 通过对系统审计数据的分析建立起系统主体(单个用户、 一组用户、主机,甚至是系统中的某个关键的程序和文件等) 的正常行为特征轮廓;检测时,如果系统中的审计数据与已建 立的主体的正常行为特征有较大出入就认为是一个入侵行为。 这一检测方法称“异常检测技术”。 一般采用统计或基于规则描述的方法建立系统主体的行 为特征轮廓,即统计性特征轮廓和基于规则描述的特征轮廓。
事件数据库
图7-4 控制中心的工作流程
21
7.2 入侵检测的原理与技术
7.2.3 IDS采用的技术
入侵检测主要通过专家系统、模式匹配、协议分析 或状态转换等方法来确定入侵行为。入侵检测技术有:
➢静态配置分析技术 ➢异常检测技术 ➢误用检测技术
1.静态配置分析技术 静态配置分析是通过检查系统的当前系统配置,诸 如系统文件的内容或系统表,来检查系统是否已经或者 可能会遭到破坏。静态是指检查系统的静态特征(系统配 置信息),而不是系统中的活动。
6
7.1 入侵检测系统概述
7
7.1 入侵检测系统概述
7.1.4 入侵检测的发展历程
1980年,概念的诞生 1984~1986年,模型的发展 1990年,形成网络IDS和主机IDS两大阵营 九十年代后至今,百家争鸣、繁荣昌盛
10
7.2 入侵检测的原理与技术
网络数据
读取网络数据 网络报文数据
协议分析
比较数据
事件数据库
上报事件
图7-1 网络IDS工作模型
11
7.2 入侵检测的原理与技术
网络IDS优势
22
7.2 入侵检测的原理与技术
7.2.3 IDS采用的技术
2、异常检测技术 通过对系统审计数据的分析建立起系统主体(单个用户、 一组用户、主机,甚至是系统中的某个关键的程序和文件等) 的正常行为特征轮廓;检测时,如果系统中的审计数据与已建 立的主体的正常行为特征有较大出入就认为是一个入侵行为。 这一检测方法称“异常检测技术”。 一般采用统计或基于规则描述的方法建立系统主体的行 为特征轮廓,即统计性特征轮廓和基于规则描述的特征轮廓。
事件数据库
图7-4 控制中心的工作流程
21
7.2 入侵检测的原理与技术
7.2.3 IDS采用的技术
入侵检测主要通过专家系统、模式匹配、协议分析 或状态转换等方法来确定入侵行为。入侵检测技术有:
➢静态配置分析技术 ➢异常检测技术 ➢误用检测技术
1.静态配置分析技术 静态配置分析是通过检查系统的当前系统配置,诸 如系统文件的内容或系统表,来检查系统是否已经或者 可能会遭到破坏。静态是指检查系统的静态特征(系统配 置信息),而不是系统中的活动。
6
7.1 入侵检测系统概述
7
7.1 入侵检测系统概述
7.1.4 入侵检测的发展历程
1980年,概念的诞生 1984~1986年,模型的发展 1990年,形成网络IDS和主机IDS两大阵营 九十年代后至今,百家争鸣、繁荣昌盛
电子商务安全实务课件7-入侵检测技术
服务器 基于主机的IDS
实训七:入侵检测技术
3.1 基于主机的入侵检测HIDS
HIDS的主要优点:
1)信息源完备,IDS对信息源的处理简单、一致; 2)它对某些特定的攻击十分有效,如缓冲区溢出攻击。
HIDS的不足:
会占用主机的系统资源,增加系统负荷;全面部署HIDS代 价较大;它依赖于主机固有的日志与监视能力,故能检测 到的攻击类型受到限制,而且主机审计信息易受攻击,入 侵这可设法逃避审计。
实训七:入侵检测技术
1.2 入侵检测系统的功能
2、入侵检测系统基本功能
一个入侵检测系统至少包括信息收集、信息分析、入侵响应和 管理三大功能。 (1)数据收集与提取。入侵检测第一步就是在网络系统中的 若干不同关键点收集数据,入侵检测很大程度上依赖于收集数 据的准确性与可靠性。 数据的收集主要来源:1)系统和网络日志文件;2)目录和文 件不期望的改变;3)程序不期望的行为;4)物理形式的入侵 数据。
实训七:入侵检测技术
衡量一个入侵检测系统的性能,主要有两个 关键参数:误报和漏报
误报:误报是指实际上无害的事件却被IDS检测
为攻击事件的情况。
漏报:漏报是指一个攻击事件未被IDS检测到或
被分析人员认为是无害的情况。
对于一个性能良好的IDS来说,要求误报率和 漏报率越小越好
实训七:入侵检测技术
实训七:入侵检测技术
3.5 集中式IDS
集中式结构的IDS可能有多个分布于不同主机上的 审计程序,但只有一个中央入侵检测服务器。审计 程序把当地收集到的数据踪迹发送给中央服务器进 行分析处理。 这种结构在可伸缩性、可配置性方面存在致命缺陷。
实训七:入侵检测技术
3.6 分布式IDS
入 侵 检 测
异常检测技术是通过建立正常或者有效行为的模型的方 法,把当前行为和正常模型相比较,所有不符合于正 常模型的行为都被认为是入侵。
计算机网络安全技术
6
入侵检测
1.3 入侵检测系统
1.入侵检测系统分类
根据检测数据来源的不同,入侵检测系统常被分为基于 主机(HIDS)、基于网络(NIDS)和基于分布式系 统(DIDS)的入侵检测系统。
数据中,检测出符合某一特征的数据。攻击者进行攻
击的时候会留下痕迹,这些痕迹和系统正常运行的时
候产生的信息混在一起。入侵检测的任务就是从这个
混合信息中找出是否有入侵的痕迹,如果有就报警。
从这个原理来看,入侵检测系统有两个重要部分:数
据取得和检测技术。 计算机网络安全技术
3
入侵检测
(2)入侵检测系统的工作流程
计算机网络安全技术
入侵检测
1.1 入侵检测概述
入侵检测系统(Intrusion Detection System,IDS)是一个能检测 出入侵行为发生的系统软件(或者硬件)。它使安全管理员能 够及时地处理入侵警报,尽可能减少入侵对系统造成的损害。 入侵被检测出来的过程包括监控在计算机系统或者网络中发生 的事件,再分析处理这些事件,检测出入侵事件。
基于主机的入侵检测系统的数据源来自主机,如日志文
件、审计记录等。基于主机的入侵检测系统不但可以 检测出系统的远程入侵,还可以检测出本地入侵。
基于网络的入侵检测系统的数据源是网络流量,其检测
范围是整个网段,它只能检测出远程入侵,对于本地
入侵它是看不到的。 计算机网络安全技术
7
入侵检测
2.典型入侵检测系统 (1)JUMP入侵检测系统 主要技术特点有: • 采取基于状态协议分析的智能匹配算法; • 采用状态转换分析技术来降低系统的误报率,
入侵检测概述
网络安全技术
入侵检测概述
1.1 入侵检测的概念
❖ 入侵检测是指发现非授权用户企图使用计算机系统或合法用户滥用其 特权的行为,这些行为破坏了系统的完整性、机密性及资源的可用性。 为完成入侵检测任务而设计的计算机系统,是一套运用入侵检测技术 对计算机或网络资源进行实时检测的系统工具。
❖ 入侵检测的作用是检测对系统的入侵事件,一般不采取措施防止入侵 行为。一个入侵检测系统应具有准确性、可靠性、可用性、适应性、 实时性和安全性等特点。
器的输出为标识入侵行为是否发生的指示信号(如一个警告信号),该指示信号中还可能包括相关的证据信息。另外, 分析器还能够提供关于可能的反应措施的相关信息。 ❖ 3.用户接口 ❖ 用户接口使得用户易于观察系统的输出信号,并对系统行为进行控制。在某些系统中,用户接口又可以称为“管理 器”、“控制器”或者“控制台”等。 ❖ 除了以上3个必要的组成部分之外,某些入侵检测系统可能还包括一个“蜜罐”诱饵机。该诱饵机的设计和配置具有 明显的系统安全漏洞,并对攻击者明显可见。
系统原有的务”攻击。
(6)及时性。一个入侵检测系统必须尽快地执行和传送它的分析结果,以便 在系统造成严重危害之前能及时作出反应,阻止攻击者破坏审计数据或入侵 检测系统本身。
网络安全技术
1.3 入侵检测功能
❖ 入侵检测与传统的安全技术不同,它并不是设法建立安全、可靠的计 算机系统或网络环境,而是通过对网络活动和系统用户信息进行分析 处理来达到对非法行为的检测、报警和预警目的,进而由有关安全组 件(如防火墙)对非法行为进行控制,来保障系统的安全。其功能为:
❖ (1)监控和分析用户以及系统的活动。 ❖ (2)核查系统安全配置和漏洞。 ❖ (3)评估关键系统和数据文件的完整性。 ❖ (4)识别攻击的活动模式并向网络管理人员报警。 ❖ (5)统计分析异常活动,识别违反安全策略的用户活动。
入侵检测概述
1.1 入侵检测的概念
❖ 入侵检测是指发现非授权用户企图使用计算机系统或合法用户滥用其 特权的行为,这些行为破坏了系统的完整性、机密性及资源的可用性。 为完成入侵检测任务而设计的计算机系统,是一套运用入侵检测技术 对计算机或网络资源进行实时检测的系统工具。
❖ 入侵检测的作用是检测对系统的入侵事件,一般不采取措施防止入侵 行为。一个入侵检测系统应具有准确性、可靠性、可用性、适应性、 实时性和安全性等特点。
器的输出为标识入侵行为是否发生的指示信号(如一个警告信号),该指示信号中还可能包括相关的证据信息。另外, 分析器还能够提供关于可能的反应措施的相关信息。 ❖ 3.用户接口 ❖ 用户接口使得用户易于观察系统的输出信号,并对系统行为进行控制。在某些系统中,用户接口又可以称为“管理 器”、“控制器”或者“控制台”等。 ❖ 除了以上3个必要的组成部分之外,某些入侵检测系统可能还包括一个“蜜罐”诱饵机。该诱饵机的设计和配置具有 明显的系统安全漏洞,并对攻击者明显可见。
系统原有的务”攻击。
(6)及时性。一个入侵检测系统必须尽快地执行和传送它的分析结果,以便 在系统造成严重危害之前能及时作出反应,阻止攻击者破坏审计数据或入侵 检测系统本身。
网络安全技术
1.3 入侵检测功能
❖ 入侵检测与传统的安全技术不同,它并不是设法建立安全、可靠的计 算机系统或网络环境,而是通过对网络活动和系统用户信息进行分析 处理来达到对非法行为的检测、报警和预警目的,进而由有关安全组 件(如防火墙)对非法行为进行控制,来保障系统的安全。其功能为:
❖ (1)监控和分析用户以及系统的活动。 ❖ (2)核查系统安全配置和漏洞。 ❖ (3)评估关键系统和数据文件的完整性。 ❖ (4)识别攻击的活动模式并向网络管理人员报警。 ❖ (5)统计分析异常活动,识别违反安全策略的用户活动。
《漏洞检测技术》PPT幻灯片PPT
第 5 讲 安全检测技术
网络传输和协议的漏洞 系统的漏洞 管理的漏洞
第 5 讲 安全检测技术
(1) 网络传输和协议的漏洞 攻击者一般利用网络传输时对协议的信 任以及网络传输过程本身所存在的漏洞 进入系统。
第 5 讲 安全检测技术
(1) 网络传输和协议的漏洞 例如,IP欺骗和信息腐蚀就是利用网络传 输时对IP和DNS协议的信任;而网络嗅探 器则利用了网络信息明文传送的弱点。
第 5 讲 安全检测技术
口令攻击的主要方式及防护手段 如果口令攻击成功黑客进入了目标网络系 统,他就能够随心所欲地窃取、破坏和篡 改被侵入方的信息,直至完全控制被侵入 方。所以,口令攻击是黑客实施网络攻击 的最基本、最重要、最有效的方法之一。
第 5 讲 安全检测技术
口令攻击的主要方法:有9种 1、社会工程学(Social Engineering),通过人
5、混合攻击:结合了字典攻击和穷举攻击, 先字典攻击,再暴力攻击。
避免以上2--5四类攻击的对策是加强口令 策略。
第 5 讲 安全检测技术
6、直接破解系统口令文件。所有的攻击都 不能够奏效,入侵者会寻找目标主机的安 全漏洞和薄弱环节,伺机偷走存放系统口 令的文件,然后破译加密的口令,以便冒 充合法用户访问这台主机。
第 5 讲 安全检测技术
4、穷举攻击。如果字典攻击仍然不能够成 功,入侵者会采取穷举攻击。一般从长度 为1的口令开始,按长度递增进行尝试攻击 。由于人们往往偏爱简单易记的口令,穷 举攻击的成功率很高。如果每千分之一秒 检查一个口令,那么86%的口令可以在一 周内破译出来。
第 5 讲 安全检测技术
第 5 讲 安全检测技术
1、好口令是防范口令攻击的最基本、最有 效的方法。最好采用字母、数字、还有标 点符号、特殊字符的组合,同时有大小写 字母,长度最好达到8个以上,最好容易记 忆,不必把口令写下来,绝对不要用自己 或亲友的生日、手机号码等易于被他人获 知的信息作密码。
入侵检测技术
3.入侵检测系统的需求特性 1)可靠性: 2)适应性:检测系统必须能随时追踪系统环境的改变。 3)有效性:能检测系统的报告错误或漏报控制在一定的范围内。 4)安全性:检测系统必须难于被欺骗,能够保护自身的安全。 5)容错性:检测系统的容错要求即使在系统崩溃的情况下,检测 系统仍能保留下来。
1.2 入侵检测系统的组成
用专家系统对入侵进行检测,经常是针对有特征的 入侵行为。规则,即是知识,不同的系统与设置具 有不同的规则,且规则之间往往无通用性。专家系 统的建立依赖于知识库的完备性,知识库的完备性 以取决于审计记录的完备性与实时性。入侵的特征 抽取与表达,是入侵检测专家系统的关键。在系统 实现中,将有关入侵的知识转化为if-then结构,条 件部分为入侵特征,then部分是系统防范措施。运 用专家系统防范有特征入侵行为的有效性完全取决 于专家系统知识库的完备性。
由于嗅探技术的限制,网络节点入侵检测仅仅能分析目 的地址是主机地址的包,但是由于网络节点入侵检测的 特性,当网络使用的是一个高速通信网络、加密网络或 者使用了交换式设备,网络节点入侵检测仍然能对所有 的子网进行检测。网络节点入侵检测的优势在于,能有 效的抵御针对特定主机的基于包的攻击。
1.3 常用的入侵检测方法 入侵检测系统常用的检测方法有特征测、统 计检测与专家系统。据公安部计算机信息系 统安全产品质量监督检验中心的报告,国内 送检的入侵检测产品中95%是属于使用入侵 模式匹配的特征检测产品,其他5%是采用 概率统计的统计检测产品与基于日志的专家 知识库型产品。
1.什么是入侵检测 入侵检测系统(IDS,Intrusion detection system)是为保证计算机系统的安全而设计与 配置的一种能够及时发现并报告系统中未授权 或异常现象的系统,是一种用于检测计算机网 络中违反安全策略行为的系统。入侵和滥用都 是违反安全策略的行为。
1.2 入侵检测系统的组成
用专家系统对入侵进行检测,经常是针对有特征的 入侵行为。规则,即是知识,不同的系统与设置具 有不同的规则,且规则之间往往无通用性。专家系 统的建立依赖于知识库的完备性,知识库的完备性 以取决于审计记录的完备性与实时性。入侵的特征 抽取与表达,是入侵检测专家系统的关键。在系统 实现中,将有关入侵的知识转化为if-then结构,条 件部分为入侵特征,then部分是系统防范措施。运 用专家系统防范有特征入侵行为的有效性完全取决 于专家系统知识库的完备性。
由于嗅探技术的限制,网络节点入侵检测仅仅能分析目 的地址是主机地址的包,但是由于网络节点入侵检测的 特性,当网络使用的是一个高速通信网络、加密网络或 者使用了交换式设备,网络节点入侵检测仍然能对所有 的子网进行检测。网络节点入侵检测的优势在于,能有 效的抵御针对特定主机的基于包的攻击。
1.3 常用的入侵检测方法 入侵检测系统常用的检测方法有特征测、统 计检测与专家系统。据公安部计算机信息系 统安全产品质量监督检验中心的报告,国内 送检的入侵检测产品中95%是属于使用入侵 模式匹配的特征检测产品,其他5%是采用 概率统计的统计检测产品与基于日志的专家 知识库型产品。
1.什么是入侵检测 入侵检测系统(IDS,Intrusion detection system)是为保证计算机系统的安全而设计与 配置的一种能够及时发现并报告系统中未授权 或异常现象的系统,是一种用于检测计算机网 络中违反安全策略行为的系统。入侵和滥用都 是违反安全策略的行为。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第1章 入侵检测概述
曹元大主编,人民邮电出版社,2007年
入侵检测概述
1
第1章 入侵检测概述
概述:
网络安全基本概念 入侵检测的产生与发展 入侵检测的基本概念
入侵检测概述
2
网络安全的实质
保障系统中的人、设备、设施、软件、数据以及各种供 给品等要素避免各种偶然的或人为的破坏或攻击,使它 们发挥正常,保障系统能安全可靠地工作 。
防御
入侵检测概述 12
入侵检测的缺点
不能弥补差的认证机制 如果没有人的干预,不能管理攻击调查 不能知道安全策略的内容 不能弥补网络协议上的弱点 不能弥补系统提供质量或完整性的问题 不能分析一个堵塞的网络 不能处理有关packet-level的攻击
入侵检测概述 13
研究入侵检测的必要性-1
入侵检测是最近10余年发展起来的一种动态的监控、预 防或抵御系统入侵行为的安全机制。主要通过监控网 络、系统的状态、行为以及系统的使用情况,来检测系 统用户的越权使用以及系统外部的入侵者利用系统的安 全缺陷对系统进行入侵的企图。
入侵检测概述
4
网络安全的P2DR模型与入侵检测
Policy(安全策略) Protection(防护) Detection(检测) Response(响应)
从1996年到1999年,SRI开始EMERALD的研究,它是 NIDES的后继者。
入侵检测概述
8
主机和网络IDS的集成
分布式入侵检测系统 (DIDS)最早试图把 基于主机的方法和网 络监视方法集成在一 起。
DIDS的最初概念是采 用集中式控制技术, 向DIDS中心控制器发 报告。
DIDS主管 专家系统 用户界面
静态安全措施不足以保护安全对象属性。通常,在一个系统 中,担保安全特性的静态方法可能过于简单不充分,或者系统 过度地限制用户。例如,静态技术未必能阻止违背安全策略造 成浏览数据文件;而强制访问控制仅允许用户访问具有合适的 通道的数据,这样就造成系统使用麻烦。因此,一种动态的方 法如行为跟踪对检测和尽可能阻止安全突破是必要的。
在实践当中,建立完全安全系统根本是不可能的。Miller给出 一份有关现今流行的操作系统和应用程序研究报告,指出软件 中不可能没有缺陷。另外,设计和实现一个整体安全系统相当 困难。
要将所有已安装的带安全缺陷的系统转换成安全系统需要相当 长的时间。
如果口令是弱口令并且已经被破解,那么访问控制措施不能够 阻止受到危害的授权用户的信息丢失或者破坏。
为了提高网络安全性,需要从多个层次和环节入手,分 别分析应用系统、宿主机、操作系统、数据库管理系 统、网络管理系统、子网、分布式计算机系统和全网中 的弱点,采取措施加以防范。
入侵检测概述
3
网络系统的安全对策与入侵检测
近年来,尽管对计算机安全的研究取得了很大进展,但 安全计算机系统的实现和维护仍然非常困难,因为我们 无法确保系统的安全性达到某一确定的安全级别。
入侵检测概述
5
入侵检测的早期研究
1980年,James Anderson在技术报告中指出,审计记录 可以用于识别计算机误用。他提出了入侵尝试 (intrusion attempt)或威胁(threat)的概念,并 将其定义为:潜在、有预谋的未经授权访问信息、操作 信息,致使系统不可靠或无法使用的企图。
从1992年到1995年,SRI加强优化IDES,在以太网的环境下实现了 产品化的NIDES。
1988年,Los Alamos国家实验室的Tracor Applied Sciences和 Haystack Laboratories采用异常检测和基于Signature的检测,开 发了Haystack系统。
入侵检测概述 15
研究入侵检测的必要性-3
基于上述几类问题的解决难度,一个实用的方法是 建立比较容易实现的安全系统,同时按照一定的安 全策略建立相应的安全辅助系统。
入侵检测系统就是这样一类系统,现在安全软件的 开发方式基本上就是按照这个思路进行的。
就目前系统安全状况而言,系统存在被攻击的可能 性。如果系统遭到攻击,只要尽可能地检测到,甚 至是实时地检测到,然后采取适当的处理措施。
1994年,美国空军密码支持中心的一群研究人员创建了 一个健壮的网络入侵检测系统ASIM。
1996年,UCD(Carlifornia大学的Davis分校)的 Computer Security实验室,以开发广域网上的入侵检 测系统为目的,开发了GrIDS。
1997年,Cisco公司兼并了Wheelgroup,并开始将网络 入侵检测整合到Cisco路由器中。
对异常活动进行统计分 析
对操作系统进行审计跟 踪管理,识别违反政策 的用户活动
监视外 监视内 实时监 部人员 部人员 测系统
入侵检测系统
定时扫 描系统
漏洞扫 描系统
入侵检测概述
11
入侵检测的优点
提高信息安全构造的其他部分的完整性 提高系统的监控 从入口点到出口点跟踪用户的活动 识别和汇报数据文件的变化 侦测系统配置错误并纠正他们 识别特殊攻击类型,并向管理人员发出警报,进行
通信管理器
安全管理 员
主机代理
主机事件 发生器
LAN代理
LAN事件 发生器
主机监视器
LAN监视器
入侵检测概述
9
入侵检测的概念
入侵:是指任何试图危及计算机资源的完整性、机密性 或可用性的行为。
入侵检测:对入侵行为的发觉。它通过从计算机网络或 系统中的若干关键点收集信息,并对这些信息进行分 析,从而发现网络或系统中是否有违反安全策略的行为 和遭到袭击的迹象。
入侵检测概述 14
研究入侵检测的必要性-2
加密技术方法本身存在着一定的问题。 安全系统易受内部用户滥用特权的攻击。 安全访问控制等级和用户的使用效率成反比,访问
控制和保护模型本身存在一定的问题。 在软件工程中存在软件测试不充足、软件生命周期
缩短、大型软件复杂性等难解问题,工程领域的困 难复杂性,使得软件不可能没有错误,而系统软件 容错恰恰被表明是安全的弱点。 修补系统软件缺陷不能令人满意。由于修补系统软 件缺陷,计算机系统不安全状态将持续相当长一段 时间。
入侵检测系统:进行入侵检测的软件与硬件的组合便是 入侵检测系统(简称IDS)。
入侵检测概述 10
入侵检测的作用
监控、分析用户和系统 的活动
审计系统的配置和弱点
评估关键系统和数据文 件的完整性
外部访 问
Hale Waihona Puke 内部有职权 的人员防 火 墙
内部访 问
受
访
保
问 控 制
护 系
统
识别攻击的活动模式
1986年,SRI的Dorothy E. Denning首次将入侵检测的概念作为一 种计算机系统安全防御措施提出,并且建立了一个独立于系统、程 序应用环境和系统脆弱性的通用入侵检测系统模型。
1988年,SRI开始开发IDES(Intrusion Detection Expert System)原型系统,它是一个实时入侵检测系统。
1989年,Los Alamos国家实验室的Hank Vaccaro为NCSC和DOE开发 了W&S系统。
1989年,PRC公司开发了ISOA。
入侵检测概述
7
网络IDS研究
1990年出现的NSM(Network Security Monitor,网络 安全监视器),是UCD(Carlifornia大学的Davis分 校)设计的面向局域网的IDS。
入侵检测系统一般不是采取预防的措施以防止入侵 事件的发生。
入侵检测非常必要,它将有效弥补传统安全保护措 施的不足。
入侵检测概述 16
小结
网络安全的实质 网络安全的P2DR模型 入侵检测的研究 入侵检测的概念 入侵检测的作用 研究入侵检测的必要性
入侵检测概述 17
1983年,SRI用统计方法分析IBM大型机的SMF记录。
总的来说,由于80年代初期网络还没有今天这样普遍和 复杂,网络之间也没有完全连通,因此关于入侵检测的 研究主要是基于主机的事件日志分析。而且由于入侵行 为在当时是相当少见的,因此入侵检测在早期并没有受 到人们的重视。
入侵检测概述
6
主机IDS研究
曹元大主编,人民邮电出版社,2007年
入侵检测概述
1
第1章 入侵检测概述
概述:
网络安全基本概念 入侵检测的产生与发展 入侵检测的基本概念
入侵检测概述
2
网络安全的实质
保障系统中的人、设备、设施、软件、数据以及各种供 给品等要素避免各种偶然的或人为的破坏或攻击,使它 们发挥正常,保障系统能安全可靠地工作 。
防御
入侵检测概述 12
入侵检测的缺点
不能弥补差的认证机制 如果没有人的干预,不能管理攻击调查 不能知道安全策略的内容 不能弥补网络协议上的弱点 不能弥补系统提供质量或完整性的问题 不能分析一个堵塞的网络 不能处理有关packet-level的攻击
入侵检测概述 13
研究入侵检测的必要性-1
入侵检测是最近10余年发展起来的一种动态的监控、预 防或抵御系统入侵行为的安全机制。主要通过监控网 络、系统的状态、行为以及系统的使用情况,来检测系 统用户的越权使用以及系统外部的入侵者利用系统的安 全缺陷对系统进行入侵的企图。
入侵检测概述
4
网络安全的P2DR模型与入侵检测
Policy(安全策略) Protection(防护) Detection(检测) Response(响应)
从1996年到1999年,SRI开始EMERALD的研究,它是 NIDES的后继者。
入侵检测概述
8
主机和网络IDS的集成
分布式入侵检测系统 (DIDS)最早试图把 基于主机的方法和网 络监视方法集成在一 起。
DIDS的最初概念是采 用集中式控制技术, 向DIDS中心控制器发 报告。
DIDS主管 专家系统 用户界面
静态安全措施不足以保护安全对象属性。通常,在一个系统 中,担保安全特性的静态方法可能过于简单不充分,或者系统 过度地限制用户。例如,静态技术未必能阻止违背安全策略造 成浏览数据文件;而强制访问控制仅允许用户访问具有合适的 通道的数据,这样就造成系统使用麻烦。因此,一种动态的方 法如行为跟踪对检测和尽可能阻止安全突破是必要的。
在实践当中,建立完全安全系统根本是不可能的。Miller给出 一份有关现今流行的操作系统和应用程序研究报告,指出软件 中不可能没有缺陷。另外,设计和实现一个整体安全系统相当 困难。
要将所有已安装的带安全缺陷的系统转换成安全系统需要相当 长的时间。
如果口令是弱口令并且已经被破解,那么访问控制措施不能够 阻止受到危害的授权用户的信息丢失或者破坏。
为了提高网络安全性,需要从多个层次和环节入手,分 别分析应用系统、宿主机、操作系统、数据库管理系 统、网络管理系统、子网、分布式计算机系统和全网中 的弱点,采取措施加以防范。
入侵检测概述
3
网络系统的安全对策与入侵检测
近年来,尽管对计算机安全的研究取得了很大进展,但 安全计算机系统的实现和维护仍然非常困难,因为我们 无法确保系统的安全性达到某一确定的安全级别。
入侵检测概述
5
入侵检测的早期研究
1980年,James Anderson在技术报告中指出,审计记录 可以用于识别计算机误用。他提出了入侵尝试 (intrusion attempt)或威胁(threat)的概念,并 将其定义为:潜在、有预谋的未经授权访问信息、操作 信息,致使系统不可靠或无法使用的企图。
从1992年到1995年,SRI加强优化IDES,在以太网的环境下实现了 产品化的NIDES。
1988年,Los Alamos国家实验室的Tracor Applied Sciences和 Haystack Laboratories采用异常检测和基于Signature的检测,开 发了Haystack系统。
入侵检测概述 15
研究入侵检测的必要性-3
基于上述几类问题的解决难度,一个实用的方法是 建立比较容易实现的安全系统,同时按照一定的安 全策略建立相应的安全辅助系统。
入侵检测系统就是这样一类系统,现在安全软件的 开发方式基本上就是按照这个思路进行的。
就目前系统安全状况而言,系统存在被攻击的可能 性。如果系统遭到攻击,只要尽可能地检测到,甚 至是实时地检测到,然后采取适当的处理措施。
1994年,美国空军密码支持中心的一群研究人员创建了 一个健壮的网络入侵检测系统ASIM。
1996年,UCD(Carlifornia大学的Davis分校)的 Computer Security实验室,以开发广域网上的入侵检 测系统为目的,开发了GrIDS。
1997年,Cisco公司兼并了Wheelgroup,并开始将网络 入侵检测整合到Cisco路由器中。
对异常活动进行统计分 析
对操作系统进行审计跟 踪管理,识别违反政策 的用户活动
监视外 监视内 实时监 部人员 部人员 测系统
入侵检测系统
定时扫 描系统
漏洞扫 描系统
入侵检测概述
11
入侵检测的优点
提高信息安全构造的其他部分的完整性 提高系统的监控 从入口点到出口点跟踪用户的活动 识别和汇报数据文件的变化 侦测系统配置错误并纠正他们 识别特殊攻击类型,并向管理人员发出警报,进行
通信管理器
安全管理 员
主机代理
主机事件 发生器
LAN代理
LAN事件 发生器
主机监视器
LAN监视器
入侵检测概述
9
入侵检测的概念
入侵:是指任何试图危及计算机资源的完整性、机密性 或可用性的行为。
入侵检测:对入侵行为的发觉。它通过从计算机网络或 系统中的若干关键点收集信息,并对这些信息进行分 析,从而发现网络或系统中是否有违反安全策略的行为 和遭到袭击的迹象。
入侵检测概述 14
研究入侵检测的必要性-2
加密技术方法本身存在着一定的问题。 安全系统易受内部用户滥用特权的攻击。 安全访问控制等级和用户的使用效率成反比,访问
控制和保护模型本身存在一定的问题。 在软件工程中存在软件测试不充足、软件生命周期
缩短、大型软件复杂性等难解问题,工程领域的困 难复杂性,使得软件不可能没有错误,而系统软件 容错恰恰被表明是安全的弱点。 修补系统软件缺陷不能令人满意。由于修补系统软 件缺陷,计算机系统不安全状态将持续相当长一段 时间。
入侵检测系统:进行入侵检测的软件与硬件的组合便是 入侵检测系统(简称IDS)。
入侵检测概述 10
入侵检测的作用
监控、分析用户和系统 的活动
审计系统的配置和弱点
评估关键系统和数据文 件的完整性
外部访 问
Hale Waihona Puke 内部有职权 的人员防 火 墙
内部访 问
受
访
保
问 控 制
护 系
统
识别攻击的活动模式
1986年,SRI的Dorothy E. Denning首次将入侵检测的概念作为一 种计算机系统安全防御措施提出,并且建立了一个独立于系统、程 序应用环境和系统脆弱性的通用入侵检测系统模型。
1988年,SRI开始开发IDES(Intrusion Detection Expert System)原型系统,它是一个实时入侵检测系统。
1989年,Los Alamos国家实验室的Hank Vaccaro为NCSC和DOE开发 了W&S系统。
1989年,PRC公司开发了ISOA。
入侵检测概述
7
网络IDS研究
1990年出现的NSM(Network Security Monitor,网络 安全监视器),是UCD(Carlifornia大学的Davis分 校)设计的面向局域网的IDS。
入侵检测系统一般不是采取预防的措施以防止入侵 事件的发生。
入侵检测非常必要,它将有效弥补传统安全保护措 施的不足。
入侵检测概述 16
小结
网络安全的实质 网络安全的P2DR模型 入侵检测的研究 入侵检测的概念 入侵检测的作用 研究入侵检测的必要性
入侵检测概述 17
1983年,SRI用统计方法分析IBM大型机的SMF记录。
总的来说,由于80年代初期网络还没有今天这样普遍和 复杂,网络之间也没有完全连通,因此关于入侵检测的 研究主要是基于主机的事件日志分析。而且由于入侵行 为在当时是相当少见的,因此入侵检测在早期并没有受 到人们的重视。
入侵检测概述
6
主机IDS研究