入侵检测技术概论(PPT 45张)
合集下载
《入侵检测技术理论》课件
实施效果
经过一段时间的实施,企业的网络安全得到了显著提升,未再发生数据 泄露和业务中断的情况。入侵检测系统成功地检测并阻止了多次恶意攻 击,保障了企业的正常运营。
云服务提供商安全防护案例
案例保障客户数据的安全,需要加强自身的安全防护能力。
解决方案
不足
依赖于特征库的完备性,对未知攻击的检测能力有限。
03
CATALOGUE
入侵检测技术应用
企业网络安全防护
企业网络安全防护是入侵检测技术应用的重要领域之一。通过部署入侵检测系统,企业可以实时监测 网络流量和异常行为,及时发现并应对潜在的安全威胁,保护关键业务和数据资产。
企业入侵检测系统需要具备高性能、高可用性和可扩展性,以满足企业不断增长的网络规模和安全需 求。同时,企业需要制定完善的安全策略和应急响应计划,确保在发生安全事件时能够迅速应对。
THANKS
感谢观看
政府机构网络安全防护
政府机构网络安全防护是另一个重要 的入侵检测技术应用领域。政府机构 需要保护敏感信息、维持政府职能的 正常运转,因此需要部署高效的入侵 检测系统来监测和防范网络攻击。
VS
政府机构入侵检测系统需要具备高度 的可靠性和稳定性,以满足政府机构 对安全性的高要求。同时,政府机构 需要加强与其他安全机构的合作,共 同应对网络安全威胁。
《入侵检测技术理论》 PPT课件
CATALOGUE
目 录
• 入侵检测技术概述 • 入侵检测技术原理 • 入侵检测技术应用 • 入侵检测技术挑战与展望 • 案例分析
01
CATALOGUE
入侵检测技术概述
入侵检测技术的定义
入侵检测技术
是一种用于检测、发现、记录和报告网 络系统中未授权或异常行为的安全技术 。
经过一段时间的实施,企业的网络安全得到了显著提升,未再发生数据 泄露和业务中断的情况。入侵检测系统成功地检测并阻止了多次恶意攻 击,保障了企业的正常运营。
云服务提供商安全防护案例
案例保障客户数据的安全,需要加强自身的安全防护能力。
解决方案
不足
依赖于特征库的完备性,对未知攻击的检测能力有限。
03
CATALOGUE
入侵检测技术应用
企业网络安全防护
企业网络安全防护是入侵检测技术应用的重要领域之一。通过部署入侵检测系统,企业可以实时监测 网络流量和异常行为,及时发现并应对潜在的安全威胁,保护关键业务和数据资产。
企业入侵检测系统需要具备高性能、高可用性和可扩展性,以满足企业不断增长的网络规模和安全需 求。同时,企业需要制定完善的安全策略和应急响应计划,确保在发生安全事件时能够迅速应对。
THANKS
感谢观看
政府机构网络安全防护
政府机构网络安全防护是另一个重要 的入侵检测技术应用领域。政府机构 需要保护敏感信息、维持政府职能的 正常运转,因此需要部署高效的入侵 检测系统来监测和防范网络攻击。
VS
政府机构入侵检测系统需要具备高度 的可靠性和稳定性,以满足政府机构 对安全性的高要求。同时,政府机构 需要加强与其他安全机构的合作,共 同应对网络安全威胁。
《入侵检测技术理论》 PPT课件
CATALOGUE
目 录
• 入侵检测技术概述 • 入侵检测技术原理 • 入侵检测技术应用 • 入侵检测技术挑战与展望 • 案例分析
01
CATALOGUE
入侵检测技术概述
入侵检测技术的定义
入侵检测技术
是一种用于检测、发现、记录和报告网 络系统中未授权或异常行为的安全技术 。
《入侵检测技术 》课件
总结词
能够应对复杂多变的网络威胁。
详细描述
基于统计、数据挖掘、机器学习等技术的入侵检测方法, 能够从大量数据中提取有用的信息,并自动学习攻击手段 的变化,从而更有效地应对复杂的网络威胁。
总结词
对资源要求较高。
详细描述
由于这些方法需要处理大量的网络流量数据,因此对系统 资源的要求较高,需要高性能的硬件和软件支持。
《入侵检测技术》 PPT课件
• 入侵检测技术概述 • 入侵检测技术分类 • 入侵检测技术原理 • 入侵检测技术应用场景 • 入侵检测技术面临的挑战与解决
方案 • 未来入侵检测技术的发展趋势
目录
01
入侵检测技术概述
定义与目的
定义
入侵检测技术是一种用于检测、识别 和应对网络或系统上未经授权的访问 或异常行为的手段。
性能有一定影响。
混合型入侵检测技术
混合型入侵检测技术是指结合 基于主机和基于网络的入侵检 测技术的一种技术。
它通过综合分析主机系统和网 络流量数据,提高对攻击行为 的检测和识别的准确性。
混合型入侵检测技术可以提供 更全面的安全防护,但需要同 时考虑主机和网络的部署和管 理。
其他分类方法
基于时间的入侵检测技术
主机入侵检测技术可以提供更精确的攻击识别和更深入的攻击分析,但需要安装在 被保护的主机上,且对主机的性能有一定影响。
基于网络的入侵检测技术
网络入侵检测技术是指基于网络 流量数据来检测和识别恶意行为
的一种技术。
它通过分析网络流量数据,检测 和识别异常的网络行为,如未经 授权的访问、恶意代码传播等。
网络入侵检测技术可以提供实时 的攻击检测和预警,但需要部署 在网络的关键节点上,且对网络
通过检测和应对安全威胁,入侵检测 技术有助于提高网络和系统的安全性 ,保护组织的机密信息和资产。
能够应对复杂多变的网络威胁。
详细描述
基于统计、数据挖掘、机器学习等技术的入侵检测方法, 能够从大量数据中提取有用的信息,并自动学习攻击手段 的变化,从而更有效地应对复杂的网络威胁。
总结词
对资源要求较高。
详细描述
由于这些方法需要处理大量的网络流量数据,因此对系统 资源的要求较高,需要高性能的硬件和软件支持。
《入侵检测技术》 PPT课件
• 入侵检测技术概述 • 入侵检测技术分类 • 入侵检测技术原理 • 入侵检测技术应用场景 • 入侵检测技术面临的挑战与解决
方案 • 未来入侵检测技术的发展趋势
目录
01
入侵检测技术概述
定义与目的
定义
入侵检测技术是一种用于检测、识别 和应对网络或系统上未经授权的访问 或异常行为的手段。
性能有一定影响。
混合型入侵检测技术
混合型入侵检测技术是指结合 基于主机和基于网络的入侵检 测技术的一种技术。
它通过综合分析主机系统和网 络流量数据,提高对攻击行为 的检测和识别的准确性。
混合型入侵检测技术可以提供 更全面的安全防护,但需要同 时考虑主机和网络的部署和管 理。
其他分类方法
基于时间的入侵检测技术
主机入侵检测技术可以提供更精确的攻击识别和更深入的攻击分析,但需要安装在 被保护的主机上,且对主机的性能有一定影响。
基于网络的入侵检测技术
网络入侵检测技术是指基于网络 流量数据来检测和识别恶意行为
的一种技术。
它通过分析网络流量数据,检测 和识别异常的网络行为,如未经 授权的访问、恶意代码传播等。
网络入侵检测技术可以提供实时 的攻击检测和预警,但需要部署 在网络的关键节点上,且对网络
通过检测和应对安全威胁,入侵检测 技术有助于提高网络和系统的安全性 ,保护组织的机密信息和资产。
入侵检测技术.ppt
第1章 入侵检测概述
曹元大主编,人民邮电出版社,2007年
入侵检测概述
1
第1章 入侵检测概述
概述:
网络安全基本概念 入侵检测的产生与发展 入侵检测的基本概念
入侵检测概述
2
网络安全的实质
保障系统中的人、设备、设施、软件、数据以及各种供 给品等要素避免各种偶然的或人为的破坏或攻击,使它 们发挥正常,保障系统能安全可靠地工作 。
防御
入侵检测概述 12
入侵检测的缺点
不能弥补差的认证机制 如果没有人的干预,不能管理攻击调查 不能知道安全策略的内容 不能弥补网络协议上的弱点 不能弥补系统提供质量或完整性的问题 不能分析一个堵塞的网络 不能处理有关packet-level的攻击
入侵检测概述 13
研究入侵检测的必要性-1
入侵检测是最近10余年发展起来的一种动态的监控、预 防或抵御系统入侵行为的安全机制。主要通过监控网 络、系统的状态、行为以及系统的使用情况,来检测系 统用户的越权使用以及系统外部的入侵者利用系统的安 全缺陷对系统进行入侵的企图。
入侵检测概述
4
网络安全的P2DR模型与入侵检测
Policy(安全策略) Protection(防护) Detection(检测) Response(响应)
从1996年到1999年,SRI开始EMERALD的研究,它是 NIDES的后继者。
入侵检测概述
8
主机和网络IDS的集成
分布式入侵检测系统 (DIDS)最早试图把 基于主机的方法和网 络监视方法集成在一 起。
DIDS的最初概念是采 用集中式控制技术, 向DIDS中心控制器发 报告。
DIDS主管 专家系统 用户界面
曹元大主编,人民邮电出版社,2007年
入侵检测概述
1
第1章 入侵检测概述
概述:
网络安全基本概念 入侵检测的产生与发展 入侵检测的基本概念
入侵检测概述
2
网络安全的实质
保障系统中的人、设备、设施、软件、数据以及各种供 给品等要素避免各种偶然的或人为的破坏或攻击,使它 们发挥正常,保障系统能安全可靠地工作 。
防御
入侵检测概述 12
入侵检测的缺点
不能弥补差的认证机制 如果没有人的干预,不能管理攻击调查 不能知道安全策略的内容 不能弥补网络协议上的弱点 不能弥补系统提供质量或完整性的问题 不能分析一个堵塞的网络 不能处理有关packet-level的攻击
入侵检测概述 13
研究入侵检测的必要性-1
入侵检测是最近10余年发展起来的一种动态的监控、预 防或抵御系统入侵行为的安全机制。主要通过监控网 络、系统的状态、行为以及系统的使用情况,来检测系 统用户的越权使用以及系统外部的入侵者利用系统的安 全缺陷对系统进行入侵的企图。
入侵检测概述
4
网络安全的P2DR模型与入侵检测
Policy(安全策略) Protection(防护) Detection(检测) Response(响应)
从1996年到1999年,SRI开始EMERALD的研究,它是 NIDES的后继者。
入侵检测概述
8
主机和网络IDS的集成
分布式入侵检测系统 (DIDS)最早试图把 基于主机的方法和网 络监视方法集成在一 起。
DIDS的最初概念是采 用集中式控制技术, 向DIDS中心控制器发 报告。
DIDS主管 专家系统 用户界面
《网络入侵检测技术》PPT课件
➢进行入侵检测的软件与硬件的组合便是入侵检测系统
入侵检测产品的起源
➢审计技术:产生、记录并检查按时间顺序排列的系统事件
记录的过程
➢审计的目标:
–确定和保持系统活动中每个人的责任 –重建事件
–评估损失 –监测系统的问题区 –提供有效的灾难恢复
–阻止系统的不正当使用
为什么需要安装入侵检测系统
网络中已经安装了防火墙系统,为什么还 需要安装入侵检测系统?
传统的操作系统加固技术和防火墙隔离技 术等都是静态安全防御技术,它们主要是 基于各种形式的静态禁止策略,对网络环 境下日新月异的攻击手段缺乏主动的反应。
入侵检测是最近发展起来的一种动态的监 控、预防或抵御系统入侵行为的安全机制, 主要通过实时监控网络和系统的状态、行 为以及系统的使用情况,来检测系统用户 的越权使用以及系统外部的入侵者利用系 统的安全缺陷对系统进行入侵的企图。
基于网络的入侵检测系统 (NIDS) 在计算机网络中的关 键点被动地监听网络上传输的原始流量,对获取的网络 数据包进行分析处理,从中获取有用的信息,以识别、 判定攻击事件。
HIDS:基于主机的入侵检测系统
基于主机的入侵检测系统 (HIDS) 一般主要使用操作系 统的审计日志作为主要数据源输入,试图从日志判断滥 用和入侵事件的线索。
什么导致黑客入侵
服务(service)导致黑客入侵
– 没有开启任何服务的主机绝对是安全的主机
信息安全的隐患存在于信息的共享和传递 过程中
小结
网络入侵概念的广泛性 服务导致黑客的入侵 网络安全的核心就是信息的安全
第二节:攻击的一般步骤
恶意用户为什么总是能成功入侵系统?前提 条件就是系统的安全问题有漏洞,没有百 分百的安全。任何系统都会有这样那样的 弱点,即时使用了最新的技术,但由于系 统的用户的错误操作也会使系统产生漏洞。
入侵检测产品的起源
➢审计技术:产生、记录并检查按时间顺序排列的系统事件
记录的过程
➢审计的目标:
–确定和保持系统活动中每个人的责任 –重建事件
–评估损失 –监测系统的问题区 –提供有效的灾难恢复
–阻止系统的不正当使用
为什么需要安装入侵检测系统
网络中已经安装了防火墙系统,为什么还 需要安装入侵检测系统?
传统的操作系统加固技术和防火墙隔离技 术等都是静态安全防御技术,它们主要是 基于各种形式的静态禁止策略,对网络环 境下日新月异的攻击手段缺乏主动的反应。
入侵检测是最近发展起来的一种动态的监 控、预防或抵御系统入侵行为的安全机制, 主要通过实时监控网络和系统的状态、行 为以及系统的使用情况,来检测系统用户 的越权使用以及系统外部的入侵者利用系 统的安全缺陷对系统进行入侵的企图。
基于网络的入侵检测系统 (NIDS) 在计算机网络中的关 键点被动地监听网络上传输的原始流量,对获取的网络 数据包进行分析处理,从中获取有用的信息,以识别、 判定攻击事件。
HIDS:基于主机的入侵检测系统
基于主机的入侵检测系统 (HIDS) 一般主要使用操作系 统的审计日志作为主要数据源输入,试图从日志判断滥 用和入侵事件的线索。
什么导致黑客入侵
服务(service)导致黑客入侵
– 没有开启任何服务的主机绝对是安全的主机
信息安全的隐患存在于信息的共享和传递 过程中
小结
网络入侵概念的广泛性 服务导致黑客的入侵 网络安全的核心就是信息的安全
第二节:攻击的一般步骤
恶意用户为什么总是能成功入侵系统?前提 条件就是系统的安全问题有漏洞,没有百 分百的安全。任何系统都会有这样那样的 弱点,即时使用了最新的技术,但由于系 统的用户的错误操作也会使系统产生漏洞。
归纳chap4-02-入侵检测技术.ppt
..........
10
IDS的功能与作用
• 鉴别对系统漏洞及后门的利用 。 • 完善网络安全管理。 IDS通过对攻击或入侵的
检测及反应,可以有效地发现和防止大部分的 网络入侵或攻击行为,给网络安全管理提供了 一个集中、方便、有效的工具。使用IDS系统 的监测、统计分析、报表功能,可以进一步完 善网管。
• 1998年, Ross Anderson和 Abida Khattak将 信息检索技术引进到 了入侵检测系统。
• 中国的IDS也得到了长足的发展。据 IDC的报告, 2000年中国安全 市场中, IDS与评估软件占了 19%的份额。 IDC在 2001年 4月的调 查显示,用户接下来对网络安全产品的需求中,对 IDS的需求占 到了 18.5%。从厂商方面来说,从 1999年前后,国外一些软件商 开始将其 IDS引入到国内,如安氏、 CA、 NAI、赛门铁克等。国 内如冠群金辰、金诺网安 等也占据着该市场的较大份额。
..........4年,Mark Crosbie 和Gene Spafford建议 使用自治 代理 (Autonomous Agents)以便提高 IDS的可伸缩性、 可维护性、效率和容错性。
• 1995年, IDES后续版本──NIDES(Next-Generation Intrusion Detection System)实现了可以检测多个主机 上的入侵。
..........
4
IDS的发展史
• 1987年,Dorothy E.Dennying 提出了异常入侵检测系 统的抽象模型,首次将入侵检测的概念作为一种计算 机系统安全防御问题的措施提出。
• 1988年, Morris Internet蠕虫事件使得 Internet约 5天 无法正常使用,该事件导致了许多 IDS系统的开发研制。 Teresa Lunt等人进一步改进了Dennying提出的入侵检 测模型,并创建了 IDES(Intrusion Detection Expert System),它提出了与系统平台无关的实时检测思想。
入侵检测技术ppt课件共132页PPT
反复无常,鼓着翅膀飞逝
入侵检测技术
惠东
入侵检测的定义
对系统的运行状态进行监视,发现各种攻 击企图、攻击行为或者攻击结果,以保证 系统资源的机密性、完整性和可用性
进行入侵检测的软件与硬件的组合便是入 侵检测系统
IDS : Intrusion Detection System
▪ 他提出了一种对计算机系统风险和威胁的分类方
法,并将威胁分为外部渗透、内部渗透和不法行 为三种
▪ 还提出了利用审计跟踪数据监视入侵活动的思想。
这份报告被公认为是入侵检测的开山之作
入侵检测的起源(4)
从1984年到1986年,乔治敦大学的Dorothy Denning 和SRI/CSL的Peter Neumann研究出了一个实时入侵检 测系统模型,取名为IDES(入侵检测专家系统)
显然,对用户活动来讲,不正常的或不期望的 行为就是重复登录失败、登录到不期望的位置 以及非授权的企图访问重要文件等等
系统目录和文件的异常变化
网络环境中的文件系统包含很多软件和数据文 件,包含重要信息的文件和私有数据文件经常 是黑客修改或破坏的目标。目录和文件中的不 期望的改变(包括修改、创建和删除),特别 是那些正常情况下限制访问的,很可能就是一 种入侵产生的指示和信号
局限性 无法处理网络内部的攻击 误报警,缓慢攻击,新的攻 击模式 并不能真正扫描漏洞
可视为防火墙上的一个漏洞 功能单一
入侵检测起源
1980年 Anderson提出:入侵检测概念,分类方法 1987年 Denning提出了一种通用的入侵检测模型
独立性 :系统、环境、脆弱性、入侵种类 系统框架:异常检测器,专家系统 90年初:CMDS™、NetProwler™、NetRanger™ ISS RealSecure™
入侵检测技术
惠东
入侵检测的定义
对系统的运行状态进行监视,发现各种攻 击企图、攻击行为或者攻击结果,以保证 系统资源的机密性、完整性和可用性
进行入侵检测的软件与硬件的组合便是入 侵检测系统
IDS : Intrusion Detection System
▪ 他提出了一种对计算机系统风险和威胁的分类方
法,并将威胁分为外部渗透、内部渗透和不法行 为三种
▪ 还提出了利用审计跟踪数据监视入侵活动的思想。
这份报告被公认为是入侵检测的开山之作
入侵检测的起源(4)
从1984年到1986年,乔治敦大学的Dorothy Denning 和SRI/CSL的Peter Neumann研究出了一个实时入侵检 测系统模型,取名为IDES(入侵检测专家系统)
显然,对用户活动来讲,不正常的或不期望的 行为就是重复登录失败、登录到不期望的位置 以及非授权的企图访问重要文件等等
系统目录和文件的异常变化
网络环境中的文件系统包含很多软件和数据文 件,包含重要信息的文件和私有数据文件经常 是黑客修改或破坏的目标。目录和文件中的不 期望的改变(包括修改、创建和删除),特别 是那些正常情况下限制访问的,很可能就是一 种入侵产生的指示和信号
局限性 无法处理网络内部的攻击 误报警,缓慢攻击,新的攻 击模式 并不能真正扫描漏洞
可视为防火墙上的一个漏洞 功能单一
入侵检测起源
1980年 Anderson提出:入侵检测概念,分类方法 1987年 Denning提出了一种通用的入侵检测模型
独立性 :系统、环境、脆弱性、入侵种类 系统框架:异常检测器,专家系统 90年初:CMDS™、NetProwler™、NetRanger™ ISS RealSecure™
《入侵检测》课件
实时性
系统对入侵事件的响应速度, 快速响应能够减少损失。
可扩展性
系统能够随着网络规模和安全 需求的变化进行扩展的能力。
04 入侵检测面临的挑战与解 决方案
高性能计算环境的挑战与解决方案
挑战
随着高性能计算环境的普及,入侵检测系统需要处理的数据量急剧增加,对数据处理速 度的要求也越来越高。
解决方案
采用分布式计算技术,将数据分散到多个节点进行处理,提高数据处理速度。同时,利 用GPU加速技术,提高算法的并行处理能力,进一步提高数据处理速度。
网络型
部署在网络中的关键节点,实时监测网络流量和数据 包内容。
主机型
安装在目标主机上,监测主机的系统日志、进程等信 息。
混合型
结合网络型和主机型的特点,同时监测网络和主机环 境。
入侵检测系统的性能指标
检测率
能够检测到的入侵事件的比例 ,是衡量入侵检测系统性能的
重要指标。
误报率
将正常行为误判为入侵事件的 比例,低误报率可以提高系统 的可信度。
要点二
面临的挑战
利用量子计算的并行性和量子纠缠等特性,可以加速加密 和解密等计算密集型任务,提高入侵检测的性能和安全性 。
目前量子计算仍处于发展初期,技术尚未成熟,且量子计 算在入侵检测中的应用仍面临许多挑战和限制。
THANKS FOR WATCHING
感谢您的观看
02 入侵检测技术
基于异常的入侵检测技术
总结词
基于异常的入侵检测技术通过监测系统中的异常行为或流量模式来识别入侵行 为。
详细描述
该技术通过建立正常行为模式,并将实际行为与该模式进行比较,以检测异常 行为。如果发现异常行为,则触发警报。
基于误用的入侵检测技术
第8章入侵检测技术PPT讲义
入侵 行为
时间信息
添加新 的规则
如果正常的用户行为与入侵特征匹配,则系统会发生误报 如果没有特征能与某种新的攻击行为匹配,则系统会发生漏报
异常检测技术
1. 前提:入侵是异常活动的子集
2. 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合,用于描述 正常行为范围;检查实际用户行为和系统的运行情况是否偏离预设的门限?
较,得出是否有入侵行为
异常检测(Anomaly Detection) ——基于行为的检测
总结正常操作应该具有的特征,得出正常操作的模型 对后续的操作进行监视,一旦发现偏离正常操作模式,即进
行报警
误用检测技术
1. 前提:所有的入侵行为都有可被检测到的特征
2. 攻击特征库: 当监测的用户或系统行为与库中的记录相匹 配时,系统就认为这种行为是入侵
中止连接
Internet
商务伙伴
外外部部攻攻击击
类程序附在电子邮件上传输
入侵检测系统的作用
摄像机=IDS探测引擎
监控室=控制中心
后门 Card Key
保安=防火墙
形象地说,IDS就是一台智能的X光摄像机,它能够捕获并记录网络上的所有数据, 分析并提炼出可疑的、异常的内容,尤其是它能够洞察一些巧妙的伪装,抓住内 容的实质。此外,它还能够对入侵行为自动地进行响应:报警、阻断连接、关闭 道路(与防火墙联动)
通过提交上千次相同命令,来实施对POP3服务器的拒绝 服务攻击.
入侵检测系统发现该行为发生次数超过预定义阈值,认 为是异常事件。
实例二:暴力破解FTP账号密码
黑客得知FTP Server存在用户名admin 使用字典程序对admin用户暴力猜密码 入侵检测系统会发现在很短的时间内会出现大量如下数
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
异常检测
比较符合安全的概念,但是实现难度较大
正常模式的知识库难以建立 难以明确划分正常模式和异常模式
常用技术
统计方法 预测模式 神经网络
误用检测
目前研究工作比较多,并且已经进入实用
建立起已有攻击的模式特征库 难点在于:如何做到动态更新,自适应
常用技术
基于简单规则的模式匹配技术 基于专家系统的检测技术 基于状态转换分析的检测技术 基于神经网络检测技术 其他技术,如数据挖掘、模糊数学等
入侵检测技术
孙建伟 计算机网络攻防对抗技术实验室 北京理工大学
内容概要
P2DR安全体系 入侵检测系统介绍 入侵检测系统分类 入侵检测系统用到的一些技术 入侵检测系统的研究和发展 商用入侵检测系统演示
网络安全动态防护模型
防护 (protecttion)
安全 策略 (policy)
IDS的技术
异常检测(anomaly detection)
也称为基于行为的检测 首先建立起用户的正常使用模式,即知识库 标识出不符合正常模式的行为活动
误用检测(misuse detection)
也称为基于特征的检测 建立起已知攻击的知识库 判别当前行为活动是否符合已知的攻击模式
IDS的两个指标
漏报率
指攻击事件没有被IDS检测到
误报率(false alarm rate)
把正常事件识别为攻击并报警 误报率与检出率成正比例关系
100%
误 报 率
0 检出率(detection rate) 100%
内容概要
P2DR安全体系 入侵检测系统介绍 入侵检测系统用到的一些技术 入侵检测系统分类 入侵检测系统的研究和发展
利用某些识别技术
基于模式匹配的专家系统 基于异常行为分析的检测手段
一个轻量的网络IDS: snort
是一个基于简单模式匹配的IDS 源码开放,跨平台(C语言编写,可移植性好) 利用libpcap作为捕获数据包的工具 特点
设计原则:性能、简单、灵活 包含三个子系统:网络包的解析器、检测引擎、日 志和报警子系统 内置了一套插件子系统,作为系统扩展的手段 模式特征链——规则链 命令行方式运行,也可以用作一个sniffer工具
入侵检测系统的种类
基于主机
安全操作系统必须具备一定的审计功能,并 记录相应的安全性日志 IDS可以放在防火墙或者网关的后面,以网 络嗅探器的形式捕获所有的对内对外的数据 包
基于网络
基于网络的IDS系统
收集网络流量数据
利用sniff技术 把IDS配置在合理的流量集中点上,比如与 防火墙或者网关配置在一个子网中
内容概要
P2DR安全体系 入侵检测系统介绍 入侵检测系统分类 入侵检测系统用到的一些技术 入侵检测系统的研究和发展
IDS的用途
攻击机制 目标系统
攻击工具 攻击命令
实时 入侵 攻击过程 检测
系统漏洞 漏洞扫描
评估 加固 网络漏洞
目标网络
攻击者
入侵检测系统的实现过程
信息收集,来源:
Snort规则链处理过程
二维链表结构 匹配过程
首先匹配到适当 的Chain Header 然后,匹配到适 当的Chain Option 最后,满足条件 的第一个规则指 示相应的动作
Snort: 日志和报警子系统
当匹配到特定的规则之后,检测引擎会触发相应的动 作 日志记录动作,三种格式:
解码之后的二进制数据包 文本形式的,应选择tcpdump格式,或者关闭 logging功能 报警动作,包括
Syslog 记录到alert文本文件中 发送WinPopup消息
关于snort的规则
Snort的规则比较简单
规则结构: 规则头: alert tcp !10.1.1.0/24 any -> 10.1.1.0/24 any 规则选项: (flags: SF; msg: “SYN-FIN Scan”;) 针对已经发现的攻击类型,都可以编写出适当的规则来
网络安全:及时的检测和处理 Pt
时间
Dt
Rt
新定义:Pt > Dt + Rt
P2DR安全模型
这是一个动态模型
以安全策略为核心
基于时间的模型
可以量化 可以计算 检测是静态防护转化为动态的关键 检测是动态响应的依据 检测是落实/强制执行安全策略的有力工具
P2DR安全的核心问题——检测
网络流量 系统日志文件 系统目录和文件的异常变化 程序执行中的异常行为 模式匹配 统计分析 完整性分析,往往用于事后分析
信息分析
入侵检测系统的通用模型
数据源
模式匹配器
系统轮廓分析引擎
数据库
入侵模式库 异常检测器
响应和恢复机制
入侵检测系统的种类
基于主机
安全操作系统必须具备一定的审计功能,并记录相 应的安全性日志 IDS可以放在防火墙或者网关的后面,以网络嗅探 器的形式捕获所有的对内对外的数据包
网络数据包解析
结合网络协议栈的结构来设计 Snort支持链路层和TCP/IP的协议定义
每一层上的数据包都对应一个函数 按照协议层次的顺序依次调用就可以得到各 个层上的数据包头
从链路层,到传输层,直到应用层
在解析的过程中,性能非常关键,在每一层 传递过程中,只传递指针,不传实际的数据 支持链路层:以太网、令牌网、FDDI
基于网络
IDS的部署和结构
入侵检测系统的管理和部署
多种IDS的协作 管理平台和sensor
Purdue大学研制了一种被称为 AAFID(Autonomous agents for intrusion detection)的IDS模型 SRI的EMERALD(Event Monitoring Enabling Response to Anomalous Live Disturbances)
基于Agent的IDS系统
商业IDS例子: ISS RealSecure结构
RealSecure OS Sensor
RealSecure Console
RealSecure Network Sensor
RealSecure Server Sensor
内容概要
P2DR安全体系 入侵检测系统介绍 入侵检测系统用到的一些技术 入侵检测系统分类 入侵检测系统的研究和发展