第八章入侵检测系统
合集下载
第8章 入侵检测系统(IDS)及应用
2.IDS产品的结构
一种类型的IDS产品是探测器和控制台装在不同 的机器上,控制台可以对探测器远程管理。 另一种类型的产品是探测器和控制台以软件形 式安装在一台机器上,虽然操作简单,但不 能进行远程管理。
3.IDS的测试和评估
(1)测试评估IDS性能的标准 ①准确性 ②处理性能 ③完备性 ④容错性 ⑤及时性
(2)每秒抓包数(pps) 每秒抓包数是反映网络入侵检测系统性能的最 重要的指标。 (3)每秒能监控的网络连接数 (4)每秒能够处理的事件数
三、 IDS使用
1.基于网络的入侵检测产品(NIDS)
2.基于主机的入侵检测产品(HIDS)
国内市场上能见到的HIDS产品只有:理工先河 的“金海豚”、CA的eTrust(包含类似于 HIDS的功能模块)、东方龙马HIDS(纯软 件的)、曙光God Eye-HIDS等屈指可数的几 个产品,而且能支持的操作系统主要有Solaris、 Linux、Windows2000。
入侵检测系统的三个组成部分: • 感应器(Sensor) • 分析器(Analyzer) • 管理器(Manager)
3、入侵检测系统的分类
(1)根据其监测的对象是主机还是网络分为 基于主机的入侵检测系统和基于网络的入侵 检测系统 (2)根据检测系统对入侵行为的响应方式分 为主动检测系统和被动检测系统 (3)根据工作方式分为在线检测系统和离线 检测系统
入侵检测(Intrusion Detection),顾名思义, 便是对入侵行为的发觉。它通过对计算机系 统、或计算机网络中的若干关键部位收集信 息并对其进行分析,从中发现网络或系统中 是否有违反安全策略的行为。入侵检测的内 容包括:试图闯入、成功闯入、冒充其他用 户、违反安全策略、合法用户的泄漏、独占 资源以及恶意使用。
第八章 入侵检测系统
入侵检测的起源
1988年之后,美国开展对分布式入侵检测系统 (DIDS)的研究,将基于主机和基于网络的检测 方法集成到一起。
DIDS是分布式入侵检测系统历史上的一个里程碑式 的产品。
从20世纪90年代到现在,入侵检测系统的研发 呈现出百家争鸣的繁荣局面,并在智能化和分 布式两个方向取得了长足的进展。
IDS的基本工作原理 当前系统或 网络行为
入侵检测 分析引擎
模式知识库
入侵行为模式 安全策略
入侵
否
正常行为模式
是
证据记录
数据采集
响应处理
8.1 概 述
检测IDS性能的两个关键参数
误报(false positive)
实际无害的事件却被IDS检测为攻击事件
漏报(false negative)
修正
异常检测
特点
异常检测系统的效率取决于用户轮廓的完备性 和监控的频率
不需要对每种入侵行为进行定义,因此能有效 检测未知的入侵
系统能针对用户行为的改变进行自我调整和优 化,但随着检测模型的逐步精确,异常检测会 消耗更多的系统资源
误用检测
前提
所有的入侵行为都有可以被检测到的特征
攻击特征库
模式匹配(与已知的攻击进行比较)
统计分析(确定对象的异常行为)
完整性分析(常用于事后分析)
8.1 概 述 警报信息 事件分析器
IDS的通用模型
事件数据库
存放各种中间和最终数据的地方 从事件产生器或事件分析器接收
数据,一般会将数据进行较长时 间的保存,以便于今后的关联分 析等。
响应单元
IDS
IDS
NIDS
Internet
IDS
IDS
IDS
1988年之后,美国开展对分布式入侵检测系统 (DIDS)的研究,将基于主机和基于网络的检测 方法集成到一起。
DIDS是分布式入侵检测系统历史上的一个里程碑式 的产品。
从20世纪90年代到现在,入侵检测系统的研发 呈现出百家争鸣的繁荣局面,并在智能化和分 布式两个方向取得了长足的进展。
IDS的基本工作原理 当前系统或 网络行为
入侵检测 分析引擎
模式知识库
入侵行为模式 安全策略
入侵
否
正常行为模式
是
证据记录
数据采集
响应处理
8.1 概 述
检测IDS性能的两个关键参数
误报(false positive)
实际无害的事件却被IDS检测为攻击事件
漏报(false negative)
修正
异常检测
特点
异常检测系统的效率取决于用户轮廓的完备性 和监控的频率
不需要对每种入侵行为进行定义,因此能有效 检测未知的入侵
系统能针对用户行为的改变进行自我调整和优 化,但随着检测模型的逐步精确,异常检测会 消耗更多的系统资源
误用检测
前提
所有的入侵行为都有可以被检测到的特征
攻击特征库
模式匹配(与已知的攻击进行比较)
统计分析(确定对象的异常行为)
完整性分析(常用于事后分析)
8.1 概 述 警报信息 事件分析器
IDS的通用模型
事件数据库
存放各种中间和最终数据的地方 从事件产生器或事件分析器接收
数据,一般会将数据进行较长时 间的保存,以便于今后的关联分 析等。
响应单元
IDS
IDS
NIDS
Internet
IDS
IDS
IDS
《入侵检测系统》课件
如何维护和管理入侵检测系统
定期更新系统:确保系统始终处于最新状态,以应对不断变化的威胁 监控系统运行状态:实时监控系统运行状态,及时发现并解决异常情况 定期备份数据:定期备份系统数据,以防数据丢失或损坏 培训员工:对员工进行系统使用和维护的培训,提高员工的安全意识和操作技能
THANKS
汇报人:
基于网络的入侵检测系统
基于主机的入侵检测系统
基于代理的入侵检测系统
基于蜜罐的入侵检测系统
入侵检测系统的重要性
保护网络安全: 及时发现并阻 止网络攻击, 保护网络和数
据安全
提高系统稳定 性:及时发现 并修复系统漏 洞,提高系统 稳定性和可靠
性
降低损失:及 时发现并阻止 网络攻击,降 低经济损失和
声誉损失
如何评估入侵检测系统的性能
检测率:评估系统对入侵行为的检测能 力
误报率:评估系统对正常行为的误报情 况
响应时间:评估系统对入侵行为的响应 速度
兼容性:评估系统与其他安全设备的兼 容性
易用性:评估系统的操作简便性和用户 友好性
成本:评估系统的购买和维护成本
如何部署和配置入侵检测系统
选择合适的入侵 检测系统:根据 企业需求、网络 环境、安全策略 等因素选择合适 的入侵检测系统。
法规政策:政 府对网络安全 的重视将推动 入侵检测系统 的发展和应用
Part Six
如何选择合适的入 侵检测系统
选择入侵检测速度和准确性
功能:系统的检测范围和功能是否满 足需求
兼容性:系统与其他安全设备的兼容 性
价格:系统的价格是否在预算范围内 易用性:系统的操作是否简单易用 售后服务:系统的售后服务是否完善
实时监控:能够实时监控网络流量,及时发现异常行为 智能分析:利用机器学习和人工智能技术,提高检测精度 自动响应:能够自动响应入侵行为,如阻断攻击、报警等 降低风险:减少网络攻击带来的损失,提高网络安全性
入侵检测系统(IDS)精品PPT课件
❖ HIDS是配置在被保护的主机上的,用来检测针对主 机的入侵和攻击
❖ 主要分析的数据包括主机的网络连接状态、审计日 志、系统日志。
❖ 实现原理
配置审计信息 系统对审计数据进行分析(日志文件)
28
NIDS和HIDS比较
29
入侵检测的分类 (混合IDS)
❖ 基于网络的入侵检测产品和基于主机的入侵检测产 品都有不足之处,单纯使用一类产品会造成主动防 御体系不全面。但是,它们的缺憾是互补的。如果 这两类产品能够无缝结合起来部署在网络内,则会 构架成一套完整立体的主动防御体系,综合了基于 网络和基于主机两种结构特点的入侵检测系统,既 可发现网络中的攻击信息,也可从系统日志中发现 异常情况。
34
入侵检测的部署
❖ 检测器放置于防火墙的DMZ区域
可以查看受保护区域主机被攻击状态 可以看出防火墙系统的策略是否合理 可以看出DMZ区域被黑客攻击的重点
35
入侵检测的部署
❖ 检测器放置于路由器和边界防火墙之间
可以审计所有来自Internet上面对保护网络的攻 击数目
可以审计所有来自Internet上面对保护网络的攻 击类型
❖ 需要在计算机网络系统中的若干不同关键点(不同 网段和不同主机)收集信息,这样做的理由就是从 一个来源的信息有可能看不出疑点,但从几个来源 的信息的不一致性却是可疑行为或入侵的最好标识 。14Fra bibliotek信息收集
❖ 入侵检测的效果很大程度上依赖于收集信息的可靠 性和正确性
❖ 要保证用来检测网络系统的软件的完整性 ❖ 特别是入侵检测系统软件本身应具有相当强的坚固
❖ 入侵检测系统(IDS):入侵检测系统是软件与硬 件的组合,是防火墙的合理补充,是防火墙之后的 第二道安全闸门。
❖ 主要分析的数据包括主机的网络连接状态、审计日 志、系统日志。
❖ 实现原理
配置审计信息 系统对审计数据进行分析(日志文件)
28
NIDS和HIDS比较
29
入侵检测的分类 (混合IDS)
❖ 基于网络的入侵检测产品和基于主机的入侵检测产 品都有不足之处,单纯使用一类产品会造成主动防 御体系不全面。但是,它们的缺憾是互补的。如果 这两类产品能够无缝结合起来部署在网络内,则会 构架成一套完整立体的主动防御体系,综合了基于 网络和基于主机两种结构特点的入侵检测系统,既 可发现网络中的攻击信息,也可从系统日志中发现 异常情况。
34
入侵检测的部署
❖ 检测器放置于防火墙的DMZ区域
可以查看受保护区域主机被攻击状态 可以看出防火墙系统的策略是否合理 可以看出DMZ区域被黑客攻击的重点
35
入侵检测的部署
❖ 检测器放置于路由器和边界防火墙之间
可以审计所有来自Internet上面对保护网络的攻 击数目
可以审计所有来自Internet上面对保护网络的攻 击类型
❖ 需要在计算机网络系统中的若干不同关键点(不同 网段和不同主机)收集信息,这样做的理由就是从 一个来源的信息有可能看不出疑点,但从几个来源 的信息的不一致性却是可疑行为或入侵的最好标识 。14Fra bibliotek信息收集
❖ 入侵检测的效果很大程度上依赖于收集信息的可靠 性和正确性
❖ 要保证用来检测网络系统的软件的完整性 ❖ 特别是入侵检测系统软件本身应具有相当强的坚固
❖ 入侵检测系统(IDS):入侵检测系统是软件与硬 件的组合,是防火墙的合理补充,是防火墙之后的 第二道安全闸门。
第8章 入侵检测系统(IDS)及应用 网络维护与安全技术教程与实训电子教案
入侵检测过程示意图
报警 日志记录
入侵检测
记录
内部入侵
终止入侵
重新配置 防火墙 路由器
入侵检测
记录入侵 过程
3、入侵检测的发展
❖ 入侵检测技术的发展过程: ❖概念诞生阶段:1980年 James P. Anderson第一
次详细阐述了入侵检测的概念。《Computer Security Threat Monitoring and Surveillance》。 ❖模型产生阶段:1986年 Denning提出了一种通 用的入侵检测模型。研究出了一个实时入侵检测 系统模型—IDES(入侵检测专家系统)。 ❖ 百家争鸣阶段:90年初-至今(基于数据挖掘、 基于神经网络的入侵检测等)。
4.入侵检测系统的工作过程
❖ IDS处理过程分为四个阶段。 ❖ 数据采集阶段:数据采集是入侵检测的基础。在
数据采集阶段,入侵检测系统主要收集目标系统 中引擎提供的主机通信数据包和系统使用等情况。
❖ 数据处理及过滤阶段:把采集到的数据进行处理, 转换为可以识别是否发生入侵的形式。
❖ 分析及检测入侵阶段:通过分析上一阶段提供的 数据来判断是否发生入侵。这一阶段是整个入侵 检测系统的核心阶段。
入侵过程示意图
入侵:是指试图破坏计
算机系统的完整性、机 密性和可用性的行为
➢入侵者取得超出合 法身份的系统控制 权 ➢ 收集漏洞信息和拒 绝服务攻击
互联网
防火墙
入侵者进入用户系统的方式
❖ 入侵者进入用户系统主要有以下三种方式: ❖ 物理入侵:在未授权的情况对网络硬件的连接,
或对系统物理资源的直接破坏等。
它的特点是实时入侵检测 在网络连接过程中进行。系统对 实时网络数据包分析,对实时主机审计分析,一旦发现入 侵迹象立即断开入侵者与主机的连接,并收集证据和实施数 据恢复。
网络信息安全课件—入侵检测系统
防火墙为网络提供了第一道防线,入侵检测被认为 是防火墙之后的第二道闸门,在不影响网络性能的 情况下对网络进行检测,从而提供对内部攻击、外 部攻击和误操作的实时保护。由于入侵检测系统是 防火墙后的又一道防线,从而可以极大地减少网络 免受各种攻击的伤害。
入侵检测系统的作用
使系统管理员时
刻了解网络系统
的任何变更
1
3
具有管理方便、配置
简单的特性,从而使
非专业人员非常容易
的管理网络安全
给网络安全策略的 定制提供指南
2
4
规模根据网络威胁、 系统构造 和安全 需求的改变而改变。
入侵检测系统的特点
• 不需要人工干预即可不间断地运行。 • 有容错功能。即使系统发生了崩溃,也不会丢失数据。 • 不需要占用大量的系统资源。 • 能够发现异于正常行为的操作。 • 能够适应系统行为的长期变化。 • 保持领先,能及时升级。
三.数据完整性分析法
• 数据完整性分析法主要用来查证文件或对象是否被修改过。 • 理论基础是密码学。
入侵检测系统的主要类型
一.应用软件入侵检测
在应用软件收集信息。 控制性好,具有很高的可靠性。 需要支持的应用软件数量多。
二.基于主机的入侵检测
通常采用查看针对可疑行为的审计记录来执行。它对新的记录条目与 攻击特征进行比较并检查不应该被改变的系统文件的校验和来分析系统 是否被侵入或者被攻击。如果发现与攻击模式匹配,IDS系统通过向管理 员报警和其他行为来响应。在事件发生后提供足够的分析来阻止进一步 的攻击。反应的时间为与定期检测的时间间隔。
2、Network Associates公司的CyberCo
• 局域网管理员正是NetWork Associates的主要客户群。 • CyberCop还能生成可以被 Sniffer识别的踪迹文件。与NetRanger相
入侵检测系统及应用 PPT课件
4.3.1 分布式入侵检测框架及检测机制 随着高速网络的发展,网络范围的拓宽,各种分布式网 络技术、网络服务的发展,使原来的网络入侵检测很难适 应现在的状况。因此有必要把检测分析过程也实现分布化。 在分布式结构中,n个检测器分布在网络环境中,直接接 受sensor(传感器)的数据,有效的利用各个主机的资源, 消除了集中式检测的运算瓶颈和安全隐患;同时由于大量 的数据用不着在网络中传输,大大降低了网络带宽的占用, 提高了系统的运行效率。
除了以上两类主要数据分析技术外,研究人员还提出了 一些新的分析技术,如免疫系统、基因算法、数据挖掘、 基于代理的检测等。本节详细内容参见书本P126~P129页。
2020/3/31
3
4.1.3 主要入侵检测模型
如果按照检测对象划分,入侵检测技术又可分为“基于 主机的检测”、“基于网络的检测”和“混合型检测”三 大类。
本节详细内容参见书本P132~P134页。
2020/3/31
7
4.2 入侵检测原理和应用
4.2.1 入侵检测原理 从总体来说,入侵检测系统可以分为两个部分:收集系 统和非系统中的信息然后对收集到的数据进行分析,并采 取相应措施。 1. 信息收集 信息收集包括收集系统、网络、数据及用户活动的状态 和行为。入侵检测利用的信息一般来自:系统和网络日志 文件、非正常的目录和文件改变、非正常的程序执行这三 个方面。 2. 信号分析 对收集到的有关系统、网络、数据及用户活动的状态和 行为等信息,是通过模式匹配、统计分析和完整性分析这 三种手段进行分析的。前两种用于实时入侵检测,完整性 分析用于事后分析。
4.3 分布式入侵检测系统
由于传统入侵检测技术的种种不足,加上新型的分布式 入侵和攻击行为的频繁出现,所以一种新型的入侵检测技 术就诞生了,那就是分布式入侵检测系统(DIDS)。它包 括两方面的含义:首先它是针对分布式网络攻击的检测方 法;其次使用分布式方法检测分布式的攻击,其中的关键 技术为检测信息的协同处理与入侵攻击的全局信息提取。
除了以上两类主要数据分析技术外,研究人员还提出了 一些新的分析技术,如免疫系统、基因算法、数据挖掘、 基于代理的检测等。本节详细内容参见书本P126~P129页。
2020/3/31
3
4.1.3 主要入侵检测模型
如果按照检测对象划分,入侵检测技术又可分为“基于 主机的检测”、“基于网络的检测”和“混合型检测”三 大类。
本节详细内容参见书本P132~P134页。
2020/3/31
7
4.2 入侵检测原理和应用
4.2.1 入侵检测原理 从总体来说,入侵检测系统可以分为两个部分:收集系 统和非系统中的信息然后对收集到的数据进行分析,并采 取相应措施。 1. 信息收集 信息收集包括收集系统、网络、数据及用户活动的状态 和行为。入侵检测利用的信息一般来自:系统和网络日志 文件、非正常的目录和文件改变、非正常的程序执行这三 个方面。 2. 信号分析 对收集到的有关系统、网络、数据及用户活动的状态和 行为等信息,是通过模式匹配、统计分析和完整性分析这 三种手段进行分析的。前两种用于实时入侵检测,完整性 分析用于事后分析。
4.3 分布式入侵检测系统
由于传统入侵检测技术的种种不足,加上新型的分布式 入侵和攻击行为的频繁出现,所以一种新型的入侵检测技 术就诞生了,那就是分布式入侵检测系统(DIDS)。它包 括两方面的含义:首先它是针对分布式网络攻击的检测方 法;其次使用分布式方法检测分布式的攻击,其中的关键 技术为检测信息的协同处理与入侵攻击的全局信息提取。
第8章 入侵检测系统(IDS)及应用习题答案
习题答案一、填空题1. 入侵者进入我们的系统主要有三种方式:物理入侵、系统入侵、远程入侵。
2. 入侵检测系统是进行入侵检测的软件与硬件的组合。
3. 入侵检测系统由三个功能部分组成,它们分别是感应器(Sensor)、分析器(Analyzer)和管理器(Manager)。
4. 入侵检测系统根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的入侵检测系统。
5.入侵检测系统根据工作方式分为在线检测系统和离线检测系统。
6. 通用入侵检测模型由主体、客体、审计记录、活动参数、异常记录、活动规则六部分组成。
二、选择题1.IDS产品相关的等级主要有(BCD)等三个等级:A: EAL0 B: EAL1 C: EAL2 D: EAL32. IDS处理过程分为(ABCD )等四个阶段。
A: 数据采集阶段B: 数据处理及过滤阶段C: 入侵分析及检测阶段D: 报告以及响应阶段3. 入侵检测系统的主要功能有(ABCD ):A: 监测并分析系统和用户的活动B: 核查系统配置和漏洞C: 评估系统关键资源和数据文件的完整性。
D: 识别已知和未知的攻击行为4. IDS产品性能指标有(ABCD ):A:每秒数据流量B: 每秒抓包数C: 每秒能监控的网络连接数D:每秒能够处理的事件数5. 入侵检测产品所面临的挑战主要有(ABCD ):A:黑客的入侵手段多样化B:大量的误报和漏报C:恶意信息采用加密的方法传输D:客观的评估与测试信息的缺乏三、判断题1. 有了入侵检测系统以后,我们可以彻底获得网络的安全。
(F )2. 最早关于入侵检测的研究是James Anderson在1980年的一份报告中提出的。
( T )3. 基于网络的入侵检测系统比基于主机的入侵检测系统性能优秀一些。
( F )4. 现在市场上比较多的入侵检测产品是基于网络的入侵检测系统。
( T )四、简答题1. 什么是入侵检测系统?简述入侵检测系统的作用?答:入侵检测系统(Intrusion Detection System,简称IDS)是进行入侵检测的软件与硬件的组合,事实上入侵检测系统就是“计算机和网络为防止网络小偷安装的警报系统”。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
8.1 入侵检测系统概述 8.2 入侵检测系统的组成 8.3 入侵检测的相关技术
8.4 入侵检测系统Snort
8.5 入侵防御系统 8.6 实验:基于snort的入侵检测系统安装和使用
8.7 小结
习题
2019/2/12
3
8.1
入侵检测系统概述
入侵检测系统全称为Intrusion Detection System (IDS),国际计算机安全协会(International Computer Security Association,ICSA)入侵检测系统 论坛将其定义为:通过从计算机网络或计算机系统中的若 干关键点收集信息进行分析,从中发现网络或系统中是否 有违反安全策略的行为和遭到攻击的迹象。 相对于防火墙来说,入侵检测通常被认为是一种动态 的防护手段。与其他安全产品不同的是,入侵检测系统需 要较复杂的技术,它将得到的数据进行分析,并得出有用 的结果。一个合格的入侵检测系统能大大地简化管理员的 工作,使管理员能够更容易地监视、审计网络和计算机系 统,扩展了管理员的安全管理能力,保证网络和计算机系 统的安全运行。
2019/2/12
4
8.1
入侵检测系统概述(续)
防火墙是所有保护网络的方法中最能普遍接受的 方法,能阻挡外部入侵者,但对内部攻击无能为力; 同时,防火墙绝对不是坚不可摧的,即使是某些防火 墙本身也会引起一些安全问题。防火墙不能防止通向 站点的后门,不提供对内部的保护,无法防范数据驱 动型的攻击,不能防止用户由Internet上下载被病毒 感染的计算机程序或将该类程序附在电子邮件上传输。 入侵检测是防火墙的合理补充,它帮助系统对付网 络攻击,扩展了系统管理员的安全管理能力(包括安全 审计、监视、进攻识别和响应),提高了信息安全基础 结构的完整性。
2019/2/12 5
8.1 入侵检测系统概述(续)
相关术语
攻击 •攻击者利用工具,出于某种动机,对目标系统采取的行动, 其后果是获取/破坏/篡改目标系统的数据或访问权限 事件 •在攻击过程中发生的可以识别的行动或行动造成的后果。在 入侵检测系统中,事件常常具有一系列属性和详细的描述信 息可供用户查看。也可以将入侵检测系统需要分析的数据统 称为事件(event)
入侵检测系统根据数据包来源的不同,采用不用的实现 方式,一般地可分为网络型、主机型,也可是这两种类型 的混合应用。 •基于网络的入侵检测系统(NIDS) •基于主机的入侵检测系统(HIDS) •混合型入侵检测系统(Hybrid IDS)
2019/2/12 13
入侵检测的实现方式 1、网络IDS:
网络IDS是网络上的一个监听设备(或一个专用主机), 通过监听网络上的所有报文,根据协议进行分析,并报告 网络中的非法使用者信息。 –安装在被保护的网段(共享网络、交换环境中交换机要 支持端口映射)中 –混杂模式监听 –分析网段中所有的数据包 –实时检测和响应
2019/2/12 10
8.1
入侵检测系统概述(续)
2019/2/12
11
8.1
入侵检测系统概述(续)
入侵检测的发展历程
1980年,概念的诞生
1984~1986年,模型的发展
1990年,形成网络IDS和主机IDS两大阵营
九十年代后至今,百家争鸣、繁荣昌盛
2019/2/12
12
入侵检测的实现方式
8.2 入侵检测系统的组成
CIDF把一个入侵检测系统分为以下组件: 事件产生器:负责原始数据采集,并将收集到的原始数据转 换为事件,向系统的其他部分提供此事件,又称传感器 (sensor)。 事件分析器:接收事件信息,对其进行分析,判断是否为入 侵行为或异常现象,最后将判断结果变为警告信息。 事件数据库:存放各种中间和最终入侵信息的地方,并从事 件产生器和事件分析器接收需要保存的事件,一般会将数 据长时间保存。 事件响应器:是根据入侵检测的结果,对入侵的行为作出适 当的反映,可选的响应措施包括主动响应和被动响应。
2019/2/12 9
入侵检测系统的作用
•监控网络和系统 •发现入侵企图或异常现象 •实时报警 •主动响应 •审计跟踪 形象地说,它就是网络摄像机,能够捕获并记录网络上的 所有数据,同时它也是智能摄像机,能够分析网络数据并提 炼出可疑的、异常的网络数据,它还是X光摄像机,能够穿 透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄像 机,还包括保安员的摄像机。
2019/2/12 24
8.2 入侵检测系统的组成
通用入侵检测框架 (Common Intrusion Detection Framework,CIDF)把一个入侵检测系统分为以下组件:
事件产生器 E 事件分析器 A
D 事件数据库
R 响应单元
图8-2 CIDF的入侵检测通用模型
2019/2/12 25
具体实现上也有所不同。从系统构成上看,入侵检测系统 至少包括数据提取、人侵分析、响应处理三个部分,另外 还可能结合安全知识库、数据存储等功能模块,提供更为 完善的安全检测及数据分析功能。如1987年Denning提出 的通用入侵检测模型主要由六部分构成,IDES与它的后继 版本NIDES都完全基于Denning的模型;另外,在总结现有 的入侵检测系统的基础上提出了一个入侵检测系统的通用 模型如图8-2所示。
2019/2/12 16
8.1
入侵检测系统概述(续)
网络IDS的劣势 (1) 交换环境和高速环境需附加条件 (2) 不能处理加密数据
(3) 资源及处理能力局限
(4) 系统相关的脆弱性
2019/2/12
17
入侵检测的实现方式 2、主机IDS
运行于被检测的主机之上,通过查询、监听当前系统
的各种资源的使用运行状态,发现系统资源被非法使用和 修改的事件,进行上报和处理。 – 安装于被保护的主机中 – 主要分析主机内部活动 – 占用一定的系统资源
2019/2/12 14
8.1
入侵检测系统概述(续)
网 络 数 据
读取网络数据 网络报文数据
协议分析
事件数据库 比较数据
N
Y
上报事件
图8-1 网络IDS工作模型
2019/2/12 15
8.1
入侵检测系统概述(续)
网络IDS优势 (1) 实时分析网络数据,检测网络系统的非法行为; (2) 网络IDS系统单独架设,不占用其它计算机系统的任何资 源; (3) 网络IDS系统是一个独立的网络设备,可以做到对黑客透 明,因此其本身的安全性高; (4) 它既可以用于实时监测系统,也是记录审计系统,可以 做到实时保护,事后取证分析; (5) 通过与防火墙的联动,不但可以对攻击预警,还可以更 有效地阻止非法入侵和破坏。 (6)不会增加网络中主机的负担。
2019/2/12 18
主机IDS优势 (1) 精确地判断攻击行为是否成功。 (2) ຫໍສະໝຸດ 控主机上特定用户活动、系统运行情况
(3) HIDS能够检测到NIDS无法检测的攻击
(4) HIDS适用加密的和交换的环境 (5) 不需要额外的硬件设备
2019/2/12
19
主机IDS的劣势
(1) HIDS对被保护主机的影响
4、混合型入侵检测系统(Hybrid IDS)
在新一代的入侵检测系统中将把现在的基于网络和基
于主机这两种检测技术很好地集成起来,提供集成化的攻
击签名检测报告和事件关联功能。
可以深入地研究入侵事件入侵手段本身及被入侵目标 的漏洞等。
2019/2/12
22
入侵检测系统的功能(小结)
1、监视并分析用户和系统的活动,查找非法用户和合法用户的越 权操作; 2、检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;
第八章 入侵检测系统
内容提要
入侵检测技术用来发现攻击行为,进而采取正确的响应措施, 是安全防御的重要环节。通过本章学习使学生能够掌握入侵检测 系统的基本原理,在了解Snort工作原理的基础上,掌握其安装和
使用方法,了解入侵防御技术的特点及其和入侵检测的区别。
2019/2/12
2
第八章 入侵检测系统
27
8.2 入侵检测系统的组成(续)
IDS的基本结构
引擎的主要功能 为:原始数据读取、 数据分析、产生事件、 策略匹配、事件处理、 通信等功能
2019/2/12
图8-3 引擎的工作流程
28
8.2 入侵检测系统的组成(续)
IDS的基本结构
控制中心的主要功能为:通信、事件读取、事件显示、策 略定制、日志分析、系统帮助等。
2019/2/12 6
8.1
入侵
入侵检测系统概述(续)
•对信息系统的非授权访问及(或)未经许可在信息系统 中进行操作
入侵检测
•对企图入侵、正在进行的入侵或已经发生的入侵进行识 别的过程 入侵检测系统(IDS) •用于辅助进行入侵检测或者独立进行入侵检测的自动化 工具
2019/2/12 7
8.1
入侵检测系统概述(续)
3、对用户的非正常活动进行统计分析,发现入侵行为的规律;
4、检查系统程序和数据一致性与正确性,如计算和比较文件系统 的校验;
5、能够实时对检测到的入侵行为作出反应;
6、操作系统的审计跟踪管理。
2019/2/12
23
8.2 入侵检测系统的组成
根据不同的网络环境和系统的应用,入侵检测系统在
2019/2/12
8
8.1
入侵检测系统概述(续)
入侵检测系统(IDS )由入侵检测的软件与硬件组合而 成,被认为是防火墙之后的第二道安全闸门,在不影响网络 性能的情况下能对网络进行监测,提供对内部攻击、外部攻 击和误操作的实时保护。这些都通过它执行以下任务来实现: 1)监视、分析用户及系统活动。 2)系统构造和弱点的审计。 3)识别反映已知进攻的活动模式并向相关人士报警。 4)异常行为模式的统计分析。 5)评估重要系统和数据文件的完整性。 6)操作系统的审计跟踪管理,并识别用户违反安全策 略的行为。
8.4 入侵检测系统Snort
8.5 入侵防御系统 8.6 实验:基于snort的入侵检测系统安装和使用
8.7 小结
习题
2019/2/12
3
8.1
入侵检测系统概述
入侵检测系统全称为Intrusion Detection System (IDS),国际计算机安全协会(International Computer Security Association,ICSA)入侵检测系统 论坛将其定义为:通过从计算机网络或计算机系统中的若 干关键点收集信息进行分析,从中发现网络或系统中是否 有违反安全策略的行为和遭到攻击的迹象。 相对于防火墙来说,入侵检测通常被认为是一种动态 的防护手段。与其他安全产品不同的是,入侵检测系统需 要较复杂的技术,它将得到的数据进行分析,并得出有用 的结果。一个合格的入侵检测系统能大大地简化管理员的 工作,使管理员能够更容易地监视、审计网络和计算机系 统,扩展了管理员的安全管理能力,保证网络和计算机系 统的安全运行。
2019/2/12
4
8.1
入侵检测系统概述(续)
防火墙是所有保护网络的方法中最能普遍接受的 方法,能阻挡外部入侵者,但对内部攻击无能为力; 同时,防火墙绝对不是坚不可摧的,即使是某些防火 墙本身也会引起一些安全问题。防火墙不能防止通向 站点的后门,不提供对内部的保护,无法防范数据驱 动型的攻击,不能防止用户由Internet上下载被病毒 感染的计算机程序或将该类程序附在电子邮件上传输。 入侵检测是防火墙的合理补充,它帮助系统对付网 络攻击,扩展了系统管理员的安全管理能力(包括安全 审计、监视、进攻识别和响应),提高了信息安全基础 结构的完整性。
2019/2/12 5
8.1 入侵检测系统概述(续)
相关术语
攻击 •攻击者利用工具,出于某种动机,对目标系统采取的行动, 其后果是获取/破坏/篡改目标系统的数据或访问权限 事件 •在攻击过程中发生的可以识别的行动或行动造成的后果。在 入侵检测系统中,事件常常具有一系列属性和详细的描述信 息可供用户查看。也可以将入侵检测系统需要分析的数据统 称为事件(event)
入侵检测系统根据数据包来源的不同,采用不用的实现 方式,一般地可分为网络型、主机型,也可是这两种类型 的混合应用。 •基于网络的入侵检测系统(NIDS) •基于主机的入侵检测系统(HIDS) •混合型入侵检测系统(Hybrid IDS)
2019/2/12 13
入侵检测的实现方式 1、网络IDS:
网络IDS是网络上的一个监听设备(或一个专用主机), 通过监听网络上的所有报文,根据协议进行分析,并报告 网络中的非法使用者信息。 –安装在被保护的网段(共享网络、交换环境中交换机要 支持端口映射)中 –混杂模式监听 –分析网段中所有的数据包 –实时检测和响应
2019/2/12 10
8.1
入侵检测系统概述(续)
2019/2/12
11
8.1
入侵检测系统概述(续)
入侵检测的发展历程
1980年,概念的诞生
1984~1986年,模型的发展
1990年,形成网络IDS和主机IDS两大阵营
九十年代后至今,百家争鸣、繁荣昌盛
2019/2/12
12
入侵检测的实现方式
8.2 入侵检测系统的组成
CIDF把一个入侵检测系统分为以下组件: 事件产生器:负责原始数据采集,并将收集到的原始数据转 换为事件,向系统的其他部分提供此事件,又称传感器 (sensor)。 事件分析器:接收事件信息,对其进行分析,判断是否为入 侵行为或异常现象,最后将判断结果变为警告信息。 事件数据库:存放各种中间和最终入侵信息的地方,并从事 件产生器和事件分析器接收需要保存的事件,一般会将数 据长时间保存。 事件响应器:是根据入侵检测的结果,对入侵的行为作出适 当的反映,可选的响应措施包括主动响应和被动响应。
2019/2/12 9
入侵检测系统的作用
•监控网络和系统 •发现入侵企图或异常现象 •实时报警 •主动响应 •审计跟踪 形象地说,它就是网络摄像机,能够捕获并记录网络上的 所有数据,同时它也是智能摄像机,能够分析网络数据并提 炼出可疑的、异常的网络数据,它还是X光摄像机,能够穿 透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄像 机,还包括保安员的摄像机。
2019/2/12 24
8.2 入侵检测系统的组成
通用入侵检测框架 (Common Intrusion Detection Framework,CIDF)把一个入侵检测系统分为以下组件:
事件产生器 E 事件分析器 A
D 事件数据库
R 响应单元
图8-2 CIDF的入侵检测通用模型
2019/2/12 25
具体实现上也有所不同。从系统构成上看,入侵检测系统 至少包括数据提取、人侵分析、响应处理三个部分,另外 还可能结合安全知识库、数据存储等功能模块,提供更为 完善的安全检测及数据分析功能。如1987年Denning提出 的通用入侵检测模型主要由六部分构成,IDES与它的后继 版本NIDES都完全基于Denning的模型;另外,在总结现有 的入侵检测系统的基础上提出了一个入侵检测系统的通用 模型如图8-2所示。
2019/2/12 16
8.1
入侵检测系统概述(续)
网络IDS的劣势 (1) 交换环境和高速环境需附加条件 (2) 不能处理加密数据
(3) 资源及处理能力局限
(4) 系统相关的脆弱性
2019/2/12
17
入侵检测的实现方式 2、主机IDS
运行于被检测的主机之上,通过查询、监听当前系统
的各种资源的使用运行状态,发现系统资源被非法使用和 修改的事件,进行上报和处理。 – 安装于被保护的主机中 – 主要分析主机内部活动 – 占用一定的系统资源
2019/2/12 14
8.1
入侵检测系统概述(续)
网 络 数 据
读取网络数据 网络报文数据
协议分析
事件数据库 比较数据
N
Y
上报事件
图8-1 网络IDS工作模型
2019/2/12 15
8.1
入侵检测系统概述(续)
网络IDS优势 (1) 实时分析网络数据,检测网络系统的非法行为; (2) 网络IDS系统单独架设,不占用其它计算机系统的任何资 源; (3) 网络IDS系统是一个独立的网络设备,可以做到对黑客透 明,因此其本身的安全性高; (4) 它既可以用于实时监测系统,也是记录审计系统,可以 做到实时保护,事后取证分析; (5) 通过与防火墙的联动,不但可以对攻击预警,还可以更 有效地阻止非法入侵和破坏。 (6)不会增加网络中主机的负担。
2019/2/12 18
主机IDS优势 (1) 精确地判断攻击行为是否成功。 (2) ຫໍສະໝຸດ 控主机上特定用户活动、系统运行情况
(3) HIDS能够检测到NIDS无法检测的攻击
(4) HIDS适用加密的和交换的环境 (5) 不需要额外的硬件设备
2019/2/12
19
主机IDS的劣势
(1) HIDS对被保护主机的影响
4、混合型入侵检测系统(Hybrid IDS)
在新一代的入侵检测系统中将把现在的基于网络和基
于主机这两种检测技术很好地集成起来,提供集成化的攻
击签名检测报告和事件关联功能。
可以深入地研究入侵事件入侵手段本身及被入侵目标 的漏洞等。
2019/2/12
22
入侵检测系统的功能(小结)
1、监视并分析用户和系统的活动,查找非法用户和合法用户的越 权操作; 2、检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;
第八章 入侵检测系统
内容提要
入侵检测技术用来发现攻击行为,进而采取正确的响应措施, 是安全防御的重要环节。通过本章学习使学生能够掌握入侵检测 系统的基本原理,在了解Snort工作原理的基础上,掌握其安装和
使用方法,了解入侵防御技术的特点及其和入侵检测的区别。
2019/2/12
2
第八章 入侵检测系统
27
8.2 入侵检测系统的组成(续)
IDS的基本结构
引擎的主要功能 为:原始数据读取、 数据分析、产生事件、 策略匹配、事件处理、 通信等功能
2019/2/12
图8-3 引擎的工作流程
28
8.2 入侵检测系统的组成(续)
IDS的基本结构
控制中心的主要功能为:通信、事件读取、事件显示、策 略定制、日志分析、系统帮助等。
2019/2/12 6
8.1
入侵
入侵检测系统概述(续)
•对信息系统的非授权访问及(或)未经许可在信息系统 中进行操作
入侵检测
•对企图入侵、正在进行的入侵或已经发生的入侵进行识 别的过程 入侵检测系统(IDS) •用于辅助进行入侵检测或者独立进行入侵检测的自动化 工具
2019/2/12 7
8.1
入侵检测系统概述(续)
3、对用户的非正常活动进行统计分析,发现入侵行为的规律;
4、检查系统程序和数据一致性与正确性,如计算和比较文件系统 的校验;
5、能够实时对检测到的入侵行为作出反应;
6、操作系统的审计跟踪管理。
2019/2/12
23
8.2 入侵检测系统的组成
根据不同的网络环境和系统的应用,入侵检测系统在
2019/2/12
8
8.1
入侵检测系统概述(续)
入侵检测系统(IDS )由入侵检测的软件与硬件组合而 成,被认为是防火墙之后的第二道安全闸门,在不影响网络 性能的情况下能对网络进行监测,提供对内部攻击、外部攻 击和误操作的实时保护。这些都通过它执行以下任务来实现: 1)监视、分析用户及系统活动。 2)系统构造和弱点的审计。 3)识别反映已知进攻的活动模式并向相关人士报警。 4)异常行为模式的统计分析。 5)评估重要系统和数据文件的完整性。 6)操作系统的审计跟踪管理,并识别用户违反安全策 略的行为。