入侵检测系统(IDS)精品PPT课件

入侵检测
传统防火墙的主要缺陷之一在于对内联网络的防范措施不力。这是因 为一般的防火墙的目的就是为了保护用户网络，所以它们都假定内联网络 是安全的外联网络是不安全的。但研究表明，50%以上的攻击行为是从内 部发起的。
入侵检测技术是人们对网络探测与攻击技术层出不穷的的反应，其目 的是通过对系统负载的深入分析，发现和处理更加隐蔽的网络探测与攻击 行为，为系统提供更强大、更可靠的安全策略和解决方案，弥补防火墙的 不足。
28
IDS 模式匹配举例
模式匹配举例：
较早版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell！ 模式匹配 检查每个packet是否包含：
“WIZ” | “DEBUG”
29
6.5
入侵检测的历史
32
6.6.1 按照检测数据的来源划分 （1）
1 基于主机的入侵检测
基于主机的入侵检测系统(HIDS)检查 判断的依据是系统内的各种数据以及 相关记录。具体来说，可以分成以下 几种：
系统审计记录 系统日志 应用程序日志 其它数据源 比如文件系统信息
33
1 基于主机的入侵检测
基于主机的IDS的优点
26
6.4 入侵检测的主要作用
识别并阻断系统活动中存在的已知攻击行为，防止入侵行为对受保护 系统造成损害。
识别并阻断系统用户的违法操作行为或者越权操作行为，防止用户对 受保护系统有意或者无意的破坏。
检查受保护系统的重要组成部分以及各种数据文件的完整性。
审计并弥补系统中存在的弱点和漏洞，其中最重要的一点是审计并纠 正错误的系统配置信息。
7
6.1.1
拒绝服务（3）
3 报文超载

入侵检测框架包括通用入侵检测框架CIDF和入侵 检测交换格式IDDEF。 2．入侵检测交换格式IDEF
入侵检测工作组IDWG定义和设计了入侵检测的数 据模型，用于描述在不同组件之间所交换的各种警报 信息、控制命令和配置信息等通信数据。
.
6.3 入侵检测系统的部署
6.3.1 定义IDS的目标 不同的组网应用可能使用不同的规则配置，所以
.
6.2.1 其于主机系统结构 基于主机的入侵检测系统(HIDS)通常从主机的审计记
录和日志文件中获得所需要的主要数据，并辅助以主机上 的其他信息。
.
6.2.2 基于网络系统的结构
基于网络的入侵 检测系统(NIDS)， 如图所示，它在共享 式网络上对通信数据 进行侦听并采集数据 ，分析可疑现象。与 主机系统相比，这类 系统对入侵者而言是 透明的。
用户在配置人侵检测系统前应先明确自己的目标，建 议从如下几个方面进行考虑 。
1.明确网络拓扑需求 2.安全策略需求 3.1DS的管理需求
.
6.3.1 定义IDS的目标
1.明确网络拓扑需求。 分析网络拓扑结构，需要监控什么样的网络，是交换
式的网络还是共享式网络;是否需要同时监控多个网络， 多个子网是交换机连接还是通过路由器/网关连接;选择网 络入口点，需要监控网络中的哪些数据流，IP流还是 TCP/UDP流，还是应用层的各种数据包;分析关键网络组件 、网络大小和复杂度。
.
6.3.1 定义IDS的目标 2.安全策略需求。
是否限制Telnet，SSH，HTTP，HTTPS等服务管理访问 ；Telnet登录是否需要登录密码；安全的Shell(SSH)的 认证机制是否需要加强；是否允许从非管理口(如以太网 口，而不是Console端口)进行设备管理。

基于主机的IDS（HIDS）
❖ HIDS是配置在被保护的主机上的，用来检测针对主机 的入侵和攻击
❖ 主要分析的数据包括主机的网络连接状态、审计日志、系 统日志。
❖ 实现原理
配置审计信息 系统对审计数据进行分析(日志文件)
第二十八页，共四十三页。
NIDS和HIDS比较
第二十九页，共四十三页。
入侵检测的分类 (混合IDS)
第四页，共四十三页。
为什么需要IDS？
❖ 关于防火墙
网络边界的设备，只能抵挡外部來的入侵行为 自身存在弱点，也可能被攻破
对某些攻击保护很弱
即使透过防火墙的保护，合法的使用者仍会非法地使用系统， 甚至提升自己的权限
仅能拒绝非法的连接請求，但是对于入侵者的攻击行为仍一 无所知
第五页，共四十三页。
23
第二十三页，共四十三页。
异常检测模型
❖ 如果系统错误地将异常活动定义为入侵，称为误报
(false positive) ；如果系统未能检测出真正的入侵行为则称
为漏报(false negative)。 ❖ 特点：异常检测系统的效率取决于用户轮廓的完备性和
监控的频率。因为不需要对每种入侵行为进行定义，因 此能有效检测未知的入侵。同时系统能针对用户行为的 改变进行自我调整和优化，但随着检测模型的逐步精确 ，异常检测会消耗更多的系统资源。
❖ 漏报(false negative)：如果系统未能检测出真正的入侵 行为
第二十二页，共四十三页。
入侵检测系统分类（一）
❖ 按照分析方法（检测方法）
异常检测模型（Anomaly Detection ):首先总结正常操作应该
具有的特征（用户轮廓），当用户活动与正常行为有重大偏离 时即被认为是入侵 误用检测模型（Misuse Detection)：收集非正常操作的行为特征， 建立相关的特征库，当监测的用户或系统行为与库中的记录相匹 配时，系统就认为这种行为是入侵

二、入侵检测系统的分类
3. 分布式入侵检测系统（DIDS）
三、入侵检测系统技术原理
检测技术
基于特征（Signature-based）
维护一个入侵特征知识库 准确性高
基于异常（Anomaly-based）
统计模型 专家系统 误报较多
三、入侵检测系统技术原理
1、网络入侵检测
>>detaile
二、入侵检测系统的分类
入侵检测系统(Intrusion Detection System)通过从计算机网络或计算机系 统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策 略的行为和被攻击的迹象。
从技术上看，这些产品基本上分为以下几类： 基于网络的入侵检测系统(NIDS) 基于主机的入侵检测系统(HIDS) 分布式入侵检测系统(DIDS)
1) 检测入侵误报率低 2) 获取入侵信息详细 3) 不受交换环境影响 4) 监测系统内部入侵和违规操作 5) 可以对本机进行防护和阻断
主机入侵检测系统的弱点：
1) 主机入侵检测系统安装在我们需要保护的设备上会带来另外的安全隐患。 2) 会影响保护设备的性能。 3) 安装管理麻烦。 4) 操作系统局限 5) 系统日志限制 6) 被修改过的系统核心能够骗过文件检查
安装在被保护的网段中 混杂模式监听 分析网段中所有的数据包 实时检测和响应 操作系统无关性 不会增加网络中主机的负载
三、入侵检测系统技术原理
1、网络入侵检测系统技术原理
黑客入侵 的过程 和阶段
阶段1:
踩点&扫描
阶段 2:
边界渗透
阶段 3:
攻击&资源控制
Automated Scanning &

6.1 计算机系统面临的威胁 6.2 入侵行为的一般过程 6.3 入侵检测的基本概念 6.4 入侵检测的主要作用 6.5 入侵检测的历史 6.6 入侵检测的分类 6.7 入侵检测技术的不足 6.8 本章小结
3
6.1 计算机系统面临的威胁
6.1.1 拒绝服务 6.1.2 欺骗 6.1.3 监听 6.1.4 密码破解 6.1.5 木马 6.1.6 缓冲区溢出 6.1.7 ICMP秘密通道 6.1.8 TCP会话劫持
4
6.1.1
拒绝服务
1 服务请求超载 2 SYN洪水 3 报文超载
5
6.1.1
拒绝服务（1）
1 服务请求超载
指在短时间内向目标服务器发送 大量的特定服务的请求，使得目标服 务器来不及进行处理，最终造成目标 服务器崩溃 。
6
6.1.1
拒绝服务（2）
2 SYN洪水
这是一种经典的攻击方式。它利用了TCP协议的三次 握手机制，在短时间之内向目标服务器发送大量的半开连 接报文，即只发送初始的SYN/ACK报文而不发送最后的 ACK报文。目标服务器只能为这些恶意的连接保留资源， 希望接收到不可能传来的确认报文。最终在短时间之内耗 尽目标服务器的系统资源，造成真正的连接请求无法得到 响应。
21
6.2.2
实施攻击
当获得了攻击对象的足够多的信息后，攻击 者既可利用相关漏洞的攻击方法渗透进目标 系统内部进行信息的窃取或破坏。一般来说， 这些行为都要经过一个先期获取普通合法用 户权限，进而获取超级用户权限的过程。这 是因为很多信息窃取和破坏操作必须要有超 级用户的权限才能够进行，所以必须加强对 用户权限特别是超级用户权限的管理和监督。
11
6.1.2
欺骗（3）

入侵 行为
时间信息
添加新 的规则
如果正常的用户行为与入侵特征匹配，则系统会发生误报 如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报
异常检测技术
1. 前提：入侵是异常活动的子集
2. 用户轮廓(Profile): 通常定义为各种行为参数及其阀值的集合，用于描述 正常行为范围；检查实际用户行为和系统的运行情况是否偏离预设的门限？
较，得出是否有入侵行为
异常检测（Anomaly Detection） ——基于行为的检测
总结正常操作应该具有的特征，得出正常操作的模型 对后续的操作进行监视，一旦发现偏离正常操作模式，即进
行报警
误用检测技术
1. 前提：所有的入侵行为都有可被检测到的特征
2. 攻击特征库: 当监测的用户或系统行为与库中的记录相匹 配时，系统就认为这种行为是入侵
中止连接
Internet
商务伙伴
外外部部攻攻击击
类程序附在电子邮件上传输
入侵检测系统的作用
摄像机=IDS探测引擎
监控室=控制中心
后门 Card Key
保安=防火墙
形象地说，IDS就是一台智能的X光摄像机，它能够捕获并记录网络上的所有数据， 分析并提炼出可疑的、异常的内容，尤其是它能够洞察一些巧妙的伪装，抓住内 容的实质。此外，它还能够对入侵行为自动地进行响应：报警、阻断连接、关闭 道路（与防火墙联动）
通过提交上千次相同命令，来实施对POP3服务器的拒绝 服务攻击.
入侵检测系统发现该行为发生次数超过预定义阈值，认 为是异常事件。
实例二：暴力破解FTP账号密码
黑客得知FTP Server存在用户名admin 使用字典程序对admin用户暴力猜密码 入侵检测系统会发现在很短的时间内会出现大量如下数

入侵检测存在的必然性
关于防火墙 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 入侵很容易 入侵教程随处可见 各种工具唾手可得 网络攻击事件成倍增长
网络安全工具的特点
名称
优点
防火墙 可简化网络管理，产品成熟
IDS 实时监控网络安全状态
局限性
无法处理网络内部的攻击
NIDS的检测技术
异常检测 异常检测首先给系统对象（用户、文件、目录和设备等）创建一个统计 描述，包括统计正常使用时的测量属性，如访问次数、操作失败次数和 延时等。测量属性的平均值被用来与网络、系统的行为进行比较，当观 察值在正常值范围之外时，IDS就会判断有入侵发生。 优点：可以检测到未知入侵和复杂的入侵。 缺点：误报、漏报率高。
第二部分 组件简介
NIDS产品组件的组成
控制台（Console） EventCollector（事件收集器） LogServer Sensor（传感器） Report（报表查询工具） DB（数据库）
NIDS产品组件的组成
Network Defenders
Enterprise Database
NIDS在网络上被动的、无声的收集它所关心的报文。 对收集来的报文，入侵检测系统提取相应的流量统计特征值，并利 用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。 根据预设的阀值，匹配耦合度较高的报文流量将被认为是攻击或者 网络的滥用和误用行为，入侵检测系统将根据相应的配置进行报警或进 行有限度的反击。
NIDS的检测技术
协议分析 协议分析是在传统模式匹配技术基础之上发展起来的一种新的入侵检测 技术。它充分利用了网络协议的高度有序性，并结合了高速数据包捕捉、 协议分析和命令解析，来快速检测某个攻击特征是否存在，这种技术正 逐渐进入成熟应用阶段。 优点：协议分析大大减少了计算量，即使在高负载的高速网络上，也能 逐个分析所有的数据包。