信息安全技术第六章-入侵检测技术
合集下载
入侵检测ppt课件
入侵检测
传统防火墙的主要缺陷之一在于对内联网络的防范措施不力。这是因 为一般的防火墙的目的就是为了保护用户网络,所以它们都假定内联网络 是安全的外联网络是不安全的。但研究表明,50%以上的攻击行为是从内 部发起的。
入侵检测技术是人们对网络探测与攻击技术层出不穷的的反应,其目 的是通过对系统负载的深入分析,发现和处理更加隐蔽的网络探测与攻击 行为,为系统提供更强大、更可靠的安全策略和解决方案,弥补防火墙的 不足。
28
IDS 模式匹配举例
模式匹配举例:
较早版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell! 模式匹配 检查每个packet是否包含:
“WIZ” | “DEBUG”
29
6.5
入侵检测的历史
32
6.6.1 按照检测数据的来源划分 (1)
1 基于主机的入侵检测
基于主机的入侵检测系统(HIDS)检查 判断的依据是系统内的各种数据以及 相关记录。具体来说,可以分成以下 几种:
系统审计记录 系统日志 应用程序日志 其它数据源 比如文件系统信息
33
1 基于主机的入侵检测
基于主机的IDS的优点
26
6.4 入侵检测的主要作用
识别并阻断系统活动中存在的已知攻击行为,防止入侵行为对受保护 系统造成损害。
识别并阻断系统用户的违法操作行为或者越权操作行为,防止用户对 受保护系统有意或者无意的破坏。
检查受保护系统的重要组成部分以及各种数据文件的完整性。
审计并弥补系统中存在的弱点和漏洞,其中最重要的一点是审计并纠 正错误的系统配置信息。
7
6.1.1
拒绝服务(3)
3 报文超载
传统防火墙的主要缺陷之一在于对内联网络的防范措施不力。这是因 为一般的防火墙的目的就是为了保护用户网络,所以它们都假定内联网络 是安全的外联网络是不安全的。但研究表明,50%以上的攻击行为是从内 部发起的。
入侵检测技术是人们对网络探测与攻击技术层出不穷的的反应,其目 的是通过对系统负载的深入分析,发现和处理更加隐蔽的网络探测与攻击 行为,为系统提供更强大、更可靠的安全策略和解决方案,弥补防火墙的 不足。
28
IDS 模式匹配举例
模式匹配举例:
较早版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell! 模式匹配 检查每个packet是否包含:
“WIZ” | “DEBUG”
29
6.5
入侵检测的历史
32
6.6.1 按照检测数据的来源划分 (1)
1 基于主机的入侵检测
基于主机的入侵检测系统(HIDS)检查 判断的依据是系统内的各种数据以及 相关记录。具体来说,可以分成以下 几种:
系统审计记录 系统日志 应用程序日志 其它数据源 比如文件系统信息
33
1 基于主机的入侵检测
基于主机的IDS的优点
26
6.4 入侵检测的主要作用
识别并阻断系统活动中存在的已知攻击行为,防止入侵行为对受保护 系统造成损害。
识别并阻断系统用户的违法操作行为或者越权操作行为,防止用户对 受保护系统有意或者无意的破坏。
检查受保护系统的重要组成部分以及各种数据文件的完整性。
审计并弥补系统中存在的弱点和漏洞,其中最重要的一点是审计并纠 正错误的系统配置信息。
7
6.1.1
拒绝服务(3)
3 报文超载
《入侵检测技术 》课件
总结词
能够应对复杂多变的网络威胁。
详细描述
基于统计、数据挖掘、机器学习等技术的入侵检测方法, 能够从大量数据中提取有用的信息,并自动学习攻击手段 的变化,从而更有效地应对复杂的网络威胁。
总结词
对资源要求较高。
详细描述
由于这些方法需要处理大量的网络流量数据,因此对系统 资源的要求较高,需要高性能的硬件和软件支持。
《入侵检测技术》 PPT课件
• 入侵检测技术概述 • 入侵检测技术分类 • 入侵检测技术原理 • 入侵检测技术应用场景 • 入侵检测技术面临的挑战与解决
方案 • 未来入侵检测技术的发展趋势
目录
01
入侵检测技术概述
定义与目的
定义
入侵检测技术是一种用于检测、识别 和应对网络或系统上未经授权的访问 或异常行为的手段。
性能有一定影响。
混合型入侵检测技术
混合型入侵检测技术是指结合 基于主机和基于网络的入侵检 测技术的一种技术。
它通过综合分析主机系统和网 络流量数据,提高对攻击行为 的检测和识别的准确性。
混合型入侵检测技术可以提供 更全面的安全防护,但需要同 时考虑主机和网络的部署和管 理。
其他分类方法
基于时间的入侵检测技术
主机入侵检测技术可以提供更精确的攻击识别和更深入的攻击分析,但需要安装在 被保护的主机上,且对主机的性能有一定影响。
基于网络的入侵检测技术
网络入侵检测技术是指基于网络 流量数据来检测和识别恶意行为
的一种技术。
它通过分析网络流量数据,检测 和识别异常的网络行为,如未经 授权的访问、恶意代码传播等。
网络入侵检测技术可以提供实时 的攻击检测和预警,但需要部署 在网络的关键节点上,且对网络
通过检测和应对安全威胁,入侵检测 技术有助于提高网络和系统的安全性 ,保护组织的机密信息和资产。
能够应对复杂多变的网络威胁。
详细描述
基于统计、数据挖掘、机器学习等技术的入侵检测方法, 能够从大量数据中提取有用的信息,并自动学习攻击手段 的变化,从而更有效地应对复杂的网络威胁。
总结词
对资源要求较高。
详细描述
由于这些方法需要处理大量的网络流量数据,因此对系统 资源的要求较高,需要高性能的硬件和软件支持。
《入侵检测技术》 PPT课件
• 入侵检测技术概述 • 入侵检测技术分类 • 入侵检测技术原理 • 入侵检测技术应用场景 • 入侵检测技术面临的挑战与解决
方案 • 未来入侵检测技术的发展趋势
目录
01
入侵检测技术概述
定义与目的
定义
入侵检测技术是一种用于检测、识别 和应对网络或系统上未经授权的访问 或异常行为的手段。
性能有一定影响。
混合型入侵检测技术
混合型入侵检测技术是指结合 基于主机和基于网络的入侵检 测技术的一种技术。
它通过综合分析主机系统和网 络流量数据,提高对攻击行为 的检测和识别的准确性。
混合型入侵检测技术可以提供 更全面的安全防护,但需要同 时考虑主机和网络的部署和管 理。
其他分类方法
基于时间的入侵检测技术
主机入侵检测技术可以提供更精确的攻击识别和更深入的攻击分析,但需要安装在 被保护的主机上,且对主机的性能有一定影响。
基于网络的入侵检测技术
网络入侵检测技术是指基于网络 流量数据来检测和识别恶意行为
的一种技术。
它通过分析网络流量数据,检测 和识别异常的网络行为,如未经 授权的访问、恶意代码传播等。
网络入侵检测技术可以提供实时 的攻击检测和预警,但需要部署 在网络的关键节点上,且对网络
通过检测和应对安全威胁,入侵检测 技术有助于提高网络和系统的安全性 ,保护组织的机密信息和资产。
入侵检测技术
入侵检测技术入侵检测技术一、入侵检测的概念入侵检测( Intrusion Detection),顾名恩义,就是对入侵行为的发觉,是一种通过观察行为、安全日志或审计数据来检测入侵的技术。
它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
这里说的“入侵”( Intrusion)是一个广义的概念,不仅包括发起攻击的人(如恶意的黑客、有意逃避监控的合法用户等)取得超出合法范围的系统控制杈,也包括收集系统安全漏洞信息,造成拒绝访问(Denial of Service)等对计算机系统造成危害的一切行为。
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
入侵检测的内容包括:试图闯入、成功闯人、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。
入侵检测系统通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象并且对其作出反应。
有些反应是自动的,它包括通知网络安全管理员(通过控制台、电子邮件),中止入侵者的入侵进程、关闭计算机系统、断开与互联网的连接,使该用户访问无效,或者执行一个准备好的阻止、防范或反击命令等。
二、入侵检测的功能人侵检测技术是动态安全技术的最核心技术之一。
传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的反应。
入侵检测技术通过对入侵行为的过程与特征的研究,使安全系统对入侵事件和入侵过程能作出实时响应。
系统安装的网络防火墙能够在内、外网之间提供安全的网络保护,降低了网络安全的风险。
但仅仅使用防火墙的网络安全是远远不够的,因为人侵者可以寻找防火墙的漏洞,绕到防火墙的背后从可能敞开的后门侵入。
也可能人侵者根本就是网内用户,他的入侵行为是在防火墙内进行的。
第6章 入侵检测系统
b.有些攻击在网络的数据流中很难发现,或者根本没有
通过网络在本地进行。这时基于网络的IDS系统将无能为力。
11
c.适应交换和加密。基于主机的IDS系统可以较为灵活 地配置在多个关键主机上,不必考虑交换和网络拓扑问题。 这对关键主机零散地分布在多个网段上的环境特别有利。某 些类型的加密也是对基于网络的入侵检测的挑战。依靠加密 方法在协议堆栈中的位置,它可能使基于网络的系统不能判 断确切的攻击。基于主机的IDS没有这种限制。
第6章 入侵检测系统
本章概要
本章针对入侵检测系统展开详尽的描述: 入侵检测系统的概念; 入侵检测系统的主要技术; 入侵检测系统的类型;
入侵检测系统的优缺点;
入侵检测系统的部署方式。
2
课程目标
通过本章的学习,读者应能够: 了解入侵检测系统工作基本原理; 了解入侵检测系统在整个安全防护体系中的作用; 掌握入侵检测系统的部署方式。
16
e.检测不成功的攻击和恶意企图。基于网络的IDS可以 检测到不成功的攻击企图,而基于主机的系统则可能会遗漏 一些重要信息。 f.基于网络的IDS不依赖于被保护主机的操作系统。 3.缺点 a.对加密通信无能为力。 b.对高速网络无能为力。 c.不能预测命令的执行后果。
17
6.3.4 集成入侵检测(Integrated Intrusion Detection)
不能够在没有用户参与的情况下对攻击行为展开调查; 不能够在没有用户参与的情况下阻止攻击行为的发生;
不能克服网络协议方面的缺陷;
不能克服设计原理方面的缺陷; 响应不够及时,签名数据库更新得不够快。经常是事后才 检测到,适时性不好。
21
6.5 带入侵检测功能的网络体系结构
网络安全 第六章 IDS技术(一)
随着入侵检测技术的发展,到目前为止出 现了很多入侵检测系统,不同的入侵检测 系统具有不同的特征。根据不同的分类标 准,入侵检测系统可分为不同的类别。对 于入侵检测系统,要考虑的因素(分类依 据)主要的有:信息源,入侵,事件生成, 事件处理,检测方法等。
2、根据原始数据的来源
基于主机的入侵检测系统
监控粒度更细、配置灵活、可用于加密的以及交换的环境
1、异常检测技术-概念
2、异常检测技术的优势
入侵检测技术分为滥用检测和异常检测两 种。滥用检测技术的局限性: 不能检测未知攻击和新的攻击,特征库需要不 断升级更新 检测系统知识库中的入侵攻击知识与系统的运 行环境有关 对于系统内部攻击者的越权行为,由于他们没 有利用系统的缺陷,因而很难检测出来
合法用户正常行为的突然改变也会造成误警
统计算法的计算量庞大,效率很低 统计点的选取和参考库的建立比较困难
3、误用检测(1)
检测已知攻击
匹配
建立已出现的入侵行为特征
当前用户行为特征
举例
Land攻击
源地址=目标地址?
3、误用检测(2)优点
算法简单 系统开销小
准确率高
效率高
3 误报较多 维护一个入侵特征知识库(CVE) 准确性高
误用检测(Misuse Detection)
完整性分析
2、异常检测(1)
基本原理
正常行为的特征轮廓 检查系统的运行情况 是否偏离预设的门限?
举例
多次错误登录、午夜登录
2、异常检测(2)实现技术和研
究重点
实现技术
2、漏洞
入侵要利用漏洞,漏洞是指系统硬件、操 作系统、软件、网络协议等在设计上、实 现上出现的可以被攻击者利用的错误、缺 陷和疏漏。
2、根据原始数据的来源
基于主机的入侵检测系统
监控粒度更细、配置灵活、可用于加密的以及交换的环境
1、异常检测技术-概念
2、异常检测技术的优势
入侵检测技术分为滥用检测和异常检测两 种。滥用检测技术的局限性: 不能检测未知攻击和新的攻击,特征库需要不 断升级更新 检测系统知识库中的入侵攻击知识与系统的运 行环境有关 对于系统内部攻击者的越权行为,由于他们没 有利用系统的缺陷,因而很难检测出来
合法用户正常行为的突然改变也会造成误警
统计算法的计算量庞大,效率很低 统计点的选取和参考库的建立比较困难
3、误用检测(1)
检测已知攻击
匹配
建立已出现的入侵行为特征
当前用户行为特征
举例
Land攻击
源地址=目标地址?
3、误用检测(2)优点
算法简单 系统开销小
准确率高
效率高
3 误报较多 维护一个入侵特征知识库(CVE) 准确性高
误用检测(Misuse Detection)
完整性分析
2、异常检测(1)
基本原理
正常行为的特征轮廓 检查系统的运行情况 是否偏离预设的门限?
举例
多次错误登录、午夜登录
2、异常检测(2)实现技术和研
究重点
实现技术
2、漏洞
入侵要利用漏洞,漏洞是指系统硬件、操 作系统、软件、网络协议等在设计上、实 现上出现的可以被攻击者利用的错误、缺 陷和疏漏。
入侵检测技术
入侵检测技术入侵检测技术是信息安全领域中一项重要的技术,用于监测和防止未经授权的第三方对计算机系统、网络或应用程序的非法访问或攻击。
随着信息技术的发展和网络的普及,入侵检测技术的重要性日益凸显,它可以帮助企业和个人及时发现并应对潜在的安全风险。
入侵检测技术一般可分为两种类型:基于特征的入侵检测和基于行为的入侵检测。
基于特征的入侵检测通过事先确定的特征值或规则来判断是否存在入侵行为。
这种方法需要建立一个特征数据库,并从传感器或网络流量中提取特征,然后与数据库中存储的特征进行匹配。
如果匹配成功,则认为存在入侵行为。
特征值可以包括某个程序的特定代码段、网络流量的特定模式等。
基于行为的入侵检测技术则通过分析计算机或网络系统的正常行为模式,来判断是否存在异常行为。
这种方法通常需要先建立一个正常行为模型,并通过统计学方法或机器学习算法来分析新数据是否与模型一致。
如果发现异常行为,则可能存在入侵行为。
为了有效地进行入侵检测,研究人员和安全专家们提出了各种不同的方法和技术。
其中之一是基于网络流量分析的入侵检测技术。
这种方法通过监测网络中的数据流量,分析其中的异常行为来检测入侵。
例如,当网络中某个主机发送异常数量的请求或大量的无效请求时,很可能存在入侵行为,系统可以及时给予响应并阻止该行为。
另一种常见的入侵检测技术是基于主机日志的入侵检测。
这种方法通过监测主机日志中的异常行为,来判断是否存在入侵行为。
例如,当某个主机的登录次数异常增多、文件的访问权限异常变更等,都可能是入侵行为的迹象。
通过对主机日志进行实时监测和分析,可以及时发现并应对潜在的入侵。
除了上述的方法,还有很多其他的入侵检测技术,如基于模式识别的入侵检测、基于数据挖掘的入侵检测等。
不同的技术和方法适用于不同的场景和情况,需要根据实际需求和情况进行选择和应用。
虽然入侵检测技术可以有效地帮助企业和个人发现和应对安全风险,但它也面临着一些挑战和限制。
首先,随着网络技术的不断发展和攻击手法的不断更新,入侵检测技术需要不断更新和升级,以适应新形势下的安全需求。
第6章-入侵检测和入侵防御系统PPT课件
• 入侵检测系统是继防火墙之后,保护网络安全的第 二道防线,它可以在网络受到攻击时,发出警报或 者采取一定的干预措施,以保证网络的安全。
2021
3
6.1入侵检测系统
• 我们可以通过入侵检测系统(IDS)和监控时间日志两种 方法就可以及时得到有关的网络安全事件。
2021
4
入侵检测系统
• 入侵检测系统(IDS)是一种用来确定不需要的网 络活动,并向有关人员发警报以便及时采取措 施的检测系统。
第6章 入侵检测和入侵防御系统
2021
1
目录
1 入侵检测系统 2 主动响应与IPS 3 入侵防御讨论
2021
2
6.1入侵检测系统
• 传统上,企业网络一般采用趋复杂多样, 单纯的防火墙策略已经无法满足对网络安全的进一 步需要,网络的防卫必须采用一种纵深的、多样化 的手段。
全,任何响应系统必须与该网关通过本地接口连接, 要么通过远程接口连接,以便能够影响路由决策(可 以使用SnortSam软件实现),或者流量直接经过主 动响应系统本身(可以使用Fwsnort或snort_inline 软件实现)。
➢ SnortSam、Fwsnort和snort_inline软件如何 保护网络不受攻击,在本节内有详细的介绍。
➢ 虽然Snort的功能非常强大,但其代码非常简洁,可 移植性非常好。迄今为止数百万的下载量使得Snort 成为使用最为广泛的入侵保护和检测系统,并且成 为了事实上的行业标准。
2021
9
Linux系统上Snort配置
& Snort最主要的功能是对入侵进行检测,其工作方式 是对抓取的数据包进行分析后,与特定的规则模式进 行匹配,如果能匹配,则认为发生了入侵事件。
2021
3
6.1入侵检测系统
• 我们可以通过入侵检测系统(IDS)和监控时间日志两种 方法就可以及时得到有关的网络安全事件。
2021
4
入侵检测系统
• 入侵检测系统(IDS)是一种用来确定不需要的网 络活动,并向有关人员发警报以便及时采取措 施的检测系统。
第6章 入侵检测和入侵防御系统
2021
1
目录
1 入侵检测系统 2 主动响应与IPS 3 入侵防御讨论
2021
2
6.1入侵检测系统
• 传统上,企业网络一般采用趋复杂多样, 单纯的防火墙策略已经无法满足对网络安全的进一 步需要,网络的防卫必须采用一种纵深的、多样化 的手段。
全,任何响应系统必须与该网关通过本地接口连接, 要么通过远程接口连接,以便能够影响路由决策(可 以使用SnortSam软件实现),或者流量直接经过主 动响应系统本身(可以使用Fwsnort或snort_inline 软件实现)。
➢ SnortSam、Fwsnort和snort_inline软件如何 保护网络不受攻击,在本节内有详细的介绍。
➢ 虽然Snort的功能非常强大,但其代码非常简洁,可 移植性非常好。迄今为止数百万的下载量使得Snort 成为使用最为广泛的入侵保护和检测系统,并且成 为了事实上的行业标准。
2021
9
Linux系统上Snort配置
& Snort最主要的功能是对入侵进行检测,其工作方式 是对抓取的数据包进行分析后,与特定的规则模式进 行匹配,如果能匹配,则认为发生了入侵事件。
《入侵检测技术》课件
入侵检测技术
汇报人:PPT
目录
添加目录标题
入侵检测技术的概 述
入侵检测技术的基 本原理
入侵检测技术的应 用场景
入侵检测技术的挑 战与解决方案
实际案例分析
添加章节标题
入侵测技术的概 述
入侵检测技术是 一种网络安全技 术,用于检测和 阻止网络攻击和 恶意行为。
入侵检测技术包 括基于签名的检 测和基于异常的 检测。
实际案例分析
案例背景:某企业网络遭受攻击 检测方法:使用入侵检测系统进行实时监控 分析过程:发现异常流量,分析攻击类型,定位攻击源 结果:成功阻止攻击,保护企业网络安全
案例背景:某企业遭受网络攻击, 导致数据泄露
防御措施:加强网络安全防护,提 高员工安全意识
添加标题
添加标题
添加标题
添加标题
攻击方式:黑客利用漏洞进行攻击
入侵检测技术是一种网络安全技术,用于检测和阻止网络攻击和恶意行为。
入侵检测系统(IDS)通过分析网络流量、系统日志和文件等数据,识别异常行为和潜在威胁。
IDS可以分为基于签名的IDS和基于异常的IDS。基于签名的IDS通过比较网络流量与已知攻击特征库,识别已知攻击。基于 异常的IDS通过分析网络流量和系统日志等数据,识别异常行为和潜在威胁。
入侵检测技术的基 本原理
传感器:用于 收集网络流量、 系统日志等信
息
检测引擎:对 收集到的信息 进行分析,判 断是否存在入
侵行为
响应模块:根 据检测结果, 采取相应的响 应措施,如报 警、阻断攻击
等
管理界面:用 于设置系统参 数、查看检测 结果、管理响
应策略等
基于特征的检测方法:通过分析网络流量、系统日志等数据,识别出异常行为 基于异常的检测方法:通过分析网络流量、系统日志等数据,识别出异常行为 基于行为的检测方法:通过分析网络流量、系统日志等数据,识别出异常行为 基于机器学习的检测方法:通过训练模型,识别出异常行为
汇报人:PPT
目录
添加目录标题
入侵检测技术的概 述
入侵检测技术的基 本原理
入侵检测技术的应 用场景
入侵检测技术的挑 战与解决方案
实际案例分析
添加章节标题
入侵测技术的概 述
入侵检测技术是 一种网络安全技 术,用于检测和 阻止网络攻击和 恶意行为。
入侵检测技术包 括基于签名的检 测和基于异常的 检测。
实际案例分析
案例背景:某企业网络遭受攻击 检测方法:使用入侵检测系统进行实时监控 分析过程:发现异常流量,分析攻击类型,定位攻击源 结果:成功阻止攻击,保护企业网络安全
案例背景:某企业遭受网络攻击, 导致数据泄露
防御措施:加强网络安全防护,提 高员工安全意识
添加标题
添加标题
添加标题
添加标题
攻击方式:黑客利用漏洞进行攻击
入侵检测技术是一种网络安全技术,用于检测和阻止网络攻击和恶意行为。
入侵检测系统(IDS)通过分析网络流量、系统日志和文件等数据,识别异常行为和潜在威胁。
IDS可以分为基于签名的IDS和基于异常的IDS。基于签名的IDS通过比较网络流量与已知攻击特征库,识别已知攻击。基于 异常的IDS通过分析网络流量和系统日志等数据,识别异常行为和潜在威胁。
入侵检测技术的基 本原理
传感器:用于 收集网络流量、 系统日志等信
息
检测引擎:对 收集到的信息 进行分析,判 断是否存在入
侵行为
响应模块:根 据检测结果, 采取相应的响 应措施,如报 警、阻断攻击
等
管理界面:用 于设置系统参 数、查看检测 结果、管理响
应策略等
基于特征的检测方法:通过分析网络流量、系统日志等数据,识别出异常行为 基于异常的检测方法:通过分析网络流量、系统日志等数据,识别出异常行为 基于行为的检测方法:通过分析网络流量、系统日志等数据,识别出异常行为 基于机器学习的检测方法:通过训练模型,识别出异常行为
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
入侵检测的起源(4)
从1984年到1986年,乔治敦大学的Dorothy Denning和 SRI/CSL的Peter Neumann研究出了一个实时入侵检测系 统模型,取名为IDES(入侵检测专家系统)
入侵检测的起源(5)
1990,加州大学戴维斯分校的L. T. Heberlein等
人开发出了NSM(Network Security Monitor) 该系统第一次直接将网络流作为审计数据来源, 因而可以在不将审计数据转换成统一格式的情况 下监控异种主机 入侵检测系统发展史翻开了新的一页,两大阵营 正式形成:基于网络的IDS和基于主机的IDS
信息安全技术
许红星
1. 2. 3.
概述 入侵检测方法 入侵检测系统的设计原理
4.
5.
入侵检测响应机制
入侵检测标准化工作
6.
7.
其它
展望
概述 2. 3. 入侵检测方法 入侵检测系统的设计原理
4.
5.
入侵检测响应机制
入侵检测标准化工作
6.
7.
其它
展望
Intrusion
Intrusion
: Attempting to break into or misuse your system. Intruders may be from outside the network or legitimate users of the network. Intrusion can be a physical, system or remote intrusion.
系统或网络的日志文件
黑客经常在系统日志文件中留下他们的踪迹, 因此,充分利用系统和网络日志文件信息是检 测入侵的必要条件 日志文件中记录了各种行为类型,每种类型又 包含不同的信息,例如记录“用户活动”类型 的日志,就包含登录、用户ID改变、用户对文 件的访问、授权和认证信息等内容 显然,对用户活动来讲,不正常的或不期望的 行为就是重复登录失败、登录到不期望的位置 以及非授权的企图访问重要文件等等
IDS基本结构
入侵检测是监测计算机网络和系统,以发 现违反安全策略事件的过程 简单地说,入侵检测系统包括三个功能 部件: (1)信息收集 (2)信息分析 (3)结果处理
信息收集
入侵检测的第一步是信息收集,收集内容 包括系统、网络、数据及用户活动的状态 和行为。 需要在计算机网络系统中的若干不同关键 点(不同网段和不同主机)收集信息,
activities
Example: if (src_ip == dst_ip) then “land attack” Can’t detect new attacks
入侵检测的分类(2)
按照数据来源:
基于主机:系统获取数据的依据是系统
运行所在的主机,保护的目标也是系统 运行所在的主机 基于网络:系统获取的数据是网络传输 的数据包,保护的是网络的运行 混合型
误用检测
Normal Activity System Audit No Signature Match Metrics Pattern Matcher Signature Match
Intrusion
误用检测模型
误用检测
1. 前提:所有的入侵行为都有可被检测到的特征 2. 攻击特征库: 当监测的用户或系统行为与库中的记录 相匹配时,系统就认为这种行为是入侵 3. 过程 监控 特征提取 匹配 判定
4. 指标
错报低
漏报高
误用检测模型
如果入侵特征与正常的用户行能匹配,则系统 会发生误报;如果没有特征能与某种新的攻击 行为匹配,则系统会发生漏报 特点:采用特征匹配,滥用模式能明显降低错 报率,但漏报率随之增加。攻击特征的细微变 化,会使得滥用检测无能为力
Misuse Detection
pattern matching Intrusion Patterns intrusion
尽可能扩大检测范围 从一个源来的信息有可能看不出疑点
信息收集
入侵检测很大程度上依赖于收集信息的可 靠性和正确性,因此,要保证用来检测网 络系统的软件的完整性,特别是入侵检测 系统软件本身应具有相当强的坚固性,防 止被篡改而收集到错误的信息
信息收集的来源
系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为
异常检测
System Audit
Normal Activity
Below Threshold levels
Metrics Profiler
Exceed Threshold Levels
Intrusion
异常检测模型
异常检测
1. 前提:入侵是异常活动的子集 2. 用户轮廓(Profile): 通常定义为各种行为参数及其 阀值的集合,用于描述正常行为范围 3. 过程 监控 量化 比较 判定
信息分析
模式匹配 统计分析 完整性分析,往往用于事后分析
模式匹配
模式匹配就是将收集到的信息与已知的网络入侵 和系统误用模式数据库进行比较,从而发现违背 安全策略的行为 一般来讲,一种进攻模式可以用一个过程(如执 行一条指令)或一个输出(如获得权限)来表示。 该过程可以很简单(如通过字符串匹配以寻找一 个简单的条目或指令),也可以很复杂(如利用 正规的数学表达式来表示安全状态的变化)
入侵检测起源
1980年 1987年 Anderson提出:入侵检测概念,分类方法 Denning提出了一种通用的入侵检测模型 独立性 :系统、环境、脆弱性、入侵种类
系统框架:异常检测器,专家系统
90年初:CMDS™、NetProwler™、NetRanger™
ISS RealSecure™
入侵检测的起源(1)
入侵检测的定义
对系统的运行状态进行监视,发现各种攻 击企图、攻击行为或者攻击结果,以保证 系统资源的机密性、完整性和可用性 进行入侵检测的软件与硬件的组合便是入 侵检测系统 IDS : Intrusion Detection System
入侵检测的特点
一个完善的入侵检测系统的特点:
经济性 时效性 安全性 可扩展性入侵检测的起源(6)来自IDS存在与发展的必然性
一、网络攻击的破坏性、损失的严重性 二、日益增长的网络安全威胁
三、单纯的防火墙无法防范复杂多变的攻击
为什么需要IDS
关于防火墙
网络边界的设备
自身可以被攻破
对某些攻击保护很弱 不是所有的威胁来自防火墙外部
入侵很容易
入侵教程随处可见 各种工具唾手可得
审计技术:产生、记录并检查按时间顺序排列 的系统事件记录的过程 审计的目标:
确定和保持系统活动中每个人的责任 重建事件
评估损失
监测系统的问题区 提供有效的灾难恢复 阻止系统的不正当使用
入侵检测的起源(2)
计算机安全和审计 美国国防部在70年代支持“可信信息系 统”的研究,最终审计机制纳入《可信 计算机系统评估准则》(TCSEC)C2级 以上系统的要求的一部分 “褐皮书”《理解可信系统中的审计指 南》
网络安全工具的特点
优点 防火墙 可简化网络管理,产品成熟 局限性 无法处理网络内部的攻击
IDS
Scanner
实时监控网络安全状态
简单可操作,帮助系统管理 员和安全服务人员解决实际 问题 保护公网上的内部通信 针对文件与邮件,产品成熟
误报警,缓慢攻击,新的攻 击模式
并不能真正扫描漏洞
VPN 防病毒
可视为防火墙上的一个漏洞 功能单一
入侵检测的起源(3)
1980年4月,James P. Anderson :《Computer
Security Threat Monitoring and Surveillance》 (计算机安全威胁监控与监视)的技术报告,第 一次详细阐述了入侵检测的概念 他提出了一种对计算机系统风险和威胁的分类方 法,并将威胁分为外部渗透、内部渗透和不法行 为三种 还提出了利用审计跟踪数据监视入侵活动的思想。 这份报告被公认为是入侵检测的开山之作
修正 4. 指标:漏报(false positive),错报(false negative)
异常检测
如果系统错误地将异常活动定义为入侵,称为 误报(false positive) ;如果系统未能检测出真 正的入侵行为则称为漏报(false negative)。 特点:异常检测系统的效率取决于用户轮廓的 完备性和监控的频率。因为不需要对每种入侵 行为进行定义,因此能有效检测未知的入侵。 同时系统能针对用户行为的改变进行自我调整 和优化,但随着检测模型的逐步精确,异常检 测会消耗更多的系统资源。
统计分析
统计分析方法首先给系统对象(如用户、文件、 目录和设备等)创建一个统计描述,统计正常使 用时的一些测量属性(如访问次数、操作失败次 数和延时等)
测量属性的平均值将被用来与网络、系统的行为 进行比较,任何观察值在正常值范围之外时,就 认为有入侵发生
完整性分析
完整性分析主要关注某个文件或对象是 否被更改,这经常包括文件和目录的内 容及属性,它在发现被更改的、被安装 木马的应用程序方面特别有效
基于主机
监视与分析主机的审计记录 可以不运行在监控主机上 能否及时采集到审计记录? 如何保护作为攻击目标主机审计子系统?
基于网络
在共享网段上对通信数据进行侦听采集数据 主机资源消耗少 提供对网络通用的保护 如何适应高速网络环境? 非共享网络上如何采集数据?
两类IDS监测软件