入侵检测.ppt

1、入侵检测,的初步了解,1.什么是入侵检测,？,入侵检测(Intrusion Detection)，顾名思义，就是对入侵行为的发觉。他通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。,入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现： 监视、分析用户及系统活

2、动 系统构造和弱点的审计 评估重要系统和数据文件的完整性 操作系统的审计跟踪管理，并识别用户违反安全策略的行为,2.信息收集入侵检测的第一步是信息收集，内容包括系统、网络、数据及用户活动的状态和行为。而且，需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，这除了尽可能扩大检测范围的因素外，还有一个重要的因素就是从一个源来的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。,入侵检测利用的信息一般来自以下四个方面： （1）系统和网络日志文件 （2）目录和文件中的不期望的改变 （3）程序执行中的不期望行为 （4）物理形式的入侵信息,3.入侵检测系统

3、 入侵检测系统(intrusion detection system，简称“IDS“)是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。 入侵检测的软件和硬件的组合体称为入侵检测系统（IDS)。,1.网络安全本身的复杂性，被动式的防御方式显得力不从心。 2.有关防火墙：网络边界的设备，自身可以被攻破，对某些攻击保护很弱。随着网络的发展，单纯的采用防火墙已经不能保护某些重要信息，所以需要更深一层的保护，及时发现恶意行为。 3.入侵很容易：入侵教程随处可见,各种工具唾手可得,4.入侵检

4、测系统存在和发展的原因,（1）1980年，James P. Anderson的计算机安全威胁监控与监视(Computer Security Threat Monitoring and Surveillance) 第一次详细阐述了入侵检测的概念;提出计算机系统威胁分类;提出了利用审计跟踪数据监视入侵活动的思想;此报告被公认为是入侵检测的开山之作。,5.入侵检测系统的起源,（2）1984年到1986年，乔治敦大学的Dorothy Denning和 SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型-IDES(入侵检测专家系统) （3）1990年，加州大学戴维斯分校的L. T

5、. Heberlein等人开发出了NSM(Network Security Monitor) 该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机 入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS,（4）1988年之后，美国开展对分布式入侵检测系统(DIDS)的研究，将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。（5）从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。,6.入侵检测系统的作用 ID

6、S是计算机的监视系统，它通过实时监视系统，一旦发现异常情况就发出警告。IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类:根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和误用入侵检测。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。,7.入侵检测系统的系统组成ETF将一个入侵检测系统分为四个组件:（1）事件产生器(Event generators)，它的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件

7、。 （2）事件分析器(Event analyzers)，它经过分析得到数据，并产生分析结果。,（3）响应单元(Response units )，它是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。（4）事件数据库(Event databases )事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。,对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地

8、获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等,8.入侵检测系统的优点,9.系统缺陷1998年2月，Secure Networks Inc.指出IDS有许多弱点，主要为:IDS对数据的检测;对IDS自身攻击的防护。由于当代网络发展迅速，网络传输速率大大加快，这造成了IDS工作的很大负担，也意味着IDS对攻击活动检测的可靠性不高。而IDS在应对对自身的攻击时，对其他传输的检测也会被抑制。同时由于模式识别技术的不完善，IDS的高虚警率也是它的一大问题。,10.通信协议 IDS系统内部各

9、组件之间需要通信，不同厂商的IDS系统之间也需要通信。因此，有必要定义统一的协议。IETF目前有一个专门的小组Intrusion Detection Working Group (IDWG)负责定义这种通信格式，称作Intrusion Detection Exchange Format(IDEF)，但还没有统一的标准。设计通信协议时应考虑以下问题:系统与控制系统之间传输的信息是非常重要的信息，因此必须要保持数据的真实性和完整性。必须有一定的机制进行通信双方的身份验证和保密传输(同时防止主动和被动攻击);通信的双方均有可能因异常情况而导致通信中断，IDS系统必须有额外措施保证系统正常工作。,11

10、.检测技术 对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类:一种基于标志(signature-based)，另一种基于异常情况(anomaly-based)。,对于基于标识的检测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。 而基于异常的检测技术则是先定义一组系统“正常“情况的数值，如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出)，然后将系统运行时的数值与所定义的“正常“情况比较，得出是否有

11、被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常“情况。,12.检测方法 检测方法分为：异常检测方法和误用检测方法 在异常入侵检测系统中常常采用以下几种检测方法: 基于贝叶斯推理检测法 基于模式预测的检测法 基于统计的异常检测法 基于机器学习检测法 数据挖掘检测法 基于应用模式的异常检测法 基于文本分类的异常检测法,误用检测方法主要有以下几种： 模式匹配法:是常常被用于入侵检测技术中。它是通过把收集到的信息与网络入侵和系统误用模式数据库中的已知信息进行比较，从而对违背安全策略的行为进行发现。 专家系统法:这个方法的思想是把安全专家的知识表示成规则知识库，再用推理算法检测入侵。主要是针对有特征的入侵行为。 基于状态转移分析的检测法:该方法的基本思想是将攻击看成一个连续的、分步骤的并且各个步骤之间有一定的关联的过程。,The end,thank you!,