网络安全入侵检测与防御技术.ppt-道客多多

资源描述

1、第 4 章入侵检测技术本章学习目标：了解入侵检测系统的原理掌握入侵检测系统的核心技术了解入侵检测系统的作用了解入侵检测技术的发展趋势掌握入侵检测系统在网络安全中的地位掌握评价入侵检测系统的性能指标 2 4.1 入侵检测系统概述防火墙是所有保护网络的方法中最能普遍接受的方法，能阻挡外部入侵者，但对内部攻击无能为力；同时，防火墙绝对不是坚不可摧的，即使是某些防火墙本身也会引起一些安全问题。防火墙不能防止通向站点的后门，不提供对内部的保护，无法防范数据驱动型的攻击，不能防止用户由 Internet上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输。入侵检测是防火墙的合理补

2、充，它帮助系统对付网络攻击，扩展了系统管理员的安全管理能力 (包括安全审计、监视、进攻识别和响应 )，提高了信息安全基础结构的完整性。 3 4.1 入侵检测系统概述 4.1.1 相关术语攻击攻击者利用工具，出于某种动机，对目标系统采取的行动，其后果是获取 /破坏 /篡改目标系统的数据或访问权限事件在攻击过程中发生的可以识别的行动或行动造成的后果；在入侵检测系统中，事件常常具有一系列属性和详细的描述信息可供用户查看。 CIDF 将入侵检测系统需要分析的数据统称为事件（ event） 4 入侵对信息系统的非授权访问及（或）未经许可在信息系统中进行操作入侵检测对企图入侵、正在进行的入侵

3、或已经发生的入侵进行识别的过程入侵检测系统（ IDS）用于辅助进行入侵检测或者独立进行入侵检测的自动化工具 4.1 入侵检测系统概述 4.1.1 相关术语 5 入侵检测系统 (Intrusion Detection System， IDS)，是对入侵自动进行检测、监控和分析过程的软件与硬件的组合系统 ,是一种自动监测信息系统内、外入侵的安全设备。 IDS通过从计算机网络或计算机系统中的若干关键点收集信息，并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。 4.1 入侵检测系统概述 4.1.2 入侵检测 6 4.1 入侵检测系统概述入侵

4、检测系统入侵检测系统（ IDS）由入侵检测的软件与硬件组合而成，被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，提供对内部攻击、外部攻击和误操作的实时保护。 6大主要功能： 5）评估重要系统和数据文件的完整性。 4）异常行为模式的统计分析。 3）识别反映已知进攻的活动模式并向相关人士报警。 2）系统构造和弱点的审计。 1）监视、分析用户及系统活动。 6）操作系统的审计跟踪管理，并识别违反安全策略的行为。 7 4.1 入侵检测系统概述 4.1.3 入侵检测系统的作用监控网络和系统发现入侵企图或异常现象实时报警主动响应审计

5、跟踪形象地说，它就是网络摄像机，能够捕获并记录网络上的所有数据，同时它也是智能摄像机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是 X光摄像机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄像机，还包括保安员的摄像机 . 8 4.1 入侵检测系统概述 9 7.1 入侵检测系统概述 4.1.4 入侵检测的发展历程 1980年，概念的诞生 1984 1986年，模型的发展 1990年，形成网络 IDS和主机 IDS两大阵营九十年代后至今，百家争鸣、繁荣昌盛 10 4. 2 入侵检测系统的功能及分类 IDS分类 1）按照体系结构分为：集中式和分布式。 2）按照

6、工作方式分为：离线检测和在线检测。 3）按照所用技术分为：特征检测和异常检测 4）按照检测对象（数据来源）分为：基于主机、基于网络和分布式（混合型）。 11 4.2 入侵检测系统的功能及分类 2）按照工作方式分为：离线检测和在线检测。离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。在线检测系统是实时联机的检测系统，实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。 12 4.3 入侵检测的原理与技术 4.

7、3.1 入侵检测的实现方式入侵检测系统根据数据包来源的不同，采用不用的实现方式，一般地可分为网络型、主机型，也可是这两种类型的混合应用。基于网络的入侵检测系统（ NIDS）基于主机的入侵检测系统（ HIDS）混合型入侵检测系统（ Hybrid IDS） 13 4.3 入侵检测的原理与技术 4.3.1 入侵检测的实现方式 1、网络 IDS：网络 IDS是网络上的一个监听设备 (或一个专用主机 )，通过监听网络上的所有报文，根据协议进行分析，并报告网络中的非法使用者信息。安装在被保护的网段（通常是共享网络，交换环境中交换机需支持端口映射）中混杂模式监听分析网段中所有的数据包实时检

8、测和响应 14 4.3 入侵检测的原理与技术网络报文数据协议分析上报事件事件数据库比较数据读取网络数据网络数据图 7-1 网络 IDS工作模型 15 4.3 入侵检测的原理与技术网络 IDS优势 (1) 实时分析网络数据，检测网络系统的非法行为； (2) 网络 IDS系统单独架设，不占用其它计算机系统的任何资源； (3) 网络 IDS系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高； (4) 它既可以用于实时监测系统，也是记录审计系统，可以做到实时保护，事后分析取证； (5) 通过与防火墙的联动，不但可以对攻击预警，还可

9、以更有效地阻止非法入侵和破坏。 (6)不会增加网络中主机的负担。 16 4.3 入侵检测的原理与技术网络 IDS的劣势 (1)不适合交换环境和高速环境 (2)不能处理加密数据 (3) 资源及处理能力局限 (4) 系统相关的脆弱性 17 4.3 入侵检测的原理与技术 4.3.1 入侵检测的实现方式 2、主机 IDS：运行于被检测的主机之上，通过查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。安装于被保护的主机中主要分析主机内部活动占用一定的系统资源 18 4.3 入侵检测的原理与技术主机 IDS优势 (1) 精确地判断攻击行为是否成功。

10、 (2) 监控主机上特定用户活动、系统运行情况 (3) HIDS能够检测到 NIDS无法检测的攻击 (4) HIDS适用加密的和交换的环境。 (5) 不需要额外的硬件设备。 19 4.3 入侵检测的原理与技术主机 IDS的劣势 (1) HIDS对被保护主机的影响。 (2) HIDS的安全性受到宿主操作系统的限制。 (3) HIDS的数据源受到审计系统限制。 (4) 被木马化的系统内核能够骗过 HIDS。 (5) 维护 /升级不方便。 20 4.3 入侵检测的原理与技术 3、两种实现方式的比较： 1)如果攻击不经过网络基于网络的 IDS无法检测到只能通过使用基于主机的 IDS来检测； 2)基于

11、网络的 IDS通过检查所有的包头来进行检测，而基于主机的 IDS并不查看包头。主机 IDS往往不能识别基于IP的拒绝服务攻击和碎片攻击； 3)基于网络的 IDS可以研究数据包的内容，查找特定攻击中使用的命令或语法，这类攻击可以被实时检查包序列的 IDS迅速识别；而基于主机的系统无法看到负载，因此也无法识别嵌入式的数据包攻击。 21 4.3 入侵检测的原理与技术 4、混合型入侵检测系统（ Hybrid IDS）在新一代的入侵检测系统中将把现在的基于网络和基于主机这两种检测技术很好地集成起来，提供集成化的攻击签名检测报告和事件关联功能。可以深入地研究

12、入侵事件入侵手段本身及被入侵目标的漏洞等。 22 4.3 入侵检测的原理与技术 4.3.2 IDS的基本结构无论 IDS系统是网络型的还是主机型的，从功能上看，都可分为两大部分：探测引擎和控制中心。前者用于读取原始数据和产生事件；后者用于显示和分析事件以及策略定制等工作。 I D S 控制中心I D S 引擎控制和策略下发事件上报23 4.3 入侵检测的原理与技术 4.3.2 IDS的基本结构图 7-3 引擎的工作流程引擎的主要功能为：原始数据读取、数据分析、产生事件、策略匹配、事件处理、通信等功能 24 4.3 入侵检测的原理与技术 4.3.2 ID

13、S的基本结构图 7-4 控制中心的工作流程通信事件读取事件显示策略定制日专分析系统帮助事件数据库控制中心的主要功能为：通信、事件读取、事件显示、策略定制、日志分析、系统帮助等。 25 4.3 入侵检测的原理与技术 4.3.3 IDS采用的技术入侵检测主要通过专家系统、模式匹配、协议分析或状态转换等方法来确定入侵行为。入侵检测技术有：静态配置分析技术异常检测技术误用检测技术 1静态配置分析技术静态配置分析是通过检查系统的当前系统配置，诸如系统文件的内容或系统表，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征 (系统配置信

14、息 )，而不是系统中的活动。 26 4.3 入侵检测的原理与技术 4.3.3 IDS采用的技术 2、异常检测技术通过对系统审计数据的分析建立起系统主体 (单个用户、一组用户、主机，甚至是系统中的某个关键的程序和文件等 )的正常行为特征轮廓；检测时，如果系统中的审计数据与已建立的主体的正常行为特征有较大出入就认为是一个入侵行为。这一检测方法称 “ 异常检测技术 ” 。一般采用统计或基于规则描述的方法建立系统主体的行为特征轮廓，即统计性特征轮廓和基于规则描述的特征轮廓。 27 4.3 入侵检测的原理与技术 4.3.3 IDS采用的技术 3误用检测技术误用检测技术 (Misuse D

15、etection)通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或是间接地违背系统安全规则的行为，来检测系统中的入侵活动，是一种基于已有的知识的检测。这种入侵检测技术的主要局限在于它只是根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为，而不能处理对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。 28 4.3 入侵检测的原理与技术 4.3.4 入侵检测分析技术的比较 1模式匹配的缺陷 1）计算负荷大 2）检测准确率低 2协议分析新技术的优势 1）提高了性能 2）提高了准确性 3）反规避能力 4）系统资源开销小 29 4.4 入侵检测系统的性能指标 1系统结构好的 IDS应能采用分级、远距离分式部署和管理。主控制中心子控制中心主控制中心探测引擎探测引擎子控制中心子控制中心探测引擎30 4.4 入侵检测系统的性能指标 2事件数量考察 IDS系统的一个关键性指标是报警事件的多少。一般而言，事件越多，表明 IDS系统能够处理的能力越强。 3处理带宽 IDS的处理带宽，即 IDS能够处理的网络流量，是 IDS的一个重要性能。目前的网络 IDS系统一般能够处理 2030M网络流量，经过专门定制的系统可以勉强处理 4060M的流量。

展开阅读全文