6第6章入侵检测技术.ppt
《6第6章入侵检测技术.ppt》由会员分享,可在线阅读,更多相关《6第6章入侵检测技术.ppt(52页珍藏版)》请在三一文库上搜索。
1、1,第六章 入侵检测技术,2,本章目标,掌握入侵检测技术实现的过程 掌握两种入侵检测技术及其各自的优缺点 了解入侵检测的概念和作用 说明入侵检测的两种基本的检测技术 明确在一个实际的网络中入侵检测的具体部署,本章重点,IDS的主要功能和类型、IDS存在的问题、IDS的应用案例,3,网络安全问题日渐严重,网络安全是一个国际化的问题 安全损失越来越大,4,安全事件报告,5,安全问题起因,网络管理是平面型 80%以上的入侵来自于网络内部 网络资源滥用 入侵越来越频繁,6,6.1 IDS概念,IDS是防火墙的合理补充 IDS定义 对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证
2、系统资源的机密性、完整性和可用性,IDS,7,6.1 IDS概念(续),IDS扩充安全管理能力 IDS提高安全的完整性 第二道安全闸门,8,6.1 IDS概念(续) IDS的任务,监视、分析用户及系统活动 系统构造和弱点的审计 识别反映已知进攻的活动模式并向相关人士报警 异常行为模式的统计分析 评估重要系统和数据文件的完整性 操作系统的审计跟踪管理,并识别用户违反安全策略的行为,9,6.1 IDS概念(续) IDS应该具有的特点,使网管了解网络系统的变更 提供网络安全策略的制订指南 规模灵活可变 及时响应入侵,10,6.1.1 信息收集,入侵检测第一步 收集状态和行为 系统 网络 数据 用户活
3、动 检测范围要大,11,6.1.1 信息收集(续) 信息来源,系统和网络日志文件 目录和文件中的不期望的改变 程序执行中的不期望行为 物理形式的入侵信息,12,系统和网络日志文件,黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据这些证据,可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应。程序日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志就包含登录用户ID,改变用户对文件的访问授权和认证信
4、息等内容。显然对用户活动来讲不正常的或不期望的行为,就是重复登录失败登录到不期望的位置以及非授权的企图访问重要文件等等。,13,目录和文件中的不期望的改变,网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变包括修改创建和删除,特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号。入侵者经常替换修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件。,14,程序执行中的不期望行为,网络系统上的程序执行一般包括操作系统、网络服务、用户起动的
5、程序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统资源程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同。操作包括计算、文件传输设备和其它进程以及与网络间其它进程的通讯。一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解,从而导致它失败或者是以非用户或管理员意图的方式操作。,15,物理形式的入侵信息,物理入侵包括两个方面的内容:一是未授权的对网络硬件连接,二是对物理资源的未授权访问。黑客会想方设法去突
6、破网络的周边防卫,如果他们能够在物理上访问内部网,就能安装他们自己的设备和软件,依此黑客就可以知道网上的由用户加上去的不安全未授权设备,然后利用这些设备访问网络,例如用户在家里可能安装Modem以访问远程办公室,与此同时黑客正在利用自动工具来识别在公共电话线上的Modem, 如果一拨号访问流量经过了这些自动工具,那么这一拨号访问就成为了威胁网络安全的后门,黑客就会利用这个后门来访问内部网,从而越过了内部网络原有的防护措施,然后捕获网络流量进而攻击其它系统并偷取敏感的私有信息等等,16,6.1.2 信号分析,对信息的分析技术 模式匹配 统计分析 完整性分析,实时的入侵检测分析,事后分析,17,6
7、.1.2 信号分析(续) 模式匹配,比较收集到的信息与已知的网络入侵和系统误用模式数据库 攻击模式可以用一个过程或一个输出来表示 通过字符串匹配以寻找一个简单的条目或指令 利用正规的数学表达式来表示安全状态的变化,18,6.1.2 信号分析(续) 统计分析,首先对系统对象创建一个统计描述 统计正常使用时的一些测量属性 测量属性的平均值和偏差被用来与网络、系统的行为进行比较 观察值在正常值范围之外时,就认为有入侵发生,19,6.1.2 信号分析(续) 完整性分析,关注某个文件或对象是否被更改 包括文件和目录的内容及属性 对于发现被更改的、被安装木马的应用程序方面特别有效 利用加密机制,20,6.
8、2 IDS类型,IDS组成部分 传感器(Sensor) 控制台(Console),传感器(Sensor),控制台(Console),21,6.2 IDS类型(续),IDS分类 基于主机的IDS 基于网络的IDS 混合IDS,22,6.2.1 基于主机的IDS,HIDS安装在被重点检测的主机之上 HIDS对主机的网络实时连接以及系统审计日志进行智能分析和判断 发现主机出现可疑行为,HIDS采取措施,23,6.2.1 基于主机的IDS(续) HIDS示意图,Desktops,Web Servers,远程连接,顾客,Servers,Network,分公司,合作伙伴,Hacker,Host-based
9、 IDS,24,6.2.1 基于主机的IDS(续) HIDS的优点,对分析“可能的攻击行为”非常有用 得到的信息详尽 误报率低,25,必须安装在要保护的设备上,出现安全风险 依赖服务器固有的日志与监视能力 部署代价大,易出现盲点 不能检测网络行为,6.2.1 基于主机的IDS(续) HIDS的弱点,26,6.2.2 基于网络的IDS,NIDS放置在网段内,监视网络数据包 发现问题可以切断网络 目前IDS大多数是NIDS,27,6.2.1 基于网络的IDS(续) NIDS示意图,Desktops,Web Servers,远程连接,顾客,Servers,Network,分公司,合作伙伴,28,不需
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 入侵 检测 技术
链接地址:https://www.31doc.com/p-2887511.html