第12章入侵检测技术.ppt
《第12章入侵检测技术.ppt》由会员分享,可在线阅读,更多相关《第12章入侵检测技术.ppt(63页珍藏版)》请在三一文库上搜索。
1、第10章 入侵检测系统,2019/6/4,2,导入,整个生命周期的防御和恢复,2019/6/4,3,导入,脆弱性存在的普遍性 大型信息系统的复杂性,使用管理困难,难免有漏洞 安全意识缺乏 修补系统软件缺陷并不常令人满意 安全防护措施不足以保护安全对象属性 安全技术缺陷,2019/6/4,4,IDS(Intrusion Detection System),IDS能在网络关键点收集信息和分析,发现可疑行为。,2019/6/4,5,内容,入侵检测概述 入侵检测系统 入侵检测的方法 snort入侵检测系统 入侵检测实现示例 入侵检测系统的发展趋势,2019/6/4,6,入侵检测概述,入侵行为:泛指一切
2、违反安全策略的行为; 入侵检测:检测被保护系统中的入侵行为的技术; 入侵检测系统(IDS):检测对计算机、网络或者更广泛的信息系统的攻击,包括外部非法入侵者的恶意攻击或试探、内部合法用户的未授权访问的软硬件系统。 基本方法:收集计算机系统和网络的信息,并对这些信息加以分析,对保护的系统进行安全审计、监控、攻击识别并作出实时的反应。,2019/6/4,7,入侵检测主要目的,(1)识别攻击行为和捕获入侵者。 (2)应急响应:及时阻止攻击活动。 (3)检测安全防范的效果。 (4)发现新的攻击。 (5)威慑攻击者。,2019/6/4,8,提纲,入侵检测概述 入侵检测系统 入侵检测的方法 snort入侵
3、检测系统 入侵检测系统实现示例 入侵检测系统的发展趋势,2019/6/4,9,Denning的IDS模型,2019/6/4,10,CIDF提出的IDS模型,2019/6/4,11,入侵检测系统的工作流程,信息收集阶段:主要工作是收集被保护系统的特征信息。包括来自主机的信息、来自网络的信息和来自其它入侵检测系统的信息三类。 信息分析阶段:主要工作是利用某种入侵检测技术对收集的特征信息进行综合分析,发现其中存在的入侵行为。信息分析是整个入侵检测的核心阶段。 动作响应阶段:主要工作是根据对信息分析的结果,作出适当的响应动作,消除或者减小入侵行为可能对系统的危害。常采取的响应动作有报警;将攻击者记入黑
4、名单,停止攻击者帐号;断开与攻击者的网络连接,停止对攻击者的服务;更新防火墙策略,屏蔽可疑地址;记录入侵事件等。,2019/6/4,12,IDS分类,基于主机的入侵检测 基于网络的入侵检测 布式入侵检测系统,2019/6/4,13,基于主机的入侵检测系统,IDS系统安装在主机上,对本主机进行安全检测 信息来源 系统状态信息(CPU, Memory, Network) 记账(Accounting)信息 审计信息(Audit,如syslog等 应用系统提供的审计记录,2019/6/4,14,基于主机的入侵检测系统,HIDS,HIDS,HIDS,HIDS,2019/6/4,15,基于网络的入侵检测,
5、HUB,IDS Sensor,Monitored Servers,2019/6/4,16,基于网络的入侵检测的信息源,信息来源于网络上的数据包 SNMP信息 网络通信包 被动监听方式工作,不影响网络性能 分析网络协议数据,与系统平台无关。 现在主流的商业IDS都是基于网络的,2019/6/4,17,基于网络的入侵检测系统的部署,要求:IDS应当挂接在所有所关注流量都必须流经的链路上。 所关注流量:来自高危网络区域的访问流量和需要进行统计、监视的网络报文。,2019/6/4,18,分布式入侵检测系统,分布式入侵检测系统,Agent,manager,2019/6/4,19,混合型的分布式入侵检测系
6、统,主机,主机,流量 分析器,流量 分析器,主机代理,管理器,Agent,Agent,主机代理 网络代理 管理器,2019/6/4,20,混合型的分布式入侵检测系统,分布式入侵检测系统需要考虑的主要问题 不同的入侵检测Agent之间的协调; 不同审计记录格式:主机,网络; 网络上传输的数据量可能会影响网络性能; 数据传输的保密性与完整性; 层次结构,2019/6/4,21,提纲,入侵检测概述 入侵检测系统 入侵检测的方法 snort入侵检测系统 入侵检测系统实现示例 入侵检测系统的发展趋势,2019/6/4,22,入侵检测方法,误用(Misuse)检测 异常(Anomaly)检测 其他检测方法
7、,2019/6/4,23,误用检测原理与方法,根据已知的入侵模式来检测入侵。将已知的攻击行为编成某种特征模式,如果入侵者攻击方式恰好匹配上检测系统中的模式库,则攻击行为就被检测到。,2019/6/4,24,模式匹配,模式匹配: 将已知的攻击行为编成某种特征模式(signature),形成特征库; 信息收集模块根据特征库中的特征收集被保护系统的特征信息; 分析模块将收集到的特征信息与数据库中的特征相匹配,如果匹配成功,则表示存在相应的入侵行为,否则认为是正常的行为。,2019/6/4,25,入侵特征库,特征举例 来自保留IP地址的连接企图 带有非法TCP 标志组合的数据包 含有特殊病毒信息的Em
8、ail DNS查询中的DNS缓冲区溢出企图 通过对服务器发出上千次同一命令而导致DoS攻击,2019/6/4,26,Winnuke攻击数据包的特征是:包的源地址与目标地址相同,远端口与目标端口相同 phf探测的特征是http请求的内容部分包含字符串“/cgi-bin/phf”,2019/6/4,27,alert tcp any any - 192.168.1.0/24 80 (content: “CMD.EXE“; msg: “IIS overflow!“;) 检查80端口(web端口),判断向这个端口发送的数据中是否包含“CMD.EXE”的字符串,如果含有就认为是入侵的行为。,2019/6/
9、4,28,SNORT规则的定义,alert tcp any any - 192.168.1.0/24 143 (content: “|90C8 C0FF FFFF|/bin/sh“; msg: “IMAP buffer overflow!“;) 对任何主机的任何端口到192.168.1.0/24 (CIDR)的143端口的数据包分析,如果数据包内含有数据:|90C8 C0FF FFFF|/bin/sh,就报警,报警信息为: IMAP buffer overflow !,2019/6/4,29,规则推理,规则是一个if-then结构,if是规则的条件,then是条件成立后需要执行的动作。 条件是
10、否成立来源于对事实和输入数据的分析 动作通常为针对入侵行为所采取的措施 系统维护一个规则库 常采用的方法:根据已有的事实和信息,在规则库中先选择能够和这些条件匹配的规则,缩小候选规则的规模,然后再从中选出最适合的规则进行推理,得出判断结论。 入侵行为一般不会通过一条规则就被发现,一条规则判断完成,其结果可以作为新的事实加入到已有事实的集合中,和其它事实和信息一道可能又会引起新的规则的执行; 如此往复,直到没有新的规则被执行,对入侵行为的检测才结束,得出是否存在入侵行为的结论。,2019/6/4,30,误用检测方法分析,误用检测的优点 算法简单 系统开销小 准确率高 效率高,2019/6/4,3
11、1,误用检测的缺点 被动 只能检测出已知攻击 新类型的攻击会对系统造成很大的威胁 特征库(规则库)的建立和维护难 特征库(规则库)要不断更新 知识依赖于 硬件平台 操作系统 系统中运行的应用程序,2019/6/4,32,入侵检测方法,异常检测 异常检测是指建立系统的正常模式轮廓(统计),若实时获得的系统或用户的轮廓值与正常值的差异超出指定的阈值,就进行入侵报警。 正常的模式轮廓可以从大量历史活动资料的分析统计中得到。常见轮廓有: 单用户帐号 组帐号 主机系统,2019/6/4,33,统计计算分析:将用户行为模型化,检查它们与正常用户模型的偏差.,正常 操作 行为,异常行为,2019/6/4,3
12、4,统计分析,是在对一系列相关历史数据的统计分析的基础上,对新的数据进行判断; 历史数据的某种统计特征是衡量新行为的标准,新行为和统计特征相差大于某个阈值,则说明新行为是入侵行为。 通过历史数据计算出的统计特征很多有直观的含义; 有的没有直观含义。这些特征是对历史数据按照某种模型进行处理的结果,能够稳定、准确的区分开正常和异常行为。,2019/6/4,35,人工神经网络,人工神经网络通过对大量神经元和神经元所组成的网络的模拟,实现了对人脑收集、加工、存储以至运用信息能力的模拟。 外界信号是人工神经网络的输入,人脑对信号的反应对应人工神经网络的输出,神经元是大量的简单的处理单元,神经元对外界信号
13、的传递效果对应处理单元对输入信号和输出信号的互联权值或传递函数。,2019/6/4,36,2019/6/4,37,人工神经网络法,学习和能力。学习就是调整所模拟的处理单元的互联权值和传递函数。 学习的过程是反复的输入信息样本,其中包括正常的信息和存在入侵行为的信息,并说明信息是否正常。 学习成功的标准就是人工神经网络可以对样本稳定的做出正确的判断。 学习完备就可以使用人工神经网络对实际系统中的信息进行检测;,2019/6/4,38,异常检测原理与方法分析,异常检测的优点 可以检测到未知的入侵 可以检测冒用他人帐号的行为 具有自适应,自学习功能 不需要系统先验知识,2019/6/4,39,异常检
14、测的缺点 漏报、误报率高 入侵者可以逐渐改变自己的行为模式来逃避检测 合法用户正常行为的突然改变也会造成误警 统计算法的计算量庞大,效率很低 统计点的选取和参考库的建立比较困难,历史数据选择不当、统计特征抽取不当、判断阈值设计不当等都会造成对入侵行为的误判,,2019/6/4,40,提纲,入侵检测概述 入侵检测系统结构 入侵检测方法 snort入侵检测系统 入侵检测技术发展趋势,2019/6/4,41,Snort 入侵检测系统,Snort 系统概述 Martin Roesch , 开放源代码 NIDS 支持多种平台:Linux , Solaris, Windows 不仅是一个功能强大的入侵检测
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 12 入侵 检测 技术
链接地址:https://www.31doc.com/p-2908087.html