第5章入侵检测技术.ppt
《第5章入侵检测技术.ppt》由会员分享,可在线阅读,更多相关《第5章入侵检测技术.ppt(36页珍藏版)》请在三一文库上搜索。
1、第五章 入侵检测技术,5.1 入侵检测概述 5.2 入侵检测系统分类 5.3 入侵检测系统的分析方式 5.4 入侵检测系统的设置 5.5 入侵检测系统的部署 5.6 入侵检测系统的优点与局限性,(1)入侵检测的结构 (2)入侵检测系统分类 (3)入侵检测系统分析方式 (4)入侵检测系统的设置与部署 (5)入侵检测系统的优缺点,本章学习目标,5.1 入侵检测概述,5.1.1 基本概念 5.1.2 入侵检测系统的结构,5.1.1 基本概念,1入侵行为 入侵行为主要指对系统资源的非授权使用,它可以造成系统数据的丢失和破坏,甚至会造成系统拒绝对合法用户服务等后果。 2入侵检测 入侵检测技术是一种网络信
2、息安全新技术,它可以弥补防火墙的不足,对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时的检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。因此,入侵检测系统被认为是防火墙之后的第二道安全闸门。入侵检测技术是一种主动保护系统免受黑客攻击的网络安全技术。,3入侵检测系统 入侵检测系统是一种能够通过分析系统安全相关数据来检测入侵活动的系统。 入侵检测系统的主要功能有以下几点: 监测并分析用户和系统的活动。 核查系统配置和漏洞。 评估系统关键资源和数据文件的完整性。 识别已知的攻击行为。 统计分析异常行为。 对操作系统进行日志管理,并识别违反安全策略的用户活动。,5.1.2
3、 入侵检测系统的结构,CIDF(Common Intrusion Detection Framework)阐述了一个入侵检测系统的通用模型,如图5-1所示。,5.2 入侵检测系统分类,5.2.1 基于主机的入侵检测系统 5.2.2 基于网络的入侵检测系统 5.2.3 基于内核的入侵检测系统 5.2.4 两种入侵检测系统的结合运用 5.2.5 分布式的入侵检测系统,5.2.1 基于主机的入侵检测系统,基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害,需要安装在被保护的主机上。 按照检测对象的不同,基于主机的入侵检测系统可以分为两类:网络连接检测和主机文件检测。 1网络连接检测 网络连
4、接检测是对试图进入该主机的数据流进行检测,分析确定是否有入侵行为,避免或减少这些数据流进入主机系统后造成损害。,2主机文件检测 通常入侵行为会在主机的各种相关文件中留下痕迹,主机文件检测能够帮助系统管理员发现入侵行为或入侵企图,及时采取补救措施。 主机文件检测的检测对象主要包括以下几种: (1)系统日志。 (2)文件系统。 (3)进程记录。,基于主机的入侵检测系统具有以下优点: 检测准确度较高。 可以检测到没有明显行为特征的入侵。 能够对不同的操作系统进行有针对性的检测。 成本较低。 不会因网络流量影响性能。 适于加密和交换环境。 基于主机的入侵检测系统具有以下不足: 实时性较差。 无法检测数
5、据包的全部。 检测效果取决于日志系统。 占用主机资源。 隐蔽性较差。 如果入侵者能够修改校验和,这种入侵检测系统将无法起到预期的作用。,5.2.2 基于网络的入侵检测系统,基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上,它使用原始的网络分组数据包作为进行攻击分析的数据源,一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击,入侵检测系统应答模块通过通知、报警以及中断连接等方式来对攻击做出反应。 1包嗅探器和网络监视器 2包嗅探器和混杂模式 3基于网络的入侵检测,基于网络的入侵检测系统可以执行以下任务: (1)检测端口扫描。在攻击一个系统时,一个入
6、侵者通常对该系统进行端口扫描,从而判断存在哪些脆弱性。企图对Internet上的一台主机进行端口扫描通常是一个人要试图破坏网络的一个信号。 (2)检测常见的攻击行为。访问Web服务器的80端口通常被认为是无害的活动,但是,一些访问企图事实上是故意在进行攻击,或者试图攻击。 (3)识别各种各样可能的IP欺骗攻击。用来将IP地址转化为MAC地址的ARP协议通常是一个攻击目标。通过在以太网上发送伪造的ARP数据包,已经获得系统访问权限的入侵者可以假装是一个不同的系统在进行操作。,基于网络的入侵检测系统有以下优点: 可以提供实时的网络行为检测。 可以同时保护多台网络主机。 具有良好的隐蔽性。 有效保护
7、入侵证据。 不影响被保护主机的性能。 基于网络的入侵检测系统有以下不足: 防入侵欺骗的能力通常较差。 在交换式网络环境中难以配置。 检测性能受硬件条件限制。 不能处理加密后的数据。,5.2.3 基于内核的入侵检测系统,基于内核的入侵检测是一种较新的技术,近来它开始流行起来,特别是在Linux上。在Linux上目前可用的基于内核的入侵检测系统主要有两种:OpenWall和LIDS。这些系统采取措施防止缓冲区溢出,增加文件系统的保护,封闭信号,从而使入侵者破坏系统越来越困难。LIDS同时也采取一些步骤以阻止根用户的一些活动,例如安装一个包嗅探器或改变防火墙策略。,5.2.4 两种入侵检测系统的结合
8、运用,基于网络的入侵检测系统和基于主机的入侵检测系统都有各自的优势和不足,这两种方式各自都能发现对方无法检测到的一些网络入侵行为,如果同时使用互相弥补不足,会起到良好的检测效果。 基于网络的入侵检测系统通过检查所有的数据包头来进行检测,而基于主机的入侵检测系统并不查看包头。基于网络的入侵检测系统可以研究负载的内容,查找特定攻击中使用的命令或语法,这类攻击可以被实时检查包序列的入侵检测系统迅速识别;而基于主机的入侵检测系统无法看到负载,因此也无法识别嵌入式的负载攻击。,5.2.5 分布式的入侵检测系统,采用分布式结构的入侵检测模式是解决方案之一,也是目前入侵检测技术的一个研究方向。这种模式的系统
9、采用分布式智能代理的结构,由一个或者多个中央智能代理和大量分布在网络各处的本地代理组成。其中本地代理负责处理本地事件,中央代理负责统一调控各个本地代理的工作以及从整体上完成对网络事件进行综合分析的工作。检测工作通过全部代理互相协作共同完成。,5.3 入侵检测系统的分析方式,5.3.1 异常检测技术基于行为的检测 5.3.2 误用检测技术基于知识的检测 5.3.3 异常检测技术和误用检测技术的比较 5.3.4 其他入侵检测技术的研究,5.3.1 异常检测技术基于行为的检测,1异常检测技术的基本原理 异常检测技术(Anomaly Detection)也称为基于行为的检测技术,是指根据用户的行为和系
10、统资源的使用状况判断是否存在网络入侵。 异常检测技术首先假设网络攻击行为是不常见的或是异常的,区别于所有的正常行为。如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型,那么入侵检测系统可以将当前捕获到的网络行为与行为模型相对比,若入侵行为偏离了正常的行为轨迹,就可以被检测出来。,2异常检测技术的评价 能够检测出新的网络入侵方法的攻击。 较少依赖于特定的主机操作系统。 对于内部合法用户的越权违法行为的检测能力较强。 异常检测技术有以下不足: 误报率高。 行为模型建立困难。 难以对入侵行为进行分类和命名。,3异常检测技术分类 (1)统计分析异常检测。 (2)贝叶斯推理异常检测。 (3)神
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 入侵 检测 技术
链接地址:https://www.31doc.com/p-2909853.html