入侵检测技术.ppt
《入侵检测技术.ppt》由会员分享,可在线阅读,更多相关《入侵检测技术.ppt(38页珍藏版)》请在三一文库上搜索。
1、第 7 章 入侵检测技术,本章学习目标: 了解入侵检测系统的原理 掌握入侵检测系统的核心技术 了解入侵检测系统的作用 了解入侵检测技术的发展趋势 掌握入侵检测系统在网络安全中的地位 掌握评价入侵检测系统的性能指标,7.1 入侵检测系统概述,防火墙是所有保护网络的方法中最能普遍接受的方法,能阻挡外部入侵者,但对内部攻击无能为力;同时,防火墙绝对不是坚不可摧的,即使是某些防火墙本身也会引起一些安全问题。防火墙不能防止通向站点的后门,不提供对内部的保护,无法防范数据驱动型的攻击,不能防止用户由Internet上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输。,入侵检测是防火墙的合理补充,它
2、帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。,7.1 入侵检测系统概述,7.1.1 相关术语,攻击 攻击者利用工具,出于某种动机,对目标系统采取的行动,其后果是获取/破坏/篡改目标系统的数据或访问权限 事件 在攻击过程中发生的可以识别的行动或行动造成的后果;在入侵检测系统中,事件常常具有一系列属性和详细的描述信息可供用户查看。 CIDF 将入侵检测系统需要分析的数据统称为事件(event),入侵 对信息系统的非授权访问及(或)未经许可在信息系统中进行操作 入侵检测 对企图入侵、正在进行的入侵或已经发生的入侵进行识别
3、的过程 入侵检测系统(IDS) 用于辅助进行入侵检测或者独立进行入侵检测的自动化工具,7.1 入侵检测系统概述,7.1.1 相关术语,入侵检测(Intrusion Detection)技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象,则应当做出适当的反应。对于正在进行的网络攻击,则采取适当的方法来阻断攻击(与防火墙联动),以减少系统损失。对于已经发生的网络攻击,则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹,作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点
4、收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。,7.1 入侵检测系统概述,7.1.2 入侵检测,7.1 入侵检测系统概述,入侵检测系统,入侵检测系统(IDS)由入侵检测的软件与硬件组合而成,被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现: 1)监视、分析用户及系统活动。 2)系统构造和弱点的审计。 3)识别反映已知进攻的活动模式并向相关人士报警。 4)异常行为模式的统计分析。 5)评估重要系统和数据文件的完整性。 6)操作系统的审计跟踪管理,并识别用户违反安
5、全策略的行为。,7.1 入侵检测系统概述,7.1.3 入侵检测系统的作用,监控网络和系统 发现入侵企图或异常现象 实时报警 主动响应 审计跟踪,形象地说,它就是网络摄像机,能够捕获并记录网络上的所有数据,同时它也是智能摄像机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光摄像机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄像机,还包括保安员的摄像机.,7.1 入侵检测系统概述,7.1 入侵检测系统概述,7.1.4 入侵检测的发展历程,1980年,概念的诞生 19841986年,模型的发展 1990年,形成网络IDS和主机IDS两大阵营 九十年代后至今,百家争鸣、繁荣昌盛
6、,7.2 入侵检测的原理与技术,7.2.1 入侵检测的实现方式,入侵检测系统根据数据包来源的不同,采用不用的实现方式,一般地可分为网络型、主机型,也可是这两种类型的混合应用。,基于网络的入侵检测系统(NIDS) 基于主机的入侵检测系统(HIDS) 混合型入侵检测系统(Hybrid IDS),7.2 入侵检测的原理与技术,7.2.1 入侵检测的实现方式,1、网络IDS: 网络IDS是网络上的一个监听设备(或一个专用主机),通过监听网络上的所有报文,根据协议进行分析,并报告网络中的非法使用者信息。,安装在被保护的网段(通常是共享网络,交换环境中交换机需支持端口映射)中 混杂模式监听 分析网段中所有
7、的数据包 实时检测和响应,7.2 入侵检测的原理与技术,图7-1 网络IDS工作模型,7.2 入侵检测的原理与技术,网络IDS优势,(1) 实时分析网络数据,检测网络系统的非法行为; (2) 网络IDS系统单独架设,不占用其它计算机系统的任何资源; (3) 网络IDS系统是一个独立的网络设备,可以做到对黑客透明,因此其本身的安全性高; (4) 它既可以用于实时监测系统,也是记录审计系统,可以做到实时保护,事后分析取证; (5) 通过与防火墙的联动,不但可以对攻击预警,还可以更有效地阻止非法入侵和破坏。 (6)不会增加网络中主机的负担。,7.2 入侵检测的原理与技术,网络IDS的劣势,(1)不适
8、合交换环境和高速环境 (2)不能处理加密数据 (3) 资源及处理能力局限 (4) 系统相关的脆弱性,7.2 入侵检测的原理与技术,7.2.1 入侵检测的实现方式,2、主机IDS: 运行于被检测的主机之上,通过查询、监听当前系统的各种资源的使用运行状态,发现系统资源被非法使用和修改的事件,进行上报和处理。, 安装于被保护的主机中 主要分析主机内部活动 占用一定的系统资源,7.2 入侵检测的原理与技术,主机IDS优势,(1) 精确地判断攻击行为是否成功。 (2) 监控主机上特定用户活动、系统运行情况 (3) HIDS能够检测到NIDS无法检测的攻击 (4) HIDS适用加密的和交换的环境。 (5)
9、 不需要额外的硬件设备。,7.2 入侵检测的原理与技术,主机IDS的劣势,(1) HIDS对被保护主机的影响。 (2) HIDS的安全性受到宿主操作系统的限制。 (3) HIDS的数据源受到审计系统限制。 (4) 被木马化的系统内核能够骗过HIDS。 (5) 维护/升级不方便。,7.2 入侵检测的原理与技术,3、两种实现方式的比较: 1)如果攻击不经过网络基于网络的IDS无法检测到只能通过使用基于主机的IDS来检测; 2)基于网络的IDS通过检查所有的包头来进行检测,而基于主机的IDS并不查看包头。主机IDS往往不能识别基于IP的拒绝服务攻击和碎片攻击; 3)基于网络的IDS可以研究数据包的内
10、容,查找特定攻击中使用的命令或语法,这类攻击可以被实时检查包序列的IDS迅速识别;而基于主机的系统无法看到负载,因此也无法识别嵌入式的数据包攻击。,7.2 入侵检测的原理与技术,4、混合型入侵检测系统(Hybrid IDS) 在新一代的入侵检测系统中将把现在的基于网络和基于主机这两种检测技术很好地集成起来,提供集成化的攻击签名检测报告和事件关联功能。 可以深入地研究入侵事件入侵手段本身及被入侵目标的漏洞等。,7.2 入侵检测的原理与技术,7.2.2 IDS的基本结构,无论IDS系统是网络型的还是主机型的,从功能上看,都可分为两大部分:探测引擎和控制中心。前者用于读取原始数据和产生事件;后者用于
11、显示和分析事件以及策略定制等工作。,7.2 入侵检测的原理与技术,7.2.2 IDS的基本结构,图7-3 引擎的工作流程,引擎的主要功能为:原始数据读取、数据分析、产生事件、策略匹配、事件处理、通信等功能,7.2 入侵检测的原理与技术,7.2.2 IDS的基本结构,图7-4 控制中心的工作流程,控制中心的主要功能为:通信、事件读取、事件显示、策略定制、日志分析、系统帮助等。,7.2 入侵检测的原理与技术,7.2.3 IDS采用的技术,入侵检测主要通过专家系统、模式匹配、协议分析或状态转换等方法来确定入侵行为。入侵检测技术有: 静态配置分析技术 异常检测技术 误用检测技术,1静态配置分析技术 静
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 入侵 检测 技术
链接地址:https://www.31doc.com/p-3608988.html