入侵检测系统IDS课件

1、入侵检测系统Intrusion Detection System（IDS） 组长： 主讲人： 小组成员： 2015-05-04山东女子学院信息技术学院1入侵检测系统Intrusion Detection Syst 入侵检测技术的概述 IDS的基本结构 入侵检测系统的类型 制订响应策略应考虑的要素 发展方向2015-05-04山东女子学院信息技术学院2目录 入侵检测技术的概述2015-05-04山东女子学院信息1.入侵检测技术的概述2022/10/17山东女子学院信息学院31.入侵检测技术的概述2022/10/15山东女子学院信息学入侵检测（Intrusion Detection）是对入侵行为的

2、发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，并可通过和防火墙等进行联动，对入侵或攻击作出相应。入侵检测Intrusion Detection2015-05-04山东女子学院信息学院4入侵检测Intrusion Detection2015-05入侵检测的定义目标：对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性入侵检测系统：进行入侵检测的软件与硬件的组合 2015-05-04山东女子学院信息技术学院5入侵检测的定义目标：对系统的运行状态进行监视，发现各种攻击企I

3、DS的作用入侵检测技术（IDS）：作为防火墙的补充，用于实时发现和抵御黑客对系统的攻击。 做一个形象的比喻：假如防火墙是一幢 大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。2015-05-04山东女子学院信息技术学院6IDS的作用入侵检测技术（IDS）：作为防火墙的补充，用于实IDS存在的必要性关于防火墙网络边界的设备，只能抵挡外部來的入侵行为自身存在弱点，也可能被攻破对某些攻击保护很弱即使透过防火墙的保护，合法的使用者仍会非法地使用系统，甚至提升自己的权限仅能拒绝非法的连接請求，但是对于入侵者的攻击行为仍一

4、无所知2015-05-04山东女子学院信息技术学院7IDS存在的必要性关于防火墙2015-05-04山东女子学院2.IDS基本结构2022/10/17山东女子学院信息学院82.IDS基本结构2022/10/15山东女子学院信息学院8IDS基本结构入侵检测系统包括三个功能部件（1）信息收集（2）信息分析（3）响应单元2015-05-04山东女子学院信息技术学院9IDS基本结构入侵检测系统包括三个功能部件2015-05-0信息收集入侵检测的第一步是信息收集，需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息。收集内容包括系统、网络、数据及用户活动的状态和行为2015-05-04山

5、东女子学院信息技术学院10信息收集入侵检测的第一步是信息收集，需要在计算机网络系统中的信息分析 模式匹配 统计分析 完整性分析，往往用于事后分析2015-05-04山东女子学院信息技术学院11信息分析 模式匹配2015-05-04山东女子学院信息技术学模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为2015-05-04山东女子学院信息技术学院12模式匹配2015-05-04山东女子学院信息技术学院12统计分析统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和

6、延时等）测量属性的平均值和偏差被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生2015-05-04山东女子学院信息技术学院13统计分析统计分析方法首先给系统对象（如用户、文件、目录和设备完整性分析完整性分析主要关注某个文件或对象是否被更改包括文件和目录的内容及属性在发现被更改的、被安装木马的应用程序方面特别有效2015-05-04山东女子学院信息技术学院14完整性分析2015-05-04山东女子学院信息技术学院14响应单元简单报警切断连接封锁用户改变文件属性最强烈反应：回击攻击者2015-05-04山东女子学院信息技术学院15响应单元简单报警2015-05-04

7、山东女子学院信息技术学院3.入侵检测系统的类型2022/10/17山东女子学院信息学院163.入侵检测系统的类型2022/10/15山东女子学院信息学入侵检测系统的分类网络IDS:网络IDS（NIDS）通常以非破坏方式使用。这种设备能够捕获LAN区域中的信息流并试着将实时信息流与已知的攻击签名进行对照。主机IDS：主机入侵检测系统（HIDS）是一种用于监控单个主机上的活动的软件应用。监控方法包括验证操作系统与应用调用及检查日志文件、文件系统信息与网络连接。2015-05-04山东女子学院信息技术学院17入侵检测系统的分类网络IDS:主机IDS：2015-05-0两类IDS监测软件的比较网络ID

8、S侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少 主机IDS视野集中 易于用户自定义保护更加周密对网络流量不敏感 2015-05-04山东女子学院信息技术学院18两类IDS监测软件的比较网络IDS主机IDS2015-05-4.制订响应策略应考虑的要素2022/10/17山东女子学院信息学院194.制订响应策略应考虑的要素2022/10/15山东女子学制订响应策略应考虑的要素系统用户：入侵检测系统用户可以分为网络安全专家或管理员、系统管理员、安全调查员。这三类人员对系统的使用目的、方式和熟悉程度不同，必须区别对待操作运行环境：入侵检测系统提供的信息形式依赖其运行环境系统目标：为用户提供关

9、键数据和业务的系统，需要部分地提供主动响应机制规则或法令的需求：在某些军事环境里，允许采取主动防御甚至攻击技术来对付入侵行为2015-05-04山东女子学院信息技术学院20制订响应策略应考虑的要素系统用户：入侵检测系统用户可以分为网5.发展方向2022/10/17山东女子学院信息学院215.发展方向2022/10/15山东女子学院信息学院21发展方向更有效的集成各种入侵检测数据源，包括从不同的系统和不同的传感器上采集的数据，提高报警准确率；在事件诊断中结合人工分析，提高判断准确性；提高对恶意代码的检测能力，包括email攻击，Java，ActiveX等；采用一定的方法和策略来增强异种系统的互操作性和数据一 致性；研制可靠的