防火墙入侵检测技术的概念课件

防火墙入侵检测技术的概念防火墙入侵检测技术的概念保密性（Confidentiality）；完整性（Integrity）；认证（Authenticity）：实体身份的认证，适用于用户、进程、系统、信息等；不可否认性（Non-repudiation）：防止发送方或接收方的抵赖；可用性（Availability）。回顾：安全相关概念保密性（Confidentiality）；回顾：安全相关概念加密：常规加密、公开密钥加密；数据鉴别：消息摘要；数字签名；身份认证：口令、身份认证协议、生物特征；网络安全协议：IPSec、SSL、PGP、S/MIME；网络安全产品与技术：防火墙、VPN；应用程序防护:防病毒、防止缓冲区溢出等。安全措施和技术加密：常规加密、公开密钥加密；安全措施和技术人因攻击：社会工程、盗窃行为；物理攻击：电磁脉冲炸弹等；数据攻击：非法获取数据、篡改数据；身份冒充：IP欺骗、会话重放、会话劫持；非法使用：利用系统的漏洞（缓冲区溢出）；拒绝服务：EMAIL轰炸等。面对的入侵威胁人因攻击：社会工程、盗窃行为；面对的入侵威胁伪装者：未被授权的使用计算机的人（Outside）；违法者：访问没有经过授权的数据、程序和资源的合法用户（Inside）；秘密用户：夺取系统超级控制并使用这种控制权逃避审计和访问控制，或者抑制审计记录的人（Outside&Inside）。入侵者伪装者：未被授权的使用计算机的人（Outside）；入侵者身份认证安全访问控制入侵检测系统防止入侵的手段身份认证防止入侵的手段入侵检测系统存在与发展的必然性网络攻击的破坏性、损失的严重性日益增长的网络安全威胁单纯的防火墙无法防范复杂多变的攻击关于防火墙网络边界的设备，自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部入侵很容易入侵教程随处可见各种工具唾手可得入侵检测系统存在与发展的必然性网络攻击的破坏性、损失的严重性入侵检测技术——概念入侵检测的起点——主机审计入侵检测的定义入侵检测发展的历程IDS分类入侵检测技术——概念入侵检测的起点——主机审计主机审计审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程。审计的目标：确定和保持系统活动中每个人的责任；重建事件；评估损失；监测系统的问题区；提供有效的灾难恢复；阻止系统的不正当使用。主机审计审计技术：产生、记录并检查按时间顺序排列的系统事件记入侵检测的定义对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性；进行入侵检测的软件与硬件的组合便是入侵检测系统；IDS:IntrusionDetectionSystem。入侵检测的定义对系统的运行状态进行监视，发现各种攻击企图、攻入侵检测发展的历程1

1980年4月，JamesP.Anderson《ComputerSecurityThreatMonitoringandSurveillance》（计算机安全威胁监控与监视）第一次详细阐述了入侵检测的概念；计算机系统威胁分类:外部渗透、内部渗透和不法行为；提出了利用审计跟踪数据监视入侵活动的思想；这份报告被公认为是入侵检测的开山之作。入侵检测发展的历程11980年4月，JamesP.入侵检测发展的历程21987年：Dorthy

Denning提出了一种通用的入侵检测模型；Denning提出的模型是一个基于主机的入侵检测模型。首先对主机事件按照一定的规则学习产生用户行为模型（ActivityProfile),然后将当前的事件和模型进行比较，如果不匹配则认为异常。现在的各种入侵检测技术和体系都是在此基础上的扩展和细化。

入侵检测发展的历程21987年：DorthyDennin入侵检测的基础入侵检测的核心Denning的通用入侵检测模型入侵检测的基础入侵检测的核心Denning的通用入侵检测模型事件产生器：根据具体应用环境而有所不同，事件来自审计记录、网络数据包以及其它可视行为，这些事件构成了入侵检测的基础。行为特征表：整个检测系统的核心，包含用于计算用户行为特征的所有变量，这些变量可根据具体采用的统计方法以及事件记录中的具体动作模式而定义，并根据匹配上的记录数据更新变量值。规则模块：由系统安全策略、入侵模式等组成，一方面为判断是否入侵提供参考机制，另一方面可根据事件记录、异常记录以及有效日期等控制并更新其它模块的状态。行为特征模块执行基于行为的检测，而规则模块执行基于知识的检测。

Denning的通用入侵检测模型事件产生器：根据具体应用环境而有所不同，事件来自审计记录、网入侵检测发展的历程31988年，SRI公司CSL实验室的TeresaLunt等人改进了Denning的入侵检测模型，研究出了一个实时入侵检测系统模型IDES（IntrusionDetectionExpertSystem。IDES是一个综合入侵检测系统，同时采用专家系统（误用检测）和统计分析（异常检测）两种检测技术。入侵检测发展的历程31988年，SRI公司CSL入侵检测发展的历程41990，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM（NetworkSecurityMonitor）；该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机；入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS。入侵检测发展的历程41990，加州大学戴维斯分校的L.T.入侵检测发展的历程5商业化IDS产品：CyberCopMonitor,NAINetProwler,SymantecNetRanger,CiscoNID-100/200,NFRSecurityRealSecure,ISS开源IDS项目：Snort：SHADOW：/ISSEC/CID/入侵检测发展的历程5商业化IDS产品：入侵检测的分类（1）按照数据来源：基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机；基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行；混合型。入侵检测的分类（1）按照数据来源：入侵检测的分类（2）按照分析方法（检测方法）

异常检测（AnomalyDetection):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。误用检测（MisuseDetection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。入侵检测的分类（2）按照分析方法（检测方法）

异常检测也称为基于行为的检测建立用户的正常使用模式的知识库，标识出不符合正常模式的行为活动特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵。同时系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源。常用技术统计方法预测模式神经网络异常检测也称为基于行为的检测误用检测也称为基于特征的检测建立已知攻击的知识库，判别当前行为活动是否符合已知的攻击模式特点：采用特征匹配，误用检测能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得误用检测无能为力。常用技术基于简单规则的模式匹配技术基于专家系统的检测技术