第讲入侵检测系统

第8章入侵检测技术什么是入侵监测处于防火墙之后对网络活动进行实时检测入侵监测系统与传统的系统扫描器的区别对入侵行为的发觉，通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象IDS的起源和定义两个阶段安全审计IDS的诞生入侵检测的定义识别针对计算机或网络资源的恶意企图和行为，并对此作出反应的过程IDS一般包括个3部分IDS信息的收集和预处理入侵分析引擎响应和恢复系统入侵检测的起源审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程审计的目标确定和保持系统活动中每个人的责任重建事件评估损失监测系统的问题区提供有效的灾难恢复阻止系统的不正当使用入侵监测的功能监测并分析用户和系统的活动核查系统配置和漏洞评估系统关键资源和数据文件的完整性识别已知的攻击行为统计分析异常行为操作系统日志管理，并识别违反安全策略的用户活动可以确定事件发生的位置，帮你记录下攻击过程，有助于确定解决方案

利用入侵检测保护网络应用DMZ

E-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部攻击警告!记录攻击外部攻击终止连接利用入侵检测保护网络应用DMZ

E-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继内部攻击行为警告!启动事件日志,发送消息利用入侵检测保护网络应用DMZ

E-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部攻击商务伙伴警告!记录进攻,发送消息,终止连接外部攻击中止连接重新配置路由或防火墙以便隐藏IP地址IDSv.s.FirewallSystem防火墙的弱点防火墙只能抵挡外部來的入侵行为防火墙本身可能也存在弱点，以及其他安全性的设定错误即使透过防火墙的保护，合法的使用者仍会非法地使用系统，甚至提升自己的权限防火墙仅能拒绝非法的连接請求，但是对于入侵者的攻击行为仍一无所知IDS的重要性防止防火墙和操作系统与应用程序的设定不当监测某些被防火墙认为是正常连接的外部入侵了解和观察入侵的行为意图，并收集其入侵方式的资料监测內部使用者的不当行为及时阻止恶意的网络行为IDS的分类根据资料收集的方式区分网络级IDS Network-BasedIDS主机级IDS Host-BasedIDS混合入侵检测根据所使用的监测方式区分误用监测型IDS MisuseIDS异常监测型IDS AnomalyIDS网络级IDS网络级IDS能够截获网络中的数据包，提取其特征并与知识库中已知的攻击签名相比较从而达到检测的目的会扫描整个网段中所有传输的信息来确定网络中实时的活动同时充当管理者和代理的身份很容易安装和实施性能网络入侵检测产品的架构传感器(Sensor)传感器负责采集数据(网络包、系统日志等)、分析数据并生成安全事件控制台(Console)控制台主要起到中央管理的作用，商品化的产品通常提供图形界面的控制台，这些控制台基本上都支持WindowsNT平台利用入侵检测保护网络应用DMZ

E-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部攻击警告!记录攻击外部攻击终止连接利用入侵检测保护网络应用DMZ

E-Mail

FileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继内部攻击行为警告!启动事件日志,发送消息利用技入侵停检测门保护再网络芦应用DM谨ZE-喜Ma暴il案F厉il逆e甘Tr动an峰sf近erHT伍TPIn塌tr拾an惑et企业僚网络生产画部工程蔑部市场跪部人事后部路由In腥te秒rn茎et中继外部攻击商务伙伴警告!记录进攻,发送消息,终止连接外部攻击中止连接重新配置路由或防火墙以便隐藏IP地址InternetDe箭sk汪to捧psWe府b统Se饺rv植er俯sTe拆le忆co贤mm园ut扒er伴sCu旅st近om株er朴sSe某rv姿er粥sNe讽tw终or绢kBr凤an云ch嘉O学ff割ic划ePa晒rt亮ne饮rsNe辰tw乏or稀k-酒ba好se债d粪ID仗SNe亚tw杂or菊k-标ba请se毒d体ID伞SNe恋tw颂or胃k-里ba屡se眠d渴ID捉SNe旦tw动or未k-如ba汤se腔d入侵检测In锣te浮rn绑etNI黄DS网络洲服务要器1数据秀包=包头考信息+有效矮数据饲部分客户焦端网络颜服务铺器2X检测谅内容楚：包头随信息+有效痛数据销部分基于鞭网络悬入侵滋检测生系统晌工作统原理网络辞级ID诊S的优点成本较低可监测到主机泼级ID惭S监测不到段的活动黑客消朴除入侵除证据摸较困退难可监测到未骨成功犁或恶意的入嘱侵攻击与操挖作系旋统无燃关网络蹲级ID苍S的缺点若网络的规模岁过大，ID版S往往会丢陪失許多意包，无法完全监控扶网络上所联有的数据若要采集大型网络上的棒流量并加吉以分析查，往方往需牙要更狭有效质率的CP存U处理速度码，以梁及更挡大的内存空間Se踏ss算io纲n丽Wa塞ll主机停级ID颂S分析奶所需都数据撒来自历主机志系统勇，通宫常是遗系统瓣日志元和审流计记释录通常乔需要条在受霜保护粥的主萍机上总安装和专门滔的检过测代锹理(A碍ge敬nt刘)特殊窄的考档虑管理纱者和遣代理荣的比胃例理想麦的代北理布战局管理沃者和估代理浇的通衫信InternetDe蓝sk念to烘psWe榆b含Se客rv寻er晃sTe主le恒co拴mm钳ut凳er残sCu讯st没om奏er独sSe党rv脖er洞sNe谁tw脖or覆kBr好an省ch码O辱ff视ic山ePa梳rt咱ne治rsHa直ck他erHo炮st悼-b乐as否ed马I再DSHo刮st诊-b赞as宪ed粘I仁DSHo卷st扑-b拐as碑ed入侵检测In很te羊rn赚et网络旦服务抖器1客户坟端网络王服务啄器2X检测明内容讯：系统辫调用监、端庭口调婚用、慈系统闸日志搏、安沿全审碰记、压应用要日志HI幸DSXHI夕DS基于督主机权入侵伤检测山系统姜工作每原理主机永级ID磨S的优点确认驼黑客是鼓否成奔功入降侵监测特定在主机系祝统的活动弥补算网络鱼级ID逢S错失券监测的入纳侵事忙件较适台合有加抱密及交换厦机﹝S从wi哄tc梅h﹞的环境实时（Ne膏arre目al哲ti偿me）的监测权与反搅应不需阔另外手增加硬件低设备主机宽级ID枝S的缺点所有兵的主机可能期安裝溉不同词版本终或完滤全不擦同的操作且系统，而这些操作椅系统有各种不同颈的审核劲记录，因泰此必咱須针对各不娃同主机安裝各种HI滚DS入侵税者可宿能经由其迅他的系棋统漏洞饲入侵并得到系统管理员权牙限，那么將会导致HI衬DS失去订其效臂用Ho委st阳-b洞as瓦edID道Ss可能会因为de过ni巷al累-o提f-砍se愧rv鬼ic俗e而失销去作膛用网络软节点脏入侵近检(N银NI娃DS鱼)也称强为St访ac咽k-缴Ba在se勒d占ID镜S安装吊在网苗络节假点的主主机你中结合撇了NI岩DS和HI梨DS的技浩术适合葛于高贴速交孝换环飞境和誓加密建数据另一烛种分通类方劳法误用随检测梯型(M歼is患us筹e区De冒te据ct溪io聚n)通过勺对比五已知傍攻击欺手段验及系晚统漏传洞的息签名匙特征纽奉来判匆断系轿统中很是否译有入颠侵发忠生。对于江已知弟的攻乔击类凡型非欧常有上效对攻街击的地变种泽和新茎的攻伏击几侮乎无港能为驳力异常错检测涨型(An胆om欺alDe谜te售ct拨io泛n)利用悦统计今的方典法来老检测抱系统范的异耕常行稠为有效演性与愧误用痕检测墙型刚袜好相会反ID榆S的部损署NI茶DS的位斗置必贝须要敢看到承所有仪数据棕包共享帅媒介HU歪B交换答环境隐蔽似模式千兆屑网分布捕式结赖构Se置ns茫orCo端ns突ol浪e共享借网络择中的己部署集线帖器ID熟S航Se移ns炕or受监栗控的熄服务移器控制贺台交换掏环境睬中NI锐DS的部谨署交换希机ID誉S目Se越ns母or受监名控的浩服务半器控制览台ID诵S在网果络中裹的位隔置示瓜例InternetDB区域1区域5区域4区域3区域2We创b服务率器Ma孩il服务驶器服务泡器人事挽部研发当部非信任域信任域ID电S原理头和配堡置ID谎S的数梢据源ID先S模型ID素S技术夸细节入侵虏检测笋技术心发展桑方向ID支S存在堡的问舒题ID傻S躲避喘技术ID孝S的数仪据源入侵郊检测危的第饶一步入侵奶检测尘利用夏的数插据一车般来钞自以零下几牲个信臂息源主机语系统剃信息网络逆信息其他喘安全便产品入侵策检测番技术如发展沸方向发展羽与演抱化主体要反盟映:入侵丧或攻垃击的英综合颤化与叉复杂挡化入侵锈主体模对象探的间休接化入侵肆或攻塘击的过规模爽扩大入侵剃或攻泪击技旅术的溉分布杆化攻击嫩对象雁的转谦移发展标倾向分布认式入霜侵检灯测智能盼化入箩侵检全面仇的安佩全防狭御方抱案入侵请检测栽应该乐与操模作系烂统绑资定ID博S发展塌方向学术痒界re倡ta相li誓at迷io注n神经歇网络数据菠挖掘仰（Da掀ta所M胁in智in告g）工业愧界检测便算法关联撑性（co膊rr类el权at灭io读n）千兆裹网络ID秩SID燥S存在躁的问随题ID额S技术侧主要桌面临笼着三液大挑尊战如何借提高孟入侵摄检测徐系统这的检怜测速疤度，犁以适椒应网通络通坏信的乓要求如何避减少惧入侵泄检测音系统颠的漏玻报和茎误报驴，提惕高其湖安全拿性和增准确追度提高岁入侵滔检测谜系统姓的互圆动性啊能，犁从而涌提高洪整个距系统黎的安童全性念能解析ID门S误报ID校S误报里的典浓型情蚁况解决虑误报贡和误跪警问书题的肾对策将基思于异裙常的盾技术屋和传纤统的轰基于冻特征距的技衰术相载结合将协疏议分治析技显术与钉和传诞统的灵基于仪特征甩的技读术相陶结合强化ID逼S的安骨全管碰理功翅能ID刮S躲避榆技术字符展串匹掘配的窑弱点多变sh伙el悔l代码(p蓄ol感ym尝or境ph贼ic证s徐he议ll火c宴od顽e)会话版拼接(s春es贿si评on订s贼pl对ic型in榜g)碎片饲攻击碎片龙覆盖碎片咏数据耳覆盖碎片割超时拒绝咬服务入侵节检测俊产品Ax丙en要tIn贷tr贝ud馋erAl稳er名t(莲ht朱tp如:/秀/w蔽ww伴.a汽xe挑nt训.c洒om/)Ci捞sc住oNe县tR颂an尺ge变r(满ht睛tp住:/秩/w祝ww火.c捐is抱co痛.c乡丰om/)IS咳SRe宪al州Se怠cu仰re模(h禁tt可p:宅//贱ww麻w.压is伏s.婆ne税t/)Co也mp匆ut轻er嫂A瘦ss训oc本ia法te齿s’eT兰ru教stIn汇tr烧us米io成n矮De使te潮ct掘io候n(讲fo摘rm搁er幸lySe隙ss味io虑nW召al渣l3)Co绘mp艇u