入侵检测系统演示文稿

入侵检测系统演示文稿当前第1页\共有42页\编于星期二\2点入侵检测系统当前第2页\共有42页\编于星期二\2点黑客攻击日益猖獗,防范问题日趋严峻政府、军事、邮电和金融网络是黑客攻击的主要目标。即便已经拥有高性能防火墙等安全产品，依然抵挡不住这些黑客对网络和系统的破坏。据统计，几乎每20秒全球就有一起黑客事件发生，仅美国每年所造成的经济损失就超过100亿美元。当前第3页\共有42页\编于星期二\2点网络入侵的特点网络入侵的特点没有地域和时间的限制；通过网络的攻击往往混杂在大量正常的网络活动之间，隐蔽性强；入侵手段更加隐蔽和复杂。当前第4页\共有42页\编于星期二\2点为什么需要IDS？单一防护产品的弱点防御方法和防御策略的有限性动态多变的网络环境来自外部和内部的威胁当前第5页\共有42页\编于星期二\2点为什么需要IDS？关于防火墙网络边界的设备，只能抵挡外部來的入侵行为自身存在弱点，也可能被攻破对某些攻击保护很弱即使透过防火墙的保护，合法的使用者仍会非法地使用系统，甚至提升自己的权限仅能拒绝非法的连接請求，但是对于入侵者的攻击行为仍一无所知当前第6页\共有42页\编于星期二\2点为什么需要IDS？入侵很容易入侵教程随处可见各种工具唾手可得当前第7页\共有42页\编于星期二\2点入侵检测的概念入侵检测（IntrusionDetection）：通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统（IDS）：入侵检测系统是软件与硬件的组合，是防火墙的合理补充，是防火墙之后的第二道安全闸门。入侵检测的内容：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。当前第8页\共有42页\编于星期二\2点入侵检测的职责IDS系统主要有两大职责：实时检测和安全审计，具体包含4个方面的内容识别黑客常用入侵与攻击监控网络异常通信鉴别对系统漏洞和后门的利用完善网络安全管理

当前第9页\共有42页\编于星期二\2点入侵检测系统的功能监控用户和系统的活动查找非法用户和合法用户的越权操作检测系统配置的正确性和安全漏洞评估关键系统和数据的完整性识别攻击的活动模式并向网管人员报警对用户的非正常活动进行统计分析，发现入侵行为的规律操作系统审计跟踪管理，识别违反政策的用户活动检查系统程序和数据的一致性与正确性当前第10页\共有42页\编于星期二\2点入侵检测系统模型(Denning)当前第11页\共有42页\编于星期二\2点入侵检测系统模型(CIDF)当前第12页\共有42页\编于星期二\2点入侵检测系统的组成特点入侵检测系统一般是由两部分组成：控制中心和探测引擎。控制中心为一台装有控制软件的主机，负责制定入侵监测的策略，收集来自多个探测引擎的上报事件，综合进行事件分析，以多种方式对入侵事件作出快速响应。探测引擎负责收集数据，作处理后，上报控制中心。控制中心和探测引擎是通过网络进行通讯的，这些通讯的数据一般经过数据加密。当前第13页\共有42页\编于星期二\2点入侵检测的工作过程信息收集检测引擎从信息源收集系统、网络、状态和行为信息。信息分析从信息中查找和分析表征入侵的异常和可疑信息。告警与响应根据入侵性质和类型，做出相应的告警和响应。当前第14页\共有42页\编于星期二\2点信息收集入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，这样做的理由就是从一个来源的信息有可能看不出疑点，但从几个来源的信息的不一致性却是可疑行为或入侵的最好标识。当前第15页\共有42页\编于星期二\2点信息收集入侵检测的效果很大程度上依赖于收集信息的可靠性和正确性要保证用来检测网络系统的软件的完整性特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息当前第16页\共有42页\编于星期二\2点信息收集系统和网络日志文件目录和文件中的不期望的改变程序执行中的不期望行为物理形式的入侵信息当前第17页\共有42页\编于星期二\2点信息分析模式匹配----误用检测（MisuseDetection）维护一个入侵特征知识库准确性高统计分析--------异常检测（AnomalyDetection）统计模型误报、漏报较多完整性分析关注某个文件或对象是否被更改事后分析18当前第18页\共有42页\编于星期二\2点模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）当前第19页\共有42页\编于星期二\2点统计分析统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）测量属性的平均值和偏差被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生当前第20页\共有42页\编于星期二\2点完整性分析完整性分析主要关注某个文件或对象是否被更改包括文件和目录的内容及属性在发现被更改的、被安装木马的应用程序方面特别有效当前第21页\共有42页\编于星期二\2点响应动作主动响应被动响应当前第22页\共有42页\编于星期二\2点入侵检测性能关键参数误报(falsepositive)：如果系统错误地将异常活动定义为入侵漏报(falsenegative)：如果系统未能检测出真正的入侵行为当前第23页\共有42页\编于星期二\2点入侵检测系统分类（一）按照分析方法（检测方法）异常检测模型（AnomalyDetection):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵误用检测模型（MisuseDetection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵24当前第24页\共有42页\编于星期二\2点异常检测模型如果系统错误地将异常活动定义为入侵，称为误报(falsepositive)；如果系统未能检测出真正的入侵行为则称为漏报(falsenegative)。特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵。同时系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源。当前第25页\共有42页\编于星期二\2点误用检测模型如果入侵特征与正常的用户行为能匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报。特点：采用特征匹配，误用检测能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得误用检测无能为力。当前第26页\共有42页\编于星期二\2点入侵检测系统分类（二）根据检测对象分类基于主机的IDS（Host-BasedIDS）HIDS一般主要使用操作系统的审计日志作为主要数据源输入，试图从日志判断滥用和入侵事件的线索。基于网络的IDS（Network-BasedIDS）NIDS在计算机网络中的关键点被动地监听网络上传输的原始流量，对获取的网络数据进行分析处理，从中获取有用的信息，以识别、判定攻击事件。混合型IDS当前第27页\共有42页\编于星期二\2点基于网络的IDS（NIDS）是网络上的一个监听设备通过网络适配器捕获数据包并分析数据包根据判断方法分为基于知识的数据模式判断和基于行为的行为判断方法能够检测超过授权的非法访问IDS发生故障不会影响正常业务的运行配置简单当前第28页\共有42页\编于星期二\2点基于主机的IDS（HIDS）HIDS是配置在被保护的主机上的，用来检测针对主机的入侵和攻击主要分析的数据包括主机的网络连接状态、审计日志、系统日志。实现原理配置审计信息系统对审计数据进行分析(日志文件)当前第29页\共有42页\编于星期二\2点NIDS和HIDS比较当前第30页\共有42页\编于星期二\2点入侵检测的分类(混合IDS)基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体系，综合了基于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中的攻击信息，也可从系统日志中发现异常情况。当前第31页\共有42页\编于星期二\2点入侵检测系统分类（三）根据系统工作方式来分：在线入侵检测(IPS)，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。离线入侵检测，根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。当前第32页\共有42页\编于星期二\2点入侵检测的部署IDS的部署模式：共享媒介HUB交换环境隐蔽模式Tap模式In-line模式当前第33页\共有42页\编于星期二\2点入侵检测的部署检测器部署位置放在边界防火墙之内放在边界防火墙之外放在主要的网络中枢放在一些安全级别需求高的子网当前第34页\共有42页\编于星期二\2点入侵检测的部署部署一Internet部署二部署三部署四当前第35页\共有42页\编于星期二\2点入侵检测的部署检测器放置于防火墙的DMZ区域可以查看受保护区域主机被攻击状态可以看出防火墙系统的策略是否合理可以看出DMZ区域被黑客攻击的重点当前第36页\共有42页\编于星期二\2点入侵检测的部署检测器放置于路由器和边界防火墙之间可以审计所有来自Internet上面对保护网络的攻击数目可以审计所有来自Internet上面对保护网络的攻击类型当前第37页\共有42页\编于星期二\2点入侵检测的部署检测器放在主要的网络中枢监控大量的网络数据，可提高检测黑客攻击的可能性可通过授权用户的权利周界来发现未授权用户的行为当前第38页\共有42页\编于星期二\2点当前主流产品介绍ComputerAssociates公司SessionWall-3/eTrustIntrusionDetectionCisco公司NetRangerIDSIntrusionDetection公司KaneSecurityMonitorAxentTechnologies公司OmniGuard/IntruderAlert当前第39页\共有42页\编于星期二\2点当前主流产品介绍InternetSecuritySystem公司RealSecureNFR公司IntrusionDetectionApplicance4.0中科网威“天眼”入侵检测系统启明星辰SkyBell(天阗）免费开源软件snort当前第40页\共有42页\编于星期二\2点入侵测系统的优点入侵