入侵检测系统课件

入侵检测系统

111、入侵检测的概念一、什么是入侵检测入侵检测的内容：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。入侵检测（IntrusionDetection）：通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统（IDS）：入侵检测的软件与硬件的组合，是防火墙的合理补充，是防火墙之后的第二道安全闸门。21、入侵检测的概念一、什么是入侵检测入侵检测的内容：试图闯入1、入侵检测的概念：模型一、什么是入侵检测Dennying的通用入侵检测模型。模型缺点是它没有包含已知系统漏洞或攻击方法的知识31、入侵检测的概念：模型一、什么是入侵检测Dennying的1、入侵检测的概念：任务一、什么是入侵检测

·监视、分析用户及系统活动，查找非法用户和合法用户的越权操作；·系统构造和弱点的审计，并提示管理员修补漏洞；·识别反映已知进攻的活动模式并报警，能够实时对检测到的入侵行为进行反应；·异常行为模式的统计分析，发现入侵行为的规律；·评估重要系统和数据文件的完整性；·操作系统的审计跟踪管理，并识别用户违反安全策略的行为。41、入侵检测的概念：任务一、什么是入侵检测·监视、分1、入侵检测的概念一、什么是入侵检测传统安全防范技术的不足传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。入侵检测技术通过对入侵行为的过程与特征的研究使安全系统对入侵事件和入侵过程能做出实时响应。51、入侵检测的概念一、什么是入侵检测传统安全防范技术的不足52、入侵检测的分类一、什么是入侵检测根据所采用的技术可以分为：1）异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。2）特征检测：特征检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。62、入侵检测的分类一、什么是入侵检测根据所采用的技术可以分为2、入侵检测的分类一、什么是入侵检测根据所监测的对象来分：1）基于主机的入侵检测系统（HIDS）：通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是这些系统的弱点之一，入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。2）基于网络的入侵检测系统（NIDS）：通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。72、入侵检测的分类一、什么是入侵检测根据所监测的对象来分：72、入侵检测的分类一、什么是入侵检测根据系统的工作方式分为：1）离线检测系统：离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。2）在线检测系统：在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析，实时主机审计分析。其工作过程是实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。82、入侵检测的分类一、什么是入侵检测根据系统的工作方式分为：3、信息收集一、什么是入侵检测第一步是信息收集，包括系统、网络、数据及用户活动的状态和行为。需要在系统中的不同关键点（网段和主机）收集信息，这样做的理由就是从一个来源的信息有可能看不出疑点，但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。1.系统和网络日志文件2.目录和文件中的不期望的改变3.程序执行中的不期望行为4.物理形式的入侵信息93、信息收集一、什么是入侵检测第一步是信息收集，包括系统、网4、信号分析一、什么是入侵检测对收集到的上述四类信息，通过三种技术手段进行分析：模式匹配：用于实时的入侵检测统计分析：用于实时的入侵检测完整性分析：用于事后分析。104、信号分析一、什么是入侵检测对收集到的上述四类信息，通过三4、信号分析一、什么是入侵检测1.模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。优点：只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。缺点：需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。114、信号分析一、什么是入侵检测1.模式匹配114、信号分析一、什么是入侵检测2.统计分析对系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。例如，某帐户突然在凌晨两点试图登录。优点：可检测到未知的入侵和更为复杂的入侵缺点：误报、漏报率高，不适应用户正常行为的突然改变。统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法。124、信号分析一、什么是入侵检测2.统计分析12一、什么是入侵检测3.完整性分析：利用消息摘要Hash函数计算完整性分析关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被木马、病毒更改的应用程序方面特别有效。检查系统保存有每个文件的数字摘要数据库，通过重新计算文件的数字文摘并与数据库中的值相比较来判断文件是否被修改。优点：攻克文件完整性检查系统，无论是时间上还是空间上都是不可能的。配置灵活，可以有选择地监测重要文件。13一、什么是入侵检测3.完整性分析：利用消息摘要Hash函数计二、入侵检测产品分析文件完整性检查的弱点：一般以批处理方式实现，不用于实时响应。该方法作为网络安全的必要补充，定期运行。文件完整性检查系统依赖于本地的文摘数据库。这些数据可能被入侵者修改。防范对策：将摘要数据库放在只读介质上。文件完整性检查非常耗时。系统正常的升级会带来大量的文件更新。例如，WindowsNT系统中升级MS-Outlook将会带来1800多个文件变化。14二、入侵检测产品分析文件完整性检查的弱点：141、基于网络的入侵检测二、入侵检测产品分析基于网络的入侵检测系统使用原始网络包作为数据源。通常采用四种技术来识别攻击标志：模式、表达式或字节匹配频率或穿越阈值低级事件的相关性统计学意义上的非常规现象检测一旦检测到了攻击行为，IDS的响应模块提供多种选项以通知、报警并对攻击采取相应的反应。通常都包括通知管理员、中断连接，收集证据。151、基于网络的入侵检测二、入侵检测产品分析基于网络的入侵检测1、基于网络的入侵检测二、入侵检测产品分析优点：1）成本低：可在几个关键访问点上进行配置，不要求在各主机上装载并管理软件。2）通过检测数据包的头部可发现基于主机的IDS所漏掉的攻击（如：DOS、碎片包Teardrop攻击）。基于主机的IDS无法查看包的头部。3.攻击者不易销毁证据：可实时记录攻击者的有关信息（不仅包括攻击的方法，还包括可识别黑客身份和对其进行起诉的信息）。黑客一旦入侵到主机内部都会修改审记记录，抹掉作案痕迹。161、基于网络的入侵检测二、入侵检测产品分析优点：161、基于网络的入侵检测二、入侵检测产品分析4.实时检测和响应：可以在攻击发生的同时将其检测出来，并做出更快的响应。例如，对拒绝服务攻击发出TCP复位信号，在该攻击对目标主机造成破坏前将其中断。而基于主机的系统只有在可疑的登录信息被记录下来以后才能识别攻击并做出反应。而这时关键系统可能早就遭到了破坏。5.能检测未成功的攻击和不良意图。基于主机的系统无法查到未遂的攻击，而这些丢失的信息对于评估和优化安全策略至关重要。6.操作系统无关性171、基于网络的入侵检测二、入侵检测产品分析4.实时检测和响1、基于网络的入侵检测二、入侵检测产品分析网络入侵检测系统的弱点：只检查它直接连接网段的通信；为了不影响性能，通常采用简单的特征检测算法，难以实现复杂计算与分析；会将大量的数据传给检测分析系统；难以处理加密会话。目前通过加密通道的攻击尚不多，但这个问题会越来越突出。

181、基于网络的入侵检测二、入侵检测产品分析网络入侵检测系统的2、基于主机的入侵检测二、入侵检测产品分析通常是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律)，入侵检测系统就会采取相应措施。优点：1．比基于网络的IDS更加准确地判断攻击是否成功。2．监视特定的系统活动：监视用户和访问文件的活动，包括文件访问、改变文件权限；记录帐户或文件的变更，发现并中止改写重要系统文件或者安装特洛伊木马的企图。192、基于主机的入侵检测二、入侵检测产品分析通常是安装在被重点2、基于主机的入侵检测二、入侵检测产品分析3．检测被基于网络IDS漏掉的、不经过网络的攻击。4．可用于加密的和交换的环境。交换设备可将大型网络分成许多的小型网络部件加以管理，所以很难确定配置基于网络的IDS的最佳位置。基于主机的入侵检测系统可安装在所需的重要主机上，在交换的环境中具有更高的能见度。由于加密方式位于协议堆栈内，所以基于网络的IDS可能对某些攻击没有反应，基于主机的IDS没有这方面的限制，因为这时数据流已经被解密了。202、基于主机的入侵检测二、入侵检测产品分析3．检测被基于网络2、基于主机的入侵检测二、入侵检测产品分析5．接近实时的检测和响应目前，基于主机的显著减少了从攻击验证到作出响应的时间延迟，大多数情况下，系统能在遭到破坏之前发现并阻止入侵者攻击。6．不要求维护及管理额外硬件设备。7．记录花费更加低廉：尽管很容易就能使基于网络的IDS提供广泛覆盖，但其价格通常是昂贵的。配置一个简单的入侵监测系统要花费$10,000以上，而基于主机的入侵检测系统对于单独－代理标价仅几百美元，并且客户只需很少的费用用于最初的安装。212、基于主机的入侵检测二、入侵检测产品分析5．接近实时的检二、入侵检测产品分析基于主机的入侵检测系统的弱点：1、会降低应用系统的效率。此外，安装了主机入侵检测系统后，扩大了安全管理员访问权限。2、依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能，则必需重新配置。

3、全面布署，代价较大。若部分安装，则存在保护盲点。4、无法监测网络上的情况。对入侵行为的分析的工作量将随着主机数目增加而增加。22二、入侵检测产品分析基于主机的入侵检测系统的弱点：223、混合入侵检测二、入侵检测产品分析基于网络的和基于主机的IDS对攻击的反应方式有：告警、存贮和主动响应。单纯使用一类产品的防御体系是不完整的，两类产品结合起来部署，可以优势互补。既可发现网络中的攻击信息，也可从系统日志中发现异常情况。233、混合入侵检测二、入侵检测产品分析基于网络的和基于主机的I1、技术分类三、入侵检测技术分析入侵检测技术分为两种：特征检测、异常检测。多数IDS以特征检测为主，异常检测为辅。1）特征检测（误用检测、模式发现）假设入侵者活动可以用某种模式来表示，系统的目标是检测主体活动是否与这些模式匹配。关键：入侵模式描述，区分入侵与正常行为。优点：误报少。局限：不能发现未知的攻击。241、技术分类三、入侵检测技术分析入侵检测技术分为两种：特征1、技术分类三、入侵检测技术分析2）异常检测（异常发现）按照统计规律，建立主体正常活动的“简档”，若当前主体活动偏离“简档”相比较，则认为该活动可能是“入侵”行为。例：流量统计分析，将异常时间的异常网络流量视为可疑。难点：建立“简档”；统计算法；异常阈值选择。避免对入侵的误判或漏判。局限性：“入侵”与“异常”并非一一对应。而且系统的轨迹难于计算和更新。251、技术分类三、入侵检测技术分析2）异常检测（异常发现）22、常用检测方法三、入侵检测技术分析IDS常用的检测方法:特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95％是属于使用入侵模板进行模式匹配的特征检测产品，其他5％是采用概率统计的统计检测产品与基于日志的专家知识库系产品。262、常用检测方法三、入侵检测技术分析IDS常用的检测方法:2、常用检测方法三、入侵检测技术分析1）特征检测：对攻击方式作出确定性的描述

事件模式。当被审计的事件与已知的入侵事件模式相匹配时报警。目前常用的是数据包特征模式匹配。准确率高，对付已知攻击。2）统计检测：常用于异常检测。测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。常用的统计模型有：272、常用检测方法三、入侵检测技术分析1）特征检测：对攻击2、常用检测方法三、入侵检测技术分析操作模型：测量结果与一些固定指标（经验值，统计值）相比较，例：在短时间内的多次登录失败，可能是口令尝试攻击；概率模型：计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；或者当概率很低的事件发生时，可能发生入侵。用户历史行为：当用户改变他们的行为习惯时，这种异常就会被检测出来。282、常用检测方法三、入侵检测技术分析操作模型：测量结果与一2、常用检测方法三、入侵检测技术分析3）专家系统：根据专家对可疑行为的经验形成一套推理规则。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构（也可以是复合结构），条件部分为入侵特征，then部分是系统防范措施。292、常用检测方法三、入侵检测技术分析3）专家系统：293、入侵的发展趋势三、入侵检测技术分析多样化与复杂化：采用多种手段，提高成功率。隐蔽化：掩盖攻击者身份和目的。欺骗性：间接攻击；IP地址欺骗攻击规模扩大：电子战与信息战。攻击的分布化：DDoS在很短时间内造成被攻击主机的瘫痪，且在攻击的初期不易被发觉。攻击对象转移：网络

网络防护系统。303、入侵的发展趋势三、入侵检测技术分析多样化与复杂化：采用4、入侵检测技术发展方向三、入侵检测技术分析分布式入侵检测：两层含义1）针对分布式网络攻击的检测方法2）使用分布式的方法来检测分布式的攻击，关键技术为检测信息的协同处理解决异构系统及大规模网络的入侵检测，发展分布式入侵检测技术与通用入侵检测架构。智能化入侵检测：314、入侵检测技术发展方向三、入侵检测技术分析分布式入侵检测三、入侵检测技术分析神经网络、遗传算法、模糊技术、免疫原理等方法，用于入侵特征的辨识。利用专家系统，具有自学习能力，实现知识库的不断更新与扩展。应用智能体(Agent)技术进行入侵检测。应该将常规高效的IDS与智能检测模块结合使用。应用层入侵检测：许多入侵的语义只有在应用层才能理解。使IDS不仅能检测Web类的通用协议，还能处理如LotusNotes、数据库系统等其他的应用系统。32三、入侵检测技术分析神经网络、遗传算法、模糊技术、免疫原理等1、入侵检测的评估四、入侵检测产品1)能保证自身的安全。2)系统运行与维护的开销小。3)误报率和漏报率要低。4)支持多种网络，对网络性能影响小。5)能检测的入侵特征数量。6)是否支持IP碎片重组、TCP流重组。TCP流重组是网络IDS分析应用层协议的基础。如检查邮件内容、附件，FTP数据，非法HTTP请求等。331、入侵检测的评估四、入侵检测产品1)能保证自身的安全。32、入侵检测的产品四、入侵检测产品Cisco公司的NetRanger传感器(sensor)：采集数据（网络包、日志），分析数据，发出报警信息等。控制台(console)：图形化界面，中央管理机构。接收报警，启动对策。NetworkAssociates公司的CyberCopInternetSecuritySystem公司的RealSecure

342、入侵检测的产品四、入侵检测产品Cisco公司的NetRa3、入侵检测产品选择要点四、入侵检测产品1.系统的价格2.特征库升级与维护的费用3.网络IDS的最大可处理流量(包/秒PPS)

4.漏报率、误报率5.产品的可伸缩性：系统支持的传感器数目、入侵特征库大小、传感器与控制台之间通信带宽，对审计日志溢出的处理。353、入侵检测产品选择要点四、入侵检测产品1.系统的价格35四、入侵检测产品6.运行与维护系统的开销：