当前位置:文档之家 › 入侵检测系统

入侵检测系统

  • 格式:ppt
  • 大小:360.50 KB
  • 文档页数:24

下载文档原格式

  / 24

合集下载

第五章入侵检测系统

第五章入侵检测系统

历史 用户当前操作
入侵 检测
专家 知识
断开连接
收集证据 数据恢复
图2 事后入侵检测原理
8.1.3 入侵检测一般步骤
入侵检测的一般过程包括数据提取、数据分析和事件响应。 1.入侵数据提取(信息收集) 主要是为系统提供数据,提取的内容包括系统、网络、 数据及用户活动的状态和行为。需要在计算机网络系统中的 若干不同关键点(不同网段和不同主机)收集信息。一是尽 可能扩大检测范围,二是检测不同来源的信息的一致性。入 侵检测很大程度上依赖于收集信息的可靠性和正确性。 入侵检测数据提取可来自以下4个方面。 (1)系统和网络日志; (2)目录和文件中的的改变; (3)程序执行中的不期望行为; (4)物理形式的入侵信息。
8.1.2入侵检测原理

入侵检测可分为实时入 侵检测和事后入侵检测, 其原理分别如图1和图2 所示。 实时入侵检测在网络连 接过程中进行,系统根 据用户的历史行为模型、 存储在计算机中的专家 知识以及神经网络模型 对用户当前的操作进行 判断,一旦发现入侵迹 象立即断开入侵者与主 机的连接,并收集证据 和实施数据恢复。
8.1.1 入侵检测系统的产生


审计技术:产生、记录并检查按时间顺序排列的系统事件记 录的过程。 国际上在20世纪70年代就开始了对计算机和网络遭受攻击进 行防范的研究,审计跟踪是当时的主要方法。1980年4月, James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》(计算 机安全威胁监控与监视)的技术报告,这份报告被公认为是 入侵检测的开山之作,报告里第一次详细阐述了入侵检测的 概念。他提出了一种对计算机系统风险和威胁的分类方法, 并将威胁分为外部渗透、内部渗透和不法行为三种,还提出 了利用审计跟踪数据,监视入侵活动的思想。 1984~1986年入侵检测专家系统产生。 商业的入侵检测系统一直到了20世纪80年代后期才出现,但 总的看来,现在对IDS的研究还不够深入,产品的性能也有 待提高。

入侵检测系统

入侵检测系统
IDS。后又出现分布式IDS。目前,IDS发展迅速,已有人宣称IDS可以 完全取代防火墙。
入侵检测系统的组成
IETF(互联网工程任务组—The Internet Engineering Task Force)将一个入侵检测系统分为四个组件: • 事件产生器(Event generators):目的是从整个计算环境中获得 事件,并向系统的其他部分提供此事件。 • 事件分析器(Event analyzers):分析得到的数据,并产生分析 结果。 • 响应单元(Response units ):对分析结果作出作出反应的功能 单元,它可以作出切断连接、改变文件属性等强烈反应,也可以 只是简单的报警。 • 事件数据库(Event databases ):存放各种中间和最终数据的 地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
入侵检测系统的简介
入侵检测系统的特点:ຫໍສະໝຸດ • • • 不需要人工干预即可不间断地运行 有容错功能 不需要占用大量的系统资源 能够发现异于正常行为的操作 能够适应系统行为的长期变化 判断准确 灵活定制 保持领先 IDS对数据的检测; 对IDS自身攻击的防护。 由于当代网络发展迅速,网络传输速率大大加快,这造成了IDS工作 的很大负担,也意味着IDS对攻击活动检测的可靠性不高。而IDS在应对 对自身的攻击时,对其他传输的检测也会被抑制。同时由于模式识别技 术的不完善,IDS的高虚警率也是它的一大问题。
IDS的缺点:
6.1.3 入侵行为误判 入侵行为的误判分为正误判、负误判和失控误判三种类型。 • 正误判:把一个合法操作判断为异常行为;


负误判:把一个攻击行为判断为非攻击行为并允许它通过检测;
失控误判:是攻击者修改了IDS系统的操作,使他总是出现负误判;

常见的网络入侵检测系统(IDS)和入侵防御系统(IPS)

常见的网络入侵检测系统(IDS)和入侵防御系统(IPS)

常见的网络入侵检测系统(IDS)和入侵防御系统(IPS)网络入侵检测系统(Intrusion Detection System,IDS)和入侵防御系统(Intrusion Prevention System,IPS)是当今网络安全领域中非常重要的组成部分。

它们被广泛应用于各种网络环境中,包括企业网络、个人用户网络等。

本文将介绍一些常见的网络入侵检测系统和入侵防御系统,并探讨它们的工作原理和应用。

一、网络入侵检测系统(IDS)网络入侵检测系统用于监测网络中的异常活动和入侵行为。

它通过分析网络流量和系统日志来发现潜在的入侵事件,并及时进行警报。

IDS可以分为两种类型:基于签名的IDS和基于行为的IDS。

1.1 基于签名的IDS基于签名的IDS使用预定义的规则集合(也称为签名)来检测已知的入侵行为。

这些规则基于已知的攻击模式和攻击者使用的特定工具或技术。

当网络流量或系统日志与这些签名匹配时,IDS会发出警报。

1.2 基于行为的IDS基于行为的IDS通过对网络流量和系统行为的实时监测来检测未知的入侵行为。

它使用机器学习和行为分析算法来建立正常网络活动的基线,当检测到偏离基线的行为时,IDS会发出警报。

二、入侵防御系统(IPS)入侵防御系统与入侵检测系统类似,但不仅仅是检测入侵行为,还可以主动地阻止潜在的攻击。

IPS可以分为两种类型:基于规则的IPS和基于行为的IPS。

2.1 基于规则的IPS基于规则的IPS使用与IDS相似的签名规则集合来检测已知的入侵行为,并采取相应的阻止措施,比如阻止源IP地址或关闭特定的网络服务。

它可以在实时中断攻击流量或阻断攻击者与目标之间的连接。

2.2 基于行为的IPS基于行为的IPS通过分析网络流量和系统行为来检测未知的入侵行为,并采取相应的阻止措施。

它使用机器学习和行为分析算法来建立正常网络活动的基线,并监测偏离基线的行为。

当检测到异常行为时,IPS会实时采取措施进行防御。

第3章 入侵检测系统

第3章 入侵检测系统

活动简档
保存主体正常活动的有关信息,具体实现依赖 于检测方法 随机变量:
1. 事件计数器(Event Counter):简单地记录特定事件的发 (Event Counter): 生次数 2. 间隔计时器(Interv计量器(Resource Measure):记录某个时间内特定 动作所消耗的资源量
代理
代理应该安装在像数据库、Web服务器、DNS 服务器和文件服务器等重要的资源上 适合放置代理资源的列表
1 1、账号、人力资源和研发数据库 2、局域网和广域网的骨干,包括路由器和交换机 3、临时工作人员的主机 4、SMTP,HTTP和FTP服务器 5、Modem池服务器和交换机、路由器、集线器 6、文件服务器 7、新的网络连接设备
管理式入侵检测模型
基于SNMP的IDS模型,简称SNMP-IDSM
攻击者采取的步骤
使用端口扫描、操作系统检测或者其他黑客工 具收集目标有关信息 寻找系统漏洞并利用这些漏洞 攻击成功,清除日志记录或隐藏自己 安装后门 使用已攻破的系统作为跳板入侵其他主机
SNMP-IDSM的五元组
<WHERE, WHEN, WHO, WHAT, HOW> WHERE:描述产生攻击的位置 WHEN:事件的时间戳 WHO:表明IDS观察到的事件 WHAT:记录详细信息,如协议类型、协议说明 数据等 HOW:用来连接原始事件和抽象事件
异常记录
用以表示异常事件的发生情况 格式为: <Event, Time-stamp, Profile>,含义: 1. Event: 指明导致异常的事件,如审计数据 2. Time-stamp: 产生异常事件的时间戳 3. Profile: 检测到异常事件的活动简档
活动规则

网络安全防护的入侵检测系统

网络安全防护的入侵检测系统

网络安全防护的入侵检测系统随着互联网的普及和网络技术的快速发展,我们越来越依赖于网络来完成各种任务和活动。

然而,网络的普及也带来了一系列安全威胁,如入侵、黑客攻击等。

因此,建立有效的网络安全防护措施变得非常重要。

其中,入侵检测系统(Intrusion Detection System,IDS)作为网络安全防护的重要组成部分,具有检测和应对网络入侵的功能,对于保护网络安全具有巨大的意义。

一、入侵检测系统的概念和作用入侵检测系统是一种监视网络或系统中异常活动的安全设备,它的作用是检测和分析网络中的恶意行为和入侵事件,并及时采取应对措施。

入侵检测系统通过监控网络流量、分析日志和异常行为等手段,发现并警报任何可能的入侵事件,从而及时保护网络安全。

二、入侵检测系统的分类根据工作原理和部署位置的不同,入侵检测系统可以分为主机入侵检测系统(Host-based IDS)和网络入侵检测系统(Network-based IDS)两种类型。

1. 主机入侵检测系统主机入侵检测系统部署在主机上,通过监视主机行为,检测并分析主机上的异常活动。

主机入侵检测系统能够捕获主机级别的信息,如文件修改、注册表变化、系统文件损坏等。

它主要用于检测主机上的恶意软件、病毒、木马等威胁,并能及时阻止它们对系统的进一步侵害。

2. 网络入侵检测系统网络入侵检测系统部署在网络上,通过监视网络流量,检测并分析网络中的异常活动。

网络入侵检测系统能够捕获网络层次的信息,如IP地址、端口号、协议类型等。

它主要用于检测网络流量中的入侵行为、DDoS攻击、端口扫描等,并能及时阻止它们对网络的进一步侵害。

三、入侵检测系统的工作原理入侵检测系统主要通过以下几个步骤来实现入侵检测和预防:1. 监控和收集信息入侵检测系统通过监控网络流量、日志和系统行为等方式,收集和获取信息。

网络入侵检测系统可以通过流量分析技术、协议分析技术等来获取数据,而主机入侵检测系统则可以通过监视主机上的日志和系统行为来获取数据。

入侵检测系统简介

入侵检测系统简介

入侵检测系统简介入侵检测系统(Intrusion Detection System,简称IDS)是一种用于保护计算机网络免受未经授权的访问和恶意攻击的安全工具。

它通过监控和分析网络流量以及系统日志,识别出潜在的入侵行为,并及时生成警报,帮助管理员采取适当的措施保护网络的安全。

一、入侵检测系统的作用入侵检测系统主要具有以下几个作用:1. 发现未知入侵行为:入侵检测系统可以分析网络流量和系统日志,通过与已知的入侵特征进行比较,识别出未知的入侵行为。

这有助于及时发现并应对新型的攻击手段。

2. 预防未知威胁:IDS可以根据已知的威胁情报对网络流量进行实时分析,从而及早发现潜在的威胁。

管理员可以通过及时更新系统规则和策略来增强网络的安全性,提前避免可能的攻击。

3. 提供实时警报和反馈:IDS能够实时监控网络流量和系统状态,并及时发出警报。

这可以帮助管理员快速响应并采取适当的措施,以减少潜在的损害或数据泄露。

4. 支持安全审计和合规性要求:入侵检测系统可以记录网络活动并生成详细的日志报告,为安全审计提供可靠的数据。

此外,IDS还可以帮助组织满足合规性要求,如GDPR、HIPAA等。

二、入侵检测系统的类型根据工作原理和部署方式的不同,入侵检测系统可以分为以下几类:1. 签名型入侵检测系统(Signature-based IDS):这种类型的IDS使用已知的攻击特征来检测入侵行为。

它会将已知的攻击签名与网络流量进行比对,如果匹配成功,则判断为入侵。

由于该类型IDS需要事先定义并更新大量的攻击签名,因此对于未知的攻击手段无法有效检测。

2. 基于异常行为检测的入侵检测系统(Anomaly-based IDS):这类IDS会建立正常网络活动的行为模型,并通过与该模型的比较来检测异常行为。

它可以及时发现未知的入侵行为,但也容易产生误报。

该类型IDS需要较长时间的学习和适应阶段,并需要不断调整和优化行为模型。

3. 巚杂入侵检测系统(Hybrid IDS):这是一种结合了签名型和基于异常行为检测的入侵检测系统的混合型IDS。

入侵检测系统 IDS

性。
集中式架构
通过中心节点收集和处理网络中所 有节点的数据,实现全局检测和响 应,适用于规模较小的网络。
混合式架构
结合分布式和集中式架构的优点, 实现分层检测和响应,提高检测效 率和准确性,同时降低误报率。
设备配置与参数设置
设备选型
根据网络规模、流量、安 全需求等因素,选择适合 的IDS设备,如硬件IDS、 软件IDS或云IDS等。
数据分析
IDS使用各种检测算法和技术,如模 式匹配、统计分析、行为分析等,对 收集到的数据进行分析,以识别潜在 的攻击行为或异常活动。
响应与记录
IDS可以采取自动或手动响应措施, 如阻断攻击源、通知管理员等,并记 录相关活动以供后续分析和调查。
常见类型与特点
基于网络的IDS(NIDS)
NIDS部署在网络中,通过监听网络流量来检测攻击。它可以实时监测并分析网络数据包 ,以识别潜在的攻击行为。NIDS具有部署灵活、可扩展性强的特点。
参数配置
根据网络环境和安全策略 ,配置IDS设备的参数,如 检测规则、阈值、日志存 储等。
设备联动
将IDS设备与其他安全设备 (如防火墙、SIEM等)进 行联动,实现安全事件的 自动响应和处置。
数据收集、处理和分析流程
数据收集
通过镜像、分流等方式,将网 络流量数据收集到IDS设备中。
数据处理
对收集到的数据进行预处理, 如去重、过滤、格式化等,以 便于后续的分析和检测。
新兴技术对IDS的影响和启示
人工智能和机器学习
通过应用人工智能和机器学习技术,IDS可以实现对网络 流量的智能分析和威胁的自动识别,提高检测效率和准确 性。
大数据分析技术
借助大数据分析技术,IDS可以对海量数据进行深入挖掘 和分析,发现隐藏在其中的威胁和异常行为。

网络安全的入侵检测系统

网络安全的入侵检测系统随着互联网的普及和发展,网络安全问题变得愈发突出。

为了保护用户信息和确保网络环境的安全稳定,各种安全技术应运而生。

其中,入侵检测系统(Intrusion Detection System,简称IDS)是一种重要的安全防护措施。

本文将介绍网络安全的入侵检测系统及其作用、分类和实现原理。

一、入侵检测系统的概述入侵检测系统(Intrusion Detection System)是一种通过对网络流量进行监控、检测和分析,来寻找并应对可能的入侵行为的安全设备。

其主要作用是帮助网络管理员发现和响应各种针对网络系统的威胁和攻击,以降低网络系统被入侵的风险。

二、入侵检测系统的分类根据入侵检测系统的部署位置和检测方法,可以将其分为两种常见的分类:主机入侵检测系统(Host-based IDS)和网络入侵检测系统(Network-based IDS)。

1. 主机入侵检测系统主机入侵检测系统部署在网络中的每台主机上,通过监控主机上的系统日志和事件,以及分析主机的行为和进程等信息,来检测是否存在异常活动和潜在的入侵行为。

主机入侵检测系统可以对主机内部的安全事件进行较为详细的分析,但其规模较小,只能保护单个主机。

2. 网络入侵检测系统网络入侵检测系统则部署在网络的关键节点上,通过对网络流量进行实时监测和分析,来检测网络中的入侵行为。

网络入侵检测系统可以对整个网络进行全面的监控,并结合攻击特征库和模式识别算法,快速识别和应对网络攻击事件。

但相对于主机入侵检测系统,网络入侵检测系统对网络资源要求较高,需要投入较大的运维成本。

三、入侵检测系统的实现原理入侵检测系统通过以下步骤实现对网络安全的监测和检测。

1. 流量监测入侵检测系统首先需要对网络流量进行实时监测。

这可以通过物理设备(如交换机、路由器等)上的镜像端口或网络流量监测仪来实现,也可以通过网络流量分析工具来捕获并处理数据包。

2. 流量分析监测到的网络流量将被送到流量分析引擎中进行分析。

入侵检测体系

object,exception condition,resource usage,time stamp〉构成的六元组。 ❖ 其中,主体(subject)是启动在目标系统上活动的实体,如用户;对 象(object)是系统资源,如文件、设备、命令等。活动(action) 是主体对目标的操作,对操作系统而言,这些操作包括读、写、登录、 退出等;异常条件(exception condition)是系统对主体的该活 动的异常报告,如违反系统读写权限;资源使用状况区(resource usage)是系统的资源消耗情况,如CPU、内存使用率等;时标 (time stamp)是活动发生时间。
❖ (4)活动规则:规则集是检测入侵是否发生的处理引擎,结合活动文档用专家系统或统计方法 等分析接收到的审计记录,调整内部规则或统计信息,在判断有入侵发生时采取相应的措施。
1.Denning模型
2.CIDF模型
CIDF工作组提出了一个入侵检测系统的通用模型(图5-4)。 ❖ 1)事件产生器 ❖ 事件是入侵检测系统需要分析的数据,可以是网络数据流或从系统
功能单元,它可以作出切断连接、改变文件属性等强烈反应, 也可以只是简单的报警。 ❖ 4)事件数据库 ❖ 事件数据库(event database)是存放各种中间和最终数 据的地方的统称,它可以是复杂的数据库,也可以是简单的 文本文件。
2.CIDF模型
1.2 入侵检测体系结构
网络安全技术
网络安全技术
入侵检测体系
❖ 1.1 入侵检测模型
❖ 入侵的步骤通常包括: ❖ (1)收集目标系统的信息,包括网络的拓扑结构,系统提供的服务,操作系统的类型、版本
和可能存在的弱点等。 ❖ (2)识别系统中的关键弱点,了解系统有无防火墙、有无入侵检测系统等。 ❖ (3)攻击测试,先建立一个和目标系统一样的环境,然后对它进行一系列的攻击,检查攻击

入侵检测系统原理

入侵检测系统原理入侵检测系统(Intrusion Detection System,简称IDS)是一种重要的网络安全设备,广泛应用于保护网络免受恶意攻击。

本文将介绍入侵检测系统的原理及其工作流程。

一、入侵检测系统的分类入侵检测系统可以分为两种主要类型:基于网络的入侵检测系统(Network-based Intrusion Detection System,简称NIDS)和基于主机的入侵检测系统(Host-based Intrusion Detection System,简称HIDS)。

1. 基于网络的入侵检测系统(NIDS)基于网络的入侵检测系统通过监听网络流量来检测潜在的攻击。

NIDS通常部署在网络入口处,监测所有进出网络的数据包。

当检测到异常或可疑的流量时,NIDS会触发警报并采取相应的响应措施。

2. 基于主机的入侵检测系统(HIDS)基于主机的入侵检测系统主要关注主机上的活动,通过监视主机的系统日志、文件系统和应用程序等来检测潜在的入侵行为。

HIDS通常安装在每台主机上,并与操作系统和应用程序进行密切协作。

当检测到异常行为时,HIDS会发出警报并采取相应的措施。

二、入侵检测系统的工作原理1. 数据获取入侵检测系统首先需要获取原始数据以进行分析和监测。

对于NIDS来说,数据获取通常是通过网络监听设备来实现的,它会截获网络上的数据包进行分析。

而对于HIDS来说,数据获取则是通过监视主机上的日志、文件和系统调用等来实现的。

2. 数据分析入侵检测系统对获取到的数据进行分析,以识别潜在的入侵行为。

数据分析可以分为两个阶段:特征检测和行为分析。

特征检测主要基于已知的攻击模式或特征进行。

入侵检测系统通过与先前收集的攻击特征进行比较,检测出现在数据中的匹配项。

这些特征可以是一组规则、模式或统计指标等。

行为分析是一种基于异常检测的方法。

它通过建立主机或网络的正常行为模型,检测与该模型不一致的行为。

常用的方法包括统计分析、机器学习和人工智能等。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

范技术。
入侵检测原理与结构
• 入侵是指系统发生了违反安全策略的事件,包括 对系统资源的非法访问、恶意攻击、探测系统漏 洞和攻击准备等对网络造成危害的各种行为。 • 入侵检测作为一种积极主动的网络安全防御技术, 通过监视系统的运行状态发现外部攻击、内部攻
击和各种越权操作等威胁,并在网络受到危害之
前拦截和阻断危害行为。
3.
基于应用的入侵检测
• 以应用程序日志作为入侵检测的数据源,一般就称为基于应用的 入侵检测系统。
• 基于应用的IDS是HIDS的一个特例。尽管应用日志的可信度不及 操作系统提供的审计记录和系统日志,但应用日志提供了系统层 次之外的应用与用户层次信息。由于监控的内容与对象视野集中, 更有利于准确检测应用程序和用户的非法行为。 (数据库管理系统日志和WWW服务器日志都是基于应用IDS常用的数 据源。基于应用IDS的特点与HIDS相似,目前在电子商务中得到广 泛关注。)
入侵检测技术
• 入侵检测技术的核心问题就是如何获取描述行为特 征的数据;如何利用特征数据精确地判断行为的性 质;如何按照预定策略实施响应。 • IDS至少应包括数据采集、入侵检测分析引擎和响应 处理三部分功能模块。
IDS的分类
• IDS正是根据数据采集的位置、入侵检测分析引擎采用的分析 方法、分析数据的时间和响应处理的方式进行分类的。 • 根据数据采集的位置,IDS分为基于主机(host-based)、 基于网络(network-based)、基于应用(applicationbased)和基于目标(target-based)等不同类型。 • 依据入侵检测分析引擎采用的分析方法,分为异常检测 (anomaly detection)和误用检测(misuse detection)。 • 按照分析数据的时间不同,又分为实时检测和离线检测。由 于数据采集、响应处理和误用检测在技术上相对比较成熟, 目前大多数研究人员主要针对异常入侵检测模型展开研究。
响应处理模型
• 响应处理模块根据预先设定的策略记录入侵过程、 采集入侵证据、追踪入侵源、执行入侵报警、恢复 受损系统或以自动或用户设置的方式阻断攻击过程。
• 响应处理模块同时也向数据采集模块、检测分析引 擎和模式知识库提交反馈信息。
(例如,要求数据采集模块提供更详细的审计数据或采集 其他类型的审计数据源;优化检测分析引擎的检测规则 或检测阈值;更新模式知识库中的正常或入侵行为模式 等。)
HIDS的缺点
• HIDS安装在需要保护的主机上,必然会占用主机系统资 源,额外负载将降低应用系统的效率。
• HIDS完全依赖操作系统固有的审计机制,所以必须与操 作系统紧密集成,导致平台的可移植性差。 • HIDS本身的健壮性也受到主机操作系统安全性的限制。 • HIDS只能检测针对本机的攻击,而不能检测基于网络协 议的攻击。
• 入侵监视范围大。由于每个网络传感器能够采集共享网段内的所 有数据包,一个网络传感器就可以保护一个网段。因此,只在网 络关键路径上安装网络传感器,就可以监视整个网络通信。 • 入侵取证可靠。NIDS通过捕获数据包收集入侵证据,攻击者无法 转移证据。
• 能够检测协议漏洞攻击。许多攻击程序是基于网络协议漏洞编写 的,诸如同步洪流(SYN flood)、Smurf攻击和泪滴攻击 (teardrop)等只有通过查看数据包头或有效负载才能识别。
入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩 展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别 和响应),提高了信息安全基础结构的完整性。
入侵检测系统
入侵检测系统(IDS)由入侵检测的软件与硬件组合而成, 被认为是防火墙之后的第二道安全闸门,在不影响网络性能的 情况下能对网络进行监测,提供对内部攻击、外部攻击和误操 作的实时保护。这些都通过它执行以下任务来实现:
数据采集模块
• 数据采集负责采集反映受保护系统运行状态的原始数据,为入 侵分析提供安全审计数据。 • 所采集的数据源可以是操作系统审计记录、系统日志、应用日 志和主机系统调用跟踪,也可以是网络数据包或来自其他安全 系统的日志信息。 • 数据采集模块在获得原始审计数据之后,还需要对原始审计数 据进行预处理,如审计日志精简、格式化、网络数据包协议解 析和连接记录属性精简等预处理工作,然后将能够反映系统或 网络行为事件的数据提交给入侵检测分析引擎。
Hash函数
• Hash函数有一个独特的特点,即使输入到Hash函数 的文件发生微小变化,其输出的文件消息摘要也会产 生很大变化,两个不同的文件不可能具有相同的消息 摘要。只要保护文件被修改,文件完整性检测系统就 可以检测出来。
• 典型的Hash函数有MD4、MD5和SHA等
(Tripwire是当前开放源代码软件中的最常用文件完整 性检测系统。)
根据检测分析方法分类
1 .异常检测
• 异常检测(anomaly detection)根据用户行为或资源使用的 正常模式来判定当前活动是否偏离了正常或期望的活动规律, 如 果 发 现 用 户 或 系 统 状 态 偏 离 了 正 常 行 为 模 式 ( normal behavior profile),就表示有攻击或企图攻击行为发生,系 统将产生入侵警戒信号。 • 异常检测的核心问题是正常使用模式的建立以及如何利用该模 式对当前的系统或用户行为进行比较,以便判断出与正常模式 的偏离程度。任何不符合历史活动规律的行为都被认为是入侵 行为,所以能够发现未知的攻击模式。
入侵检测模型
• 入侵检测是基于审计数据分析来判断事件的性质。数据源的可靠性、 数据质量、数据数量和数据预处理的效率都会直接影响IDS的检测
性能,所以数据采集是整个IDS的基础工作。(数据源) • 入侵检测分析引擎也称为入侵检测模型,是IDS的核心模块,负责 对采集模块提交的数据进行分析。(检测模型) • 通过从审计数据中抽取出当前系统或网络行为模式,与模式知识库 中的入侵和正常行为模式比较,按照预先配置的安全策略执行实际 的入侵或异常行为检测,然后将检测结果传递给响应模块进行处理。 IDS对入侵和可疑行为的鉴别能力直接取决于分析引擎的检测精度。
通用入侵检测系统体系结构
事件发生器
GIDO
事件分析器 事件分析器 事件数据库
GIDO
响应单元 响应单元
GIDO
图6.1
•组件之间交换的数据统称为通用入侵检测对象GIDO (general intrusion detection object)。
入侵检测原理与系统结构
• 入侵检测技术从本质上可以归结为安全审计数据的分析与处
入侵检测系统基本工作原理
当前系统或 网络行为
模式知识库 入侵行为模式
入侵检测 分析引擎 安全策略
入侵 ? 是 证据记录
数据采集

正常行为模式
响应处理
入侵检测分类方法
1.根据数据采集位置分类 2.根据检测分析方法分类 3.根据检测时间分类
根据数据采集位置分类
1. 主机入侵检测系统
• 当入侵检测监视的对象为主机审计数据源时,称为主
理过程。通过监视系统的活动状态,发现任何损害或企图损 害系统保密性、完整性和可用性的非法行为,并根据事先设
定的安全策略激活对应的响应措施。
• 入侵检测之所以能够发现非授权或恶意的系统与网络行为, 重要的前提是非法行为与合法行为是可以区分的,也就是说,
可以通过提取行为的模式特征来分析判断该行为的性质。
HIDS的优点
• 检测精度高。 HIDS针对用户和系统活动进行 检测,更适用于检测内部用户攻击或越权行为。
• 不受加密和交换设备影响。HIDS只关注主机本身发生
的事件,并不关心主机之外的网络事件,所以检测性 能不受数据加密、隧道和交换设备影响。
• 不受网络流量影响。 HIDS并不采集网络数据包,不 会因为网络流量增加而丢失对系统行为的监视,故其 检测性能与网络流量无关。
4. 文件完整性检测系统
• 文件完整性检测系统(file integrity checker)也称为基于目 标的入侵检测系统,可以看作是HIDS的另一个特例。 • 基本方法是使用单向杂凑函数Hash计算保护文件的消息摘要 (message digest),并将文件的消息摘要存储在安全区域。 • 文件完整性检测系统完全依赖消息摘要数据库,一旦消息摘要 数据库被恶意攻击者修改,关键文件将失去保护作用。因此, 文件的消息摘要必须存放在安全区域。
第六章 入侵检测系统
入侵检测系统概述
防火墙是所有保护网络的方法中最能普遍接受的方法,能 阻挡外部入侵者,但对内部攻击无能为力;同时,防火墙绝对 不是坚不可摧的,即使是某些防火墙本身也会引起一些安全问 题。防火墙不能防止通向站点的后门,不提供对内部的保护, 不能防止用户由Internet上下载被病毒感染的计算机程序或 将该类程序附在电子采用的分析技术主要有模式匹配(pattern matching)、专家系统、状态转移(state transition )、着色 Petri网(colored Petri nets)、语言和应用程序接口(language and API)、Denning模型、量化分析(quantitative analysis)、 统计分析、聚类分析(clustering analysis)、基于规则检测(rulebased detection)、神经网络(neural networks)等各种不同分 析方法。在近期IDS研究中,研究人员又提出了免疫系统(immune system)、遗传算法(genetic algorithm)、基于Agent的检测 (agent-based detection)、基于内核检测(kernel-based detection)、隐含马尔科夫模型(Hidden Markov model)、支持 向量机模型(support vector machine)和数据挖掘模型(data mining)等新型入侵检测分析方法。