第6章 入侵检测系统
- 格式:ppt
- 大小:517.00 KB
- 文档页数:37


第八章 入侵检测系统
第一节 引言
通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。
保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。
检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。
响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。
入侵检测(Intrusion Detection,ID)是本章讨论的主题之一,它通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。入侵(Intrusion)定义为未经授权的计算机使用者以及不正当使用(misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统(Intrusion Detection
System,IDS)是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为与正常行为有显著的不同,因而是可以检测的。入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。
入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。
知识库
入侵检测分析引擎 当前系统/用户行为
数据提取
记录证据
响应处理 历史行为
特定行为模式
其他 第六章 入侵检测系统的数据源
系统安全与入侵检测[ 戴英侠P33]
入侵检测系统的信息源:可以供入侵检测系统分析和处理的原始数据或中间数据,主要包括主机系统中的各类数据和网络中传输的数据包。
信息源可以分为三个层次:
1.网络层:IP地址、端口号、顺序号、协议类型;网络实体名(如服务器名),校验和;设置选项,如IP的源路由等
2.操作系统:命令、库、备份程序、登录程序以及其它核心子系统
3.应用层:应用程序的日志记录
一、入侵检测系统原理及构成
按全策略
否
入侵?
是
入侵检测基本原理图
基本的入侵检测系统需要解决两个问题:一是如何充分并可靠地提取描述行为特征的数据;二是如何根据特征数据,高效并准确地判定行为的性质。
原始数据流
响应处理
入侵分析
数据提取 知识库 数据存储 二、基于主机的信息源
主要包括:操作系统审计迹、系统日志和其他应用程序的日志
在Windows NT系统中,审计迹被称为事件日志(Event Log)。它收集3种类型的系统事件:操作系统事件、安全事件和应用事件。可以根据事件的日志记录来识别和跟踪安全性事件、资源使用情况,以及系统和应用程序中发生的错误等。
1.应用程序日志记载应用程序运行方面的错误
2.安全日志记录与安全性相关的事件,例如与资源使用有关的事件,还包括合法和非法的登录企图。管理员可以指定将哪些事件记录在安全日志中:
安全的计算机系统特征:机密性(数据不会泄露给非授权用户使用)完整性(数据未经授权不能被改变)可用性(数据信息在合法用户使用时必须是可用的)可控性(信息流向行为方式信息访问等可控)正确性(减少对事件的不正确判断引起的虚警率) 2、P2DR模型以安策略为核心,通过流量统计、异常分析等方法进行安全漏洞检测,防护、检测和响应组成一个完整的动态的安全循环3、物理安全指系统设备及相关设施受到物理保护免于破坏丢失,逻辑安全是指计算机中信息和数据的安全4、防火墙是指安装在内部网络与外部网络之间或网络与网络之间的可以限制相互访问的一种安全保护措施,实现技术主要有包过滤和应用层网关5、入侵检测弥补了防火墙的不足:防火墙是被动的防御技术,无法识别和防御来自内部网络的滥用和攻击,入侵检测技术作为一种主动防御技术,可以在攻击发生时记录攻击者的行为,发出警报,必要时可以追踪攻击者,既可以独立运行又可以与防火墙结合使用6、入侵检测系统主要通过监控网络、系统的状态行为和系统的使用情况来检测系统用户的越权使用以及系统外部的入侵者利用系统安全缺陷对系统入侵的企图,提供了对内部攻击、外部攻击和误操作的实时保护,在系统受到危害之前拦截或响应入侵,入侵检测系统提高了网络和系统的安全性,帮助系统对付网络攻击,提高了信息安全基础结构的完整性7、Anderson将攻击分为外部渗透(非授权用户对计算机系统的攻击)内部渗透(合法用户对访问权以外的资源造成危害的攻击)不当行为(合法用户对访问权以内的数据或资源的误用)8、漏洞指的是开发人员在对系统的软硬件等方面镜像设计时出现了一些疏漏,可以被攻击者利用,被分为缓冲区漏洞、拒绝服务攻击漏洞等9、木马攻击原理:木马一班分为服务器端和客户端,在windows系统中,木马一般是一个网络服务程序,服务器端运行于感染的机器上监听它的一些特定端口,端口号多数比较大,当该木马相应的哭互动程序在此端口上请求连接时,木马的客户端和服务器端就建立一个TCP连接,这样客户就可以控制感染木马的机器,以达到攻击目的10、木马发展的两个阶段:UNIX平台为主时,将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,windows平台普及时,基于图形的木马程序出现,木马功能日趋完善,对服务端的破坏更大11、木马的隐蔽方式:修改图标捆绑文件出错显示定制端口自我销毁木马文件的文件名、存放位置隐蔽运行12、木马的触发条件:注册表
入
侵
检
测
技
术
剖
析
学院:计算机与信息技术学院
专业:网络工程
学号:0908324031
姓名:何海洋 CNNIC发布的《中国互联网络发展状况统计报告》显示,中国现已有几千万上网用户。因此,越来越多的公司将其核心业务向互联网转移、服务成为当前IT业另一个生长点,但网络安全作为一个无法回避的问题呈现在人们面前。随着计算机网络知识的普及,攻击者越来越多,知识日趋成熟,攻击工具与手法日趋复杂多样,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要,网络
的防卫必须采用一种纵深的、多样的手段。网络环境也变得越来越复杂,各式各样的复杂的设备,需要不断升级、补漏的系统使得网络管理员的工作不断加重,不经意的疏忽便有可能造成安全的重大隐患。于是,入侵检测系统成为了安全市场上新的热点,不仅愈来愈多的受到人们的关注,而且已经开始在各种不同的环境中发挥其关键作用。
入侵检测系统(IDS)
由于入侵检测系统的市场在近几年中飞速发展,许多公司投入到这一领域上来。Internet Security System(ISS)、思科、赛门铁克等公司都推出了自己的产品。
系统组成
IETF将一个入侵检测系统分为四个组件:事件产生器(Event
generators);事件分析器(Event analyzers);响应单元(Response units );事件数据库(Event databases )。
事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果作出作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。