信息安全技术与应用 工业和信息化普通高等教育“十二五”规划教材 教学课件 作者 彭新光 王峥 第6章 入侵检测系统.pptVIP

第6章 入侵检测系统 6.1 入侵检测原理与分类 入侵检测技术可以归结为安全审计数据的分析与处理； 核心问题是获取描述行为特征的数据； 利用特征数据精确地判断行为的性质； 按照预定策略实施响应； IDS至少包括数据采集、入侵检测分析引擎和响应处理三部分功能模块。 IDS工作原理 IDS分类 根据数据采集位置、分析引擎采用的分析方法、分析数据的时间和响应处理的方式进行分类; 根据数据采集的位置，分为基于主机（host-based）、基于网络（network-based）、基于应用（application-based）和基于目标（target-based）等; 依据分析引擎采用的分析方法，分为异常检测（anomaly detection）和误用检测（misuse detection）; 按照分析数据的时间不同，分为实时检测和离线检测; 主机入侵检测系统 当入侵检测监视的对象为主机审计数据源时，称为主机入侵检测系统HIDS; HIDS利用数据分析算法对操作系统审计记录、系统日志、应用程序日志或系统调用序列等主机数据源进行分析; 归纳出主机系统活动的特征或模式，作为对正常和异常行为进行判断的基准，主要用于保护提供关键应用服务的服务器。 HIDS 优点 检测精度高 监控的对象明确与集中; 不受加密和交换设备影响 只关注主机发生的事件，不关心网络事件，检测性能不受数据加密、隧道和交换设备影响。 不受网络流量影响 不采集网络分组，不会因为网络流量增加而丢失对系统行为的监视。 HIDS 缺点 安装在需要保护的主机上，占用主机系统资源; 完全依赖操作系统固有的审计机制，必须与操作系统紧密集成，导致平台的可移植性差; 本身的健壮性受到主机操作系统安全性的限制; 只能检测针对本机的攻击，不能检测基于网络协议的攻击。 网络入侵检测系统 当入侵检测监视的对象为网络分组时，称为网络入侵检测系统NIDS； 局域网通常采用基于广播机制的以太网协议,以太网协议能够使主机接收同一网段内的所有广播数据包。 以太网络适配器有正常和混杂两种工作模式，正常模式只接收本机地址和广播地址的分组，混杂模式则接收本网段内的所有分组数据。 NIDS利用了网络适配器的混杂工作模式来实时采集通过网络的所有分组，通过网络协议解析与模式匹配实现入侵行为检测。 NIDS的优点 检测与响应速度快 在成功入侵之前发现攻击和可疑意图，目标遭受破坏之前即可执行快速响应中止攻击过程； 入侵监视范围大 只在网络关键路径上安装网络传感器，可以监视整个网络通信； 入侵取证可靠 通过捕获分组收集入侵证据，攻击者无法转移证据； 能够检测协议漏洞攻击 诸如同步洪流（SYN flood）、Smurf攻击和泪滴攻击（teardrop）等只有通过查看分组首部或有效负载才能识别。 NIDS的缺点 在交换以太网环境中监测范围受到限制； 在高速网络流量环境下检测精度下降； 不能检测加密数据、隧道数据和加密数据攻击； 网络传感器向控制台回传数据量大。 异常检测 异常检测根据用户行为或资源使用的正常模式判定当前活动是否偏离了正常或期望的活动规律; 如果发现用户或系统状态偏离了正常行为模式，表示有攻击或企图攻击行为发生； 任何不符合历史活动规律的行为都被认为是入侵行为，能够发现未知的攻击模式； 缺点是误报率较高。 误用检测 误用检测依据特征库进行判断； 具有很高的检出率和很低的误报率； 检测全部入侵行为的能力取决于特征库的更新； 主要缺陷是只能检测已知攻击； 新攻击的特征模式添加到误用模式库中； 才能使系统具备检测新攻击手段的能力。 实时检测 实时检测是指IDS能够实时分析审计数据； 在入侵行为造成危害之前及时发现和拦截入侵事件； 入侵检测速度的快慢取决于数据采集、数据分析算法、攻击特征提取和模式比较等多个因素， 实时检测主要依赖于攻击特征提取的难易程度。 离线检测 先将采集的审计数据暂时保存起来，采用批处理分析方式定时发给入侵检测分析引擎； 离线检测不能及时防范和响应攻击事件； 采用离线检测可以降低系统负担； 在捕获攻击特征需要较长时间或高速网络环境下，可以获得高的检测精度。 检测率和误报率 ROC曲线和DET曲线 系统资源占用率 HIDS的开销主要消耗在审计记录格式化和入侵分析上，精简审计记录和提高入侵分析算法是降低HIDS资源占用率的关键； NIDS的开销主要消耗在网络分组协议解析与特征匹配上，特别在高速网络环境下，系统资源占用率将显著增大； 系统资源占用率与IDS的检测率和误报率常常是相互矛盾的； 降低系统资源占用率需要用检测率和误报率作为代价。 系统扩展性 时间上的可扩展性 将多个独立事件在时间上关联起来，才能识别出攻击行为； 空间上的可扩展性 如果监测的规模扩大后，IDS仍然能够准确