信息安全系统工程入侵检测.pptx

一、概述 入侵检测（Intrusion detection） 入侵检测是通过在计算机网络或计算机系统中的若干关键点收集信息，通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象的一种机制。 入侵检测系统（Intrusion Detection System） 进行入侵检测的软件与硬件的组合，它使用入侵检测技术对网络与其上的系统进行监视，并根据监视结果进行不同的安全动作，最大限度地降低可能的入侵危害。 入侵检测系统的预警功能 目前大部分网络攻击在攻击前有资料搜集的过程 例如，基于特定系统的漏洞攻击，在攻击之前需要进行端口扫描，以确认系统的类型以及漏洞相关的端口是否开启。 此外某些攻击在初期就可以表现出较为明显的特征 例如，假冒有效用户登录，在攻击初期的登录尝试具有明显的特征。 对于这些攻击，入侵检测系统可以在攻击的前期准备时期或是在攻击刚刚开始的时候进行确认并发出警报 同时入侵检测系统可以对报警的信息进行记录，为以后的一系列实际行动提供证据支持。 IDS的特点 IDS是一种积极主动的防护工具，是对防火墙的合理补充，能帮助系统对付网络攻击，扩展系统管理员的安全管理能力和范围 一般情况下，防火墙为网络安全提供了第一道防线，IDS作为防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护，减少网络受到各种可能攻击的损害。 IDS不仅能监测外来的入侵者，同时也能监测内部人员的入侵行为，这也弥补了防火墙在这方面的不足。 入侵检测一般采用旁路侦听的机制，因此不会产生对网络带宽的大量占用，系统的使用对网内外的用户来说是透明的，不会有任何的影响。 入侵检测的部署方式和位置 IDS的功能 IDS通常具有以下功能： 1、监视用户和系统的运行状况，查找非法用户和合法用户的越权操作； 2、对系统的弱点进行审计； 3、对异常行为模式进行统计分析； 4、评估重要系统和数据文件的完整性； 5、对操作系统进行跟踪审计管理，并识别用户违反安全策略的行为。 IDS常用的评价指标 1、漏报率 指攻击事件没有被IDS检测到的概率。 与其相对的是检出率。 2、误报率 指把正常事件识别为攻击并报警的概率。 注意：误报率与检出率成正比关系。 二、入侵检测的基本原理 入侵检测与其他检测技术的原理相同，即从收集到的一组数据中，检测出符合某一特点的数据。 由于入侵者在攻击时通常会留下痕迹，这些痕迹与系统正常运行时产生的数据混合在一起，入侵检测的任务就是要从这样的混合数据中找出是否有入侵的痕迹，如果有入侵的痕迹就产生报警信号。 IDS的工作过程 一个IDS的工作过程包括4个阶段：数据收集、数据处理、数据分析和报警响应。 IDS的工作过程（续） 1、数据收集 数据收集是入侵检测的基础，可以通过不同的途径收集数据。 目前常见的数据来源包括主机日志、网络数据包、应用程序日志和防火墙日志等。 2、数据处理 数据收集过程产生的原始数据量一般很庞大，并且存在噪声。 数据处理的功能就是从原始数据中去除冗余和噪声，并且进行格式化和标准化处理，以利于今后的数据分析。 IDS的工作过程（续） 3、数据分析 对经过处理的数据采用智能化的方法进行分析，检查数据是正常的还是存在入侵。 4、报警响应 当经过数据分析发现入侵时，采用各种措施对网络进行防护、保留入侵证据并通知系统管理员。 常用的措施包括切断网络连接、记录系统日志、给系统管理员发送电子邮件等。 IDS的基本结构 入侵检测系统的通用模型是 CIDF： CIDF—Common Intrusion Detection Framework CIDF将入侵检测系统需要分析的数据统称为事件（event） 事件可以是网络中的数据包，也可以是从系统日志等其他途径得到的信息。 CIDF的体系结构 CIDF包含的组件 1、 事件产生器 事件产生器采集和监视被保护系统的数据，这些数据可以是网络的数据包，也可以是从系统日志等其他途径搜集到的信息。 事件产生器可以把数据进行保存，一般是保存到数据库中。 2、 事件分析器 事件分析器的功能主要分为两个方面： 1）用于分析事件产生器搜集到的数据，区分数据的正确性，发现非法的或者具有潜在危险的、异常的数据现象，通知响应单元做出入侵防范； 2）对数据库保存的数据做定期的统计分析，发现某段时期内的异常表现，进而对该时期内的异常数据进行详细分析。 CIDF包含的组件（续） 3、 响应单元 响应单元是协同事件分析器工作的重要组成部分，一旦事件分析器发现具有入侵企图的异常数据，响应单元就要发挥作用，对具有入侵企图的攻击施以拦截、阻断、反追踪等手段，保护被保护系统免受攻击和破坏。 4、 事件数据库 事件数据库记录事件分析单元提供的分析结果，同时记录下所有