chap4-06入侵检测技术-v32.doc

本文由蔡泽恩贡献 pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 入侵检测技术 罗森林 信息安全与对抗技术实验室 内容 入侵检测技术的概念 入侵检测系统的功能 入侵检测技术的分类 入侵检测技术的原理,结构和流程 入侵检测技术的未来发展 基于SNORT的入侵检测系统 基本概念 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能 够及时发现并报告系统中未授权或异常现象的技术,是一种用于 检测计算机网络中违反安全策略行为的技术. 违反安全策略的行为有:入侵——非法用户的违规行为;滥用— —用户的违规行为. 入侵检测(Intrusion Detection)就是对计算机网络和计算机系统的 关键结点的信息进行收集分析,检测其中是否有违反安全策略的 事件发生或攻击迹象,并通知系统安全管理员. 一般把用于入侵检测的软件,硬件合称为入侵检测系统. 为什么会出现IDS 客观因素: – – – – – 入侵者总可以找到防火墙的弱点和漏洞 防火墙一般不能阻止来自内部的袭击 由于性能的限制,防火墙通常不能提供实时的监控 防火墙对于病毒的网络内部传播也是无能为力的 漏洞是普遍存在的 主观因素—入侵和攻击不断增多 – 网络规模不断扩大 – 网络用户不断增加 – 黑客水平不断提高 IDS的发展史 1980年4月,James Anderson为美国空军做了一份题为 《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视)的技术 报告,第一次提出了入侵检测. 1986年,为检测用户对数据库异常访问,在IBM主机 上用Cobol开发的Discovery系统成为最早的基于主机 的IDS雏形之一. IDS的发展史 1987年,Dorothy E.Dennying 提出了异常入侵检测系 统的抽象模型,首次将入侵检测的概念作为一种计算 机系统安全防御问题的措施提出. 1988年, Morris Internet蠕虫事件使得Internet约5天 无法正常使用,该事件导致了许多IDS系统的开发研制. Teresa Lunt等人进一步改进了Dennying提出的入侵检 测模型,并创建了IDES(Intrusion Detection Expert System),它提出了与系统平台无关的实时检测思想. IDS的发展史 1990年, Heberlein等人提出基于网络的入侵检测—— NSM(Network Security Monitor),NSM可以通过在局 域网上主动地监视网络信息流量来追踪可疑的行为. 1991年,分布式入侵检测系统(DIDS)的研究,将基 于主机和基于网络的检测方法集成到一起.DIDS是分 布式入侵检测系统历史上的一个里程碑式的产品,它 的检测模型采用了分层结构,包括数据,事件,主体, 上下文,威胁,安全状态等6层. IDS的发展史 1994年,Mark Crosbie 和Gene Spafford建议使用自治 代理(Autonomous Agents)以便提高IDS的可伸缩性, 可维护性,效率和容错性. 1995年,IDES后续版本——NIDES(Next-Generation Intrusion Detection System)实现了可以检测多个主机 上的入侵. 1996年, GRIDS(Graph-based Intrusion Detection System)设计和实现解决了入侵检测系统伸缩性不足的 问题,使得对大规模自动或协同攻击的检测更为便利. Forrest 等人将免疫原理用到分布式入侵检测领域 IDS的发展史 1997年,Mark crosbie 和 Gene Spafford将遗传算法运用到入侵检 测中. 1998年,Ross Anderson和Abida Khattak将信息检索技术引进到 了入侵检测系统. 中国的IDS也得到了长足的发展.据IDC的报告,2000年中国安全 市场中,IDS与评估软件占了19%的份额.IDC在2001年4月的调 查显示,用户接下来对网络安全产品的需求中,对IDS的需求占 到了18.5%.从厂商方面来说,从1999年前后,国外一些软件商 开始将其IDS引入到国内,如安氏,CA,NAI,赛门铁克等.国 内如冠群金辰,金诺网安等也占据着该市场的较大份额. IDS的功能与作用 防火墙明显的不足和弱点 – 防火墙不能防范如TCP,IP等本身存在的协议漏洞 – 无法解决安全后