第14章入侵检测技术.pptVIP

第14章 入侵检测技术 对付网络入侵，只有防火墙是不够的。防火墙只是试图抵挡网络入侵者，很难去发现入侵的企图和成功的入侵。这就需要一种新的技术—入侵检测技术。入侵检测技术能发现网络入侵者的入侵行为和入侵企图，及时向用户发出警报，将入侵消灭在成功之前。 14.1 入侵检测系统概述 入侵检测系统的任务和作用是： (1)监视、分析用户及系统活动； (2)对系统弱点的审计； (3)识别和反应已知进攻的活动模式并向相关人士报警； (4)异常行为模式的统计分析； (5)评估重要系统和数据文件的完整性； (6)操作系统的审计跟踪管理，识别用户违反安全策略的行为。 入侵检测系统有两个指标。一是漏报率，指攻击事件没有被IDS检测到，与其相对的是检出率；二是误报率，指把正常事件识别为攻击并报警。误报率与检出率成正比例关系。 14.2 入侵检测系统结构 14.2.1 入侵检测系统的CIDF模型 IETF的入侵检测系统模型 Denning的通用入侵检测系统模型 14.3 入侵检测系统类型 14.3.1 按数据来源的分类 由于入侵检测是个典型的数据处理过程，因而数据采集是其首当其冲的第一步。同时，针对不同的数据类型，所采用的分析机理也是不一样的。根据入侵检测系统输入数据的来源来看，它可分为：基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统。 1.基于主机的(Host-Based)入侵检测系统 基于主机的入侵检测系统(HIDS)通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计记录文件的记录与攻击签名(Attack Signature，指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配，检测系统就向系统管理员发出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件，并可对入侵事件作出立即反应。 它具有着明显的优点： (1) 能够确定攻击是否成功 (2) 非常适合于加密和交换环境 (3) 近实时的检测和响应 (4) 不需要额外的硬件 (5) 可监视特定的系统行为 2.基于网络的(Network-Based)入侵检测系统 以原始的网络数据包作为数据源。它是利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务的。其攻击识别模块在进行攻击签名识别时常用的技术有： ● 模式、表达式或字节码的匹配； ● 频率或阈值的比较； ● 事件相关性处理； ● 异常统计检测。 一旦检测到攻击，IDS的响应模块通过通知、报警以及中断连接等方式来对攻击行为作出反应。 较之于基于主机的IDS，它有着自身明显的优势： (1) 攻击者转移证据更困难 (2) 实时检测和应答 (3) 能够检测到未成功的攻击企图 (4) 操作系统无关性 (5) 较低的成本 当然，对于基于网络的IDS来讲，同样有着一定的不足：它只能监视通过本网段的活动，并且精确度较差；在交换网络环境中难于配置；防欺骗的能力比较差，对于加密环境它就更是无能为力了。 3.分布式的入侵检测系统 从以上对基于主机的IDS和基于网络的IDS的分析可以看出：这两者各自都有着自身独到的优势，而且在某些方面是很好的互补。如果采用这两者结合的入侵检测系统，那将是汲取了各自的长处，又弥补了各自的不足的一种优化设计方案。通常，这样的系统一般为分布式结构，由多个部件组成，它能同时分析来自主机系统的审计数据及来自网络的数据通信流量信息。 分布式的IDS将是今后人们研究的重点，它是一种相对完善的体系结构，为日趋复杂的网络环境下的安全策略的实现提供了最佳的解决方案。 14.3.2 按分析技术的分类 从入侵检测的典型实现过程可以看出，数据分析是入侵检测系统的核心，它是关系到能否检测出入侵行为的关键。检出率是人们关注的焦点，不同的分析技术所体现的分析机制也是不一样的，从而对数据分析得到的结果当然也就大不相同，而且不同的分析技术对不同的数据环境的适用性也不一样。根据入侵检测系统所采用的分析技术来看，它可以分为采用异常检测的入侵检测系统和采用误用检测的入侵检测系统。 1.异常检测(Anomaly Detection) 假定所有的入侵行为都是异常的，即入侵行为是异常行为的子集。原理是：首先建立系统或用户的“正常”行为特征轮廓，通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵行为。 从异常检测的实现机理来看，异常检测所面临的关键问题有： (1) 特征量的选择 (2) 阈值的选定 (3) 比较频率的选取 从异常检测的原理我们可以看出，该方法的技术难点在于：“正常”行为特征轮廓的确定；特征量的选取；特征轮廓的更新。由于这几个因素的制约，异常检测的误报率会很高，但对于未知