网络安全第8章网络入侵检测IDS范例.ppt

第8章 网络入侵检测IDS 1 IDS概述 1.1 IDS概念 1.2 IDS功能 1.3 IDS特点 1.4 IDS基本结构 1.1 IDS概念 一种主动保护自己的网络和系统免遭非法攻击的网络安全技术。 它从计算机系统或者网络中收集、分析信息，检测任何企图破坏计算机资源的完整性、机密性和可用性的行为，即查看是否有违反安全策略的行为和遭到攻击的迹象，并做出相应的反应。 加载入侵检测技术的系统我们称之为入侵检测系统（IDS，Intrusion Detection System），一般情况下，我们并不严格的去区分入侵检测和入侵检测系统两个概念，而都称为IDS或入侵检测技术。 IDS意义 源于信息审计，优于信息审计，信息安全审计的核心技术 主动防御的需要，防火墙、VPN通过“阻断”的机制被动式防御，不能抵制复杂和内部的攻击 作为与防火墙配合的防护手段（如下图） 1.2 IDS功能 监控、分析用户和系统活动 实现入侵检测任务的前提条件 发现入侵企图或异常现象 入侵检测系统的核心功能 这主要包括两个方面，一是入侵检测系统对进出网络或主机的数据流进行监控，看是否存在对系统的入侵行为，另一个是评估系统关键资源和数据文件的完整性，看系统是否已经遭受了入侵。 记录、报警和响应 入侵检测系统在检测到攻击后，应该采取相应的措施来阻止攻击或响应攻击。入侵检测系统作为一种主动防御策略，必然应该具备此功能。 审计系统的配置和弱点、评估关键系统和数据文件的完整性等 IDS的两个指标 漏报率 指攻击事件没有被IDS检测到 误报率(false alarm rate) 把正常事件识别为攻击并报警 误报率与检出率成正比例关系 1.3 IDS特点 不足 不能弥补差的认证机制 需要过多的人为干预 不知道安全策略的内容 不能弥补网络协议上的弱点 不能分析一个堵塞的网络 不能分析加密的数据 优点： 提高信息安全构造的其他部分的完整性 提高系统的监控能力 从入口点到出口点跟踪用户的活动 识别和汇报数据文件的变化 侦测系统配置错误并纠正 识别特殊攻击类型，并向管理人员发出警报 1.4 IDS模型 事件分析器 事件分析器分析得到的数据，并产生分析结果。 分析是核心：效率高低直接决定整个IDS性能 响应单元 告警和事件报告 终止进程，强制用户退出 切断网络连接，修改防火墙设置 灾难评估，自动恢复 查找定位攻击者 事件数据库 事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件 管理器 常规的管理功能：定位、控制 Console GUI 命令行、客户程序、Web方式 Database 日志、规则库、行为模式库 （2）Denning模型 该模型由以下6个主要部分构成： （1）主体（Subjects）：在目标系统上活动的实体，如用户； （2）对象（Objets）：系统资源，如文件、设备、命令等； （3）审计记录（Auditrecords）：由如下的一个六元组构成Subject，Action，Object，Exception-Condition，Resource-Usage，Time-Stamp。活动（Action）是主体对目标的操作，对操作系统而言，这些操作包括读、写、登录、退出等；异常条件（Exception-Condition）是指系统对主体的该活动的异常报告，如违反系统读写权限；资源使用状况（Resource-Usage）是系统的资源消耗情况，如CPU、内存使用率等；时间戳（Time-Stamp）是活动发生时间； （4）活动简档（ActivityProfile）：用以保存主体正常活动的有关信息，具体实现依赖于检测方法，在统计方法中从事件数量、频度、资源消耗等方面度量，可以使用方差、马尔可夫模型等方法实现； （5）异常记录（AnomalyRecord）：由Event，Time-stamp，Profile组成。用以表示异常事件的发生情况； （6）活动规则：规则集是检查入侵是否发生的处理引擎，结合活动简档用专家系统或统计方法等分析接收到的审计记录，调整内部规则或统计信息，在判断有入侵发生时采取相应的措施。 2 IDS技术 2.1 IDS检测技术 2.2 主机和网络 2.3 协议分析 2.4 其他高级IDS技术 2.5 IDS部署 2.1 IDS检测技术 IDS检测技术 异常检测模型（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 异常检测（ Anomaly Detection ）