《網络信息安全》课件.pptVIP

《网络信息安全》 中国科学技术大学 肖 明 军 xiaomj@ustc.edu.cn 第10章 入侵检测系统 一、入侵检测系统概述 IDS存在与发展的必然性 网络安全本身的复杂性，被动式的防御方式显得力不从心。 有关防火墙：网络边界的设备；自身可以被攻破；对某些攻击保护很弱；并非所有威胁均来自防火墙外部。 入侵很容易：入侵教程随处可见；各种工具垂手可得 入侵检测系统概述 Anderson在1980年给出了入侵的定义:入侵是指在非授权的情况下,试图存取信息、处理信息或破坏系统以使系统不可靠、不可用的故意行为。 什么是入侵检测 入侵检测（Intrusion Detection）的定义：通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。 什么是入侵检测系统 入侵检测系统（IDS）：进行入侵检测的软件与硬件的组合。它使安全管理员能够及时地处理入侵警报，尽可能减少入侵对系统造成的损害。入侵被检测出来的过程包括监控在计算机系统或者网络中发生的事件，再分析处理这些事件，检测出入侵事件。 入侵检测的起源（1/3） 审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程。 1980年，James P. Anderson的《计算机安全威胁监控与监视》（《Computer Security Threat Monitoring and Surveillance》） 第一次详细阐述了入侵检测的概念：潜在的有预谋未经授权访问信息、操作信息、致使系统不可靠或无法使用的企图。 计算机系统威胁分类: 外部渗透、内部渗透和不法行为 提出了利用审计跟踪数据监视入侵活动的思想 这份报告被公认为是入侵检测的开山之作 入侵检测的起源（2/3） 1986年，为检测用户对数据库异常访问，W.T.Tener在IBM主机上用COBOL开发的Discovery系统，成为最早的基于主机的IDS雏形之一。 1987年，乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型——IDES（入侵检测专家系统），首次将入侵检测的概念作为一种解决计算机系统安全防御问题的措施提出。 1990年，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM（Network Security Monitor） 该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机 入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS 入侵检测的起源（3/3） 1988年之后，美国开展对分布式入侵检测系统（DIDS）的研究，将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。 从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。 IDS基本结构 IDS通常包括以下功能部件： 事件产生器 事件分析器 事件数据库 响应单元 事件产生器（1/4） 负责原始数据采集，并将收集到的原始数据转换为事件，向系统的其他部分提供此事件。 收集内容：系统、网络数据及用户活动的状态和行为，需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息 系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为 事件产生器（1/4） 注意： 入侵检测很大程度上依赖于收集信息的可靠性和正确性 要保证用来检测网络系统的软件的完整性 特别是入侵检测系统软件本身应具有相当强的坚固性， 防止被篡改而收集到错误的信息 事件分析器（2/4） 接收事件信息，对其进行分析，判断是否为入侵行为或异常现象，最后将判断的结果转变为告警信息。 分析方法： 模式匹配：将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为 统计分析：首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）；测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生 完整性分析（往往用于事后分析）：主要关注某个文件或对象是否被更改 事件数据库（3/4） 存放各种中间和最终数据的地方。 从事件产生器或事件分析器接收数据，一般会将数据进行较长时间的保存。 响应单元（4/4） 根据告警信息做出反应，是IDS中的主动武器。 可做出： 强烈反应：切断连接、改变文件属性等 简单的报警 入侵检测系统模型 入侵检测原理 入侵检测跟其他检测技术有同样的原理，那就是从