系统入侵的鉴别与防御.ppt

系统入侵的鉴别与防御(续) 入侵检测的定义 对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性 进行入侵检测的软件与硬件的组合便是入侵检测系统 IDS : Intrusion Detection System 常用的安全防护措施－防火墙 防火墙的局限性 防火墙不能防止通向站点的后门。 防火墙一般不提供对内部的保护。 防火墙无法防范数据驱动型的攻击。 防火墙本身的防攻击能力不够，容易成为被攻击的首要目标 防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略 网络安全工具的特点 IDS存在与发展的必然性 网络攻击的破坏性、损失的严重性 日益增长的网络安全威胁 单纯的防火墙无法防范复杂多变的攻击 为什么需要IDS 关于防火墙 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 入侵很容易 入侵教程随处可见 各种工具唾手可得 防火墙与IDS联动 入侵检测系统的作用 实时检测 实时地监视、分析网络中所有的数据报文 发现并实时处理所捕获的数据报文 安全审计 对系统记录的网络事件进行统计分析 发现异常现象 得出系统的安全状态，找出所需要的证据 主动响应 主动切断连接或与防火墙联动，调用其他程序处理 入侵检测的特点 一个完善的入侵检测系统的特点： 经济性 时效性 安全性 可扩展性 入侵检测技术——IDS的优点 实时检测网络系统的非法行为 网络IDS系统不占用系统的任何资源 网络IDS系统是一个独立的网络设备，可以做到对黑客透明，因此其本身的安全性高 它既是实时监测系统，也是记录审计系统，可以做到实时保护，事后分析取证 主机IDS系统运行于保护系统之上，可以直接保护、恢复系统 通过与防火墙的联动，可以更有效地阻止非法入侵和破坏 入侵检测的起源（2） 审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程 审计的目标： 确定和保持系统活动中每个人的责任 重建事件 评估损失 监测系统的问题区 提供有效的灾难恢复 阻止系统的不正当使用 入侵检测的起源（3） 计算机安全和审计 美国国防部在70年代支持“可信信息系统”的研究，最终审计机制纳入《可信计算机系统评估准则》（TCSEC）C2级以上系统的要求的一部分 “褐皮书”《理解可信系统中的审计指南》 入侵检测的起源（4） 1980年4月，James P. Anderson :《Computer Security Threat Monitoring and Surveillance》（计算机安全威胁监控与监视）的技术报告，第一次详细阐述了入侵检测的概念 他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种 还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作 入侵检测的起源（5） 从1984年到1986年，乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型，取名为IDES（入侵检测专家系统） 入侵检测的起源（6） 1990，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM（Network Security Monitor） 该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机 入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS 入侵检测的起源（7） IDS物理结构 IDS物理结构——探测引擎 采用旁路方式全面侦听网上信息流，实时分析 将分析结果与探测器上运行的策略集相匹配 执行报警、阻断、日志等功能。 完成对控制中心指令的接收和响应工作。 探测器是由策略驱动的网络监听和分析系统。 IDS功能结构 入侵检测是监测计算机网络和系统,以发现违反安全策略事件的过程 简单地说，入侵检测系统包括三个功能部件： （1）信息收集 （2）信息分析 （3）结果处理 信息收集（1） 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。 需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息， 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点 信息收集（2） 入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息 信息收集的来源 系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为 系统或网络的日志文件 黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入