第7讲 网络入侵检测.ppt

* 1.网络入侵检测使用原始网络包作为数据源。 2.网络入侵检测通常利用一个运行在混杂模式下网络的适配器来实时监视并分析通过网络的所有通信业务。 比较 主机入侵检测系统主要是对该主机的网络连接行为以及系统审计日志进行智能分析和判断。 * 在被保护的设备上不用占用任何资源。 * 网络入侵检测有许多仅靠基于主机的入侵检测法无法提供的功能。实际上，许多客户在最初使用IDS时，都配置了基于网络的入侵检测。基于网络的检测有以下优点： (1) 侦测速度快 基于网络的监测器通常能在微秒或秒级发现问题。而大多数基于主机的产品则要依靠对最近几分钟内审计记录的分析。 (2) 隐蔽性好 一个网络上的监测器不像一个主机那样明显和易被存取，因而也不那么容易遭受攻击。基于网络的监视器不运行其他的应用程序，不提供网络服务，可以不响应其他计算机，因此可以做得比较安全。 (3) 视野更宽 基于网络的入侵检测甚至可以在网络的边缘上，即攻击者还没能接入网络时就被发现并制止。 (4) 较少的监测器 由于使用一个监测器就可以保护一个共享的网段，所以不需要很多的监测器。相反，如果基于主机，则在每个主机上都需要一个代理，花费昂贵，而且难于管理。但是，如果在一个交换环境下，就需要特殊的配置。 (5) 攻击者不易转移证据 基于网络的IDS使用正在发生的网络通讯进行实时攻击的检测，所以攻击者无法转移证据。被捕获的数据不仅包括攻击的方法，而且还包括可识别黑客身份和对其进行起诉的信息。许多黑客都熟知审计记录，他们知道如何操纵这些文件掩盖他们的作案痕迹，如何阻止需要这些信息的基于主机的系统去检测入侵。 (6) 操作系统无关性 基于网络的IDS作为安全监测资源，与主机的操作系统无关。与之相比，基于主机的系统必须在特定的、没有遭到破坏的操作系统中才能正常工作，生成有用的结果。 (7) 占用资源少 在被保护的设备上不用占用任何资源。 * 网络入侵检测系统存在一些弱点，主要有： ● 网络入侵检测系统只检查它直接连接网段的通信，不能检测在不同网段的网络包。 ● 在使用交换以太网的环境中会出现监测范围的局限。 ● 安装多台网络入侵检测系统的传感器会使部署整个系统的成本大大增加。 ● 网络入侵检测系统为了性能目标通常采用特征检测的方法，它可以检测出一些普通的攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。 ● 网络入侵检测系统可能会将大量的数据传回分析系统中，在一些系统中监听特定的数据包会产生大量的分析数据流量。一些系统在实现时采用一定方法来减少回传的数据量，对入侵判断的决策由传感器实现，而中央控制台成为状态显示与通信中心，不再作为入侵行为分析器。这样的系统中传感器协同工作能力较弱。 ● 另外，网络入侵检测系统处理加密的会话过程比较困难，目前通过加密通道的攻击尚不多，但随着IPv6的普及，这个问题会越来越突出。 * 异常入侵检测 根据异常行为和使用计算机资源的情况检测出来的入侵。 误用入侵检测 利用已知系统和应用软件的弱点攻击模式来检测入侵。 * 1.异常检测就是为系统中的用户、程序或资源建立正常行为模式，然后通过比较用户行为与正常行为模式之间的差异进行检测。 2.误用检测 3.完整性分析：通过检查系统的当前系统配置，诸如系统文件的内容或者系统表，来检查系统是否已经或者可能会遭到破坏。 * System Audit（系统审计） * 优点:可应用成熟的概率统计理论 缺点 1、由于用户行为的复杂性，要想准确地匹配一个用户的历史行为非常困难，容易造成系统误报和漏报；例如未考虑事件的发生顺序，所以对利用事件顺序关系的攻击难以检测；再例如，利用统计轮廓的动态自适应性，通过缓慢改变其行为来训练正常特征轮廓，最终使检测系统将其异常活动判为正常； 3、难以确定门限值 。门限值低则误报率提高，门限值高则漏报率增高。 * 1.专家系统 专家系统是误用检测技术中运用最多的一种方法。将有关入侵的知识转化为if-then结构的规则，即将构成入侵所要求的条件转化为if部分，将发现入侵后采取的相应措施转化成then部分。当其中某个或某部分条件满足时系统就判断为入侵行为发生。其中的if-then结构构成了描述具体攻击的规则库，状态行为及其语义环境可根据审计事件得到，推理机根据规则和行为完成判断工作。在具体实现中，专家系统主要面临： ● 全面性问题，即难以科学地从各种入侵手段中抽象出全面的规则化知识； ● 效率问题，即所需处理的数据量过大，而且在大型系统上，如何获得实时连续的审计数据也是个问题。 因为这些缺陷，专家系统一般不用于商业产品中。 * 在具体实现中，专家系统主要面临： ● 全面性问题，即难以科学地从各种入侵手段中抽象出全面的规则化知识； ● 效率问题，即所需处理的数据量过大，而