络安全_入侵检测.pptVIP

事件分析器 接收事件信息，对其进行分析，判断是否为入侵行为或异常 现象，最后将判断的结果转变为告警信息。 分析方法： － 模式匹配：将收集到的信息与已知的网络入侵和系统误用模式数据库进 行比较，从而发现违背安全策略的行为 － 统计分析：首先给系统对象（如用户、文件、目录和设备等）创建一个统 计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和 延时等）；测量属性的平均值和偏差将被用来与网络、系统的行为进行比 较，任何观察值在正常值范围之外时，就认为有入侵发生 － 完整性分析（往往用于事后分析）：主要关注某个文件或对象是否被更改 事件数据库 存放各种中间和最终数据的地方。 从事件产生器或事件分析器接收数据，一般会将数据进 行较长时间的保存。 响应单元 根据告警信息做出反应，是IDS中的主动武器。 可做出： － 强烈反应：切断连接、改变文件属性等 － 简单的报警 入侵检测的分类 按照分析方法/检测原理 按照数据来源 按照体系结构 按照工作方式 入侵检测性能关键参数 误报(false positive)：实际无害的事件却被IDS检测为 攻击事件。 漏报(false negative)：一个攻击事件未被IDS检测到或 被分析人员认为是无害的。 入侵检测的分类（1） 按照分析方法/检测原理 － 异常检测（Anomaly Detection ):首先总结正常操作应该 具有的特征（用户轮廓），试图用定量的方式加以描述， 当用户活动与正常行为有重大偏离时即被认为是入侵 － 误用检测（Misuse Detection)：收集非正常操作的行为特 征，建立相关的特征库，当监测的用户或系统行为与库中 的记录相匹配时，系统就认为这种行为是入侵 异常检测 前提：入侵是异常活动的子集 用户轮廓(Profile): 通常定义为各种行为参数及其阀值 的集合，用于描述正常行为范围 过程： 监控 量化 比较 判定 修正 指标:漏报率低,误报率高 异常检测原理模型 80 70 60 activity 50 measures40 30 20 10 0 异常检测举例 90 CPU Process Size probable intrusion normal profile abnormal 异常检测特点 异常检测系统的效率取决于用户轮廓的完备性和监控的频 率 不需要对每种入侵行为进行定义，因此能有效检测未知的 入侵 系统能针对用户行为的改变进行自我调整和优化，但随着 检测模型的逐步精确，异常检测会消耗更多的系统资源 指标:误报低、漏报高 误用检测 前提：所有的入侵行为都有可被检测到的特征 攻击特征库: 当监测的用户或系统行为与库中的记录 相匹配时，系统就认为这种行为是入侵 过程： 监控 特征提取 匹配 判定 误用检测模型 Intrusion 误用检测举例 pattern matching intrusion Patterns activities 例: if (src_ip == dst_ip) then “land attack” 误用检测 如果入侵特征与正常的用户行为能匹配，则系统会发生误 报；如果没有特征能与某种新的攻击行为匹配，则系统会 发生漏报 特点：采用模式匹配，误用模式能明显降低误报率，但漏 报率随之增加。攻击特征的细微变化，会使得误用检测无 能为力。 入侵检测的分类（2） 按照数据来源 － 基于主机：系统获取数据的依据是系统运行所在的主机， 保护的目标也是系统运行所在的主机 － 基于网络：系统获取的数据是网络传输的数据包，保护的 是网络的正常运行 － 混合型 Internet Customers Desktops Network Branch Office Telecommuters Partners 基于主机的入侵检测系统（HIDS） Hacker Web Servers HIDS Servers HIDS HIDS的工作原理 X 检测内容： 系统调用、端口调用、审计记录、 系统日志、应用日志 客户端 Internet 网络服务器1 HIDS 网络服务器2 HIDS 注意： 监视与分析主机的审计记录和日志文件 主要用于保护运行关键应用的服务器 最适合于检测那些可以信赖的内部人员的误用以及已 经避开了传统的检测方法而渗透到网络中的活动 能否及时采集到审计记录 如何保护作为攻击目标的HIDS HIDS Internet Web Servers Cust