信息与网络安全教学课件作者程光第十一章.ppt

第11章 入侵检测技术 入侵检测的基本原理和结构 入侵检测的分类 入侵检测的技术指标 入侵检测的标准化和发展方向 入侵检测系统的实例 入侵检测技术是主动保护自己免受攻击的一种网络安全技术。入侵检测系统（Intrusion-detection system，IDS）就是采用入侵检测技术的系统。目前主要的网络安全技术有IDS、防火墙、扫描器、VPN和防病毒技术 。 四种网络安全技术的对比 入侵检测系统的定义是入侵检测系统是一种对网络传输进行实时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。 1980年4月，James P. Anderson :《Computer Security Threat Monitoring and Surveillance》（计算机安全威胁监控与监视）的技术报告，第一次详细阐述了入侵检测的概念。 从1984年到1986年，乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型（Intrusion Detection Expert System，IDES）。 1990，加州大学戴维斯分校的L. T. Heberlein等人开发出了网络安全监测器（Network Security Monitor，NSM）。 ALERT（警报） 当一个入侵正在发生或者试图发生时，IDS系统将发布一个alert信息通知系统管理员。 Anomaly（异常） 一个基于anomaly（异常）的IDS会构造一个当时活动的主机或网络的大致轮廓，当有一个在这个轮廓以外的事件发生时，IDS就会告警 。 自动响应 指可以通过重新配置路由器和防火墙，拒绝那些来自同一地址的信息流；并通过在网络上发送reset包切断连接。 Signature（特征） IDS的核心是攻击特征，它使IDS在事件发生时触发。 Promiscuous（混杂模式） 如果网络接口是混杂模式，就可以看到网段中所有的网络通信量，不管其来源或目的地。 入侵检测系统包括三个功能部件： （1）信息收集 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。 信息收集的来源：网络流量日志，系统或网络的日志文件，网络流量、系统目录和文件的异常变化，程序执行中的异常行为等。 （2）信息分析 信息分析往往用于事后分析，包括：模式匹配、统计分析、完整性分析等。 （3）结果处理 结果处理的作用在于报警和响应，报警就是通知管理员，产生一个正式的警报，而响应就是对警报的安全事件的处理。 目 录 入侵检测的基本原理和结构 入侵检测的分类 入侵检测的技术指标 入侵检测的标准化和发展方向 入侵检测系统的实例 从技术上，入侵检测分为两类 基于标志（signature-based）又叫做基于规则（rule-based） 基于规则的检测技术的核心是维护一个知识库，对于已知的攻击，它可以详细、准确的报告出攻击类型，但是对未知攻击却效果有限，而且知识库必须不断更新。 基于异常情况（anomaly-based） 基于异常的检测技术则无法准确判别出攻击的手法，但它可以（至少在理论上可以）判别更广泛、甚至未发觉的攻击。 在两种检测技术的基础上形成了两种不同形式的检测模型：入侵检测可以分为异常检测模型（Anomaly Detection )和误用检测模型（Misuse Detection)。 从技术上，入侵检测分为两类 异常检测模型 检测与可接受行为之间的偏差。 其效率取决于用户轮廓的完备性和监控的频率。 异常入侵检测方法：统计异常检测、基于特征选择异常检测、基于贝叶斯推理异常检测、基于贝叶斯网络异常检测、基于模式预测异常检测、基于神经网络异常检测、基于贝叶斯聚类异常检测、基于机器学习异常检测、基于数据挖掘异常检测、基于误用的入侵检测。 从技术上，入侵检测分为两类 误用检测模型 前提是所有的入侵行为都有可被检测到的特征。 主要思想是通过某种方式预先定义入侵行为，然后监视系统，从中找出符合预先定义规则的入侵行为。 误用入侵检测方法主要有：基于条件概率误用检测、基于专家系统误用检测、基于状态迁移误用检测、基于键盘监控误用检测、基于模型误用检测、基于误用的入侵检测。 特点是错报的概率比较低，但是漏报的概率比较高。 按照数据来源分类 基于主机的入侵检测系统 基于主机的入侵检测监视与分析主机的审计记录，由于内部人员的威胁正变得更重要，基于主机入侵检测主要发现特权滥用、关键数据的访问及修改、安全配置的变化等威胁。 该系统有两种工作方式：集中式和分布式，集中式 功能主要有：警报、监视、毁