1-IDS入侵检测概述.ppt

* * 入侵检测技术 黄诗勇 计算机学院信息安全系 hsycug@ * * 联想网御IDS多级管理部署 * * 课程内容：入侵检测技术 入侵检测的基础知识 网络安全与入侵检测： P2DR模型 入侵检测技术的发展 入侵检测的基本概念 入侵检测系统/技术 入侵检测系统：模型、分类、架构、布署 入侵检测流程：数据源、分析模型、分析方法 入侵检测技术：主机、网络、混合、分布式 入侵检测的相关问题 入侵检测的标准与评估 入侵检测的发展趋势：先进技术、IPS * * 参考资料 《入侵检测技术》 曹元大主编 2007年第1版 人民邮电出版社 《入侵检测技术》 唐正军 2004年第1版 清华大学出版社 * * 入侵检测概述 * * 主要内容 网络安全与入侵检测 安全对策与入侵检测 P2DR模型 入侵检测的产生与发展 主机IDS 网络IDS 混合IDS 入侵检测的基本概念 * * 网络安全的基本概念—安全实质 网络安全的主要威胁 黑客攻击，恶意代码，DDOS，… 网络安全需求 信息传输安全：链路加密，VPN，WLAN，卫星通信 边界防护安全：防火墙，接入安全控制，安全网关 检测与响应：入侵检测、安全扫描、恶意代码防范 网络安全的实质 确保网络系统安全运行，提供有效网络服务 确保网上传输数据的必威体育官网网址性、完整性与可用性 * * 网络安全的基本概念—安全对策 网络安全防护体系 多道安全防线：纵深保护 多种安全机制：协同工作 完善安全策略 入侵检测 网络安全机制的补充 智能监控、实时探测、动态响应 越权使用（内），入侵企图（外） * * P2DR模型与入侵检测 策略（Policy） 防护（Protection 检测（Detection） 响应（Response） 检测—承前启后 响应与防护的依据 强制落实策略工具 入侵检测是实施检测功能的最有效的技术。 * * 入侵检测产生—早期研究 1980 年James Anderson 首次明确提出安全审计的目标 “计算机安全威胁监控与监视”(Computer Security Thread Monitoring and surveillance) 入侵行为：外部渗透、内部渗透和不法行为 提出了利用审计数据监视入侵活动的思想 1983年，SRI用统计方法分析IBM大型机的SMF记录 入侵检测的研究主要是基于主机的事件日志分析，在早期并没有受到重视 * * 入侵检测发展—主机IDS研究 1986年，Dorothy E. Denning经典论文“An Intrusion Dectection Modal”/~denning/ IDES（Intrusion Detection Expert System）原型系统 基于统计的异常检测 基于规则的误用检测 NIDES（Next-Generation IDES） IDES的加强优化 以太网环境，C/S模式 * * 入侵检测发展—网络IDS研究 网络IDS的两种研究方法 分析主机审计数据 分析网络数据包 1990年，NSM(Network Security Monitor） IEEE ,L.T.Heberlein，“A Network Security Monitor” 第一次将网络数据包作为信息源 1997年，商用网络IDS开始 Cisco开始将网络入侵检测整合到Cisco路由器中 ISS发布RealSecure入侵检测系统 从1996年到1999年，SRI开始EMERALD的研究，它是NIDES的后继者。 * * 入侵检测发展—混合IDS研究 分布式入侵检测系统（DIDS）最早试图把基于主机的方法和网络监视方法集成在一起。 DIDS的最初概念是采用集中式控制技术，向DIDS中心控制器发报告。 DIDS主管 安全管理员 用户界面 专家系统 通信管理器 主机代理 LAN代理 主机事件 发生器 LAN事件 发生器 主机监视器 LAN监视器 * * 入侵检测的概念—入侵 Andersons模型 外部入侵者：非授权用户 内部入侵者：越权的受权用户 违法者：执行非法活动的合法用户 入侵：任何违反安全策略的事件 恶意程序的威胁 探测和扫描系统信息和漏洞 NSTAC下属IDSG对入侵的定义 入侵（Intrusion）是对信息系统的非授权访问以及（或者）未经许可在信息系统中的操作。 * * 入侵检测的概念—入侵检测 IDSG的定义入侵检测（Intrusion Detection)是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。 检测点：收集信息 数据源：主机、网络 规则集：异常、误用 国标GB/T18336入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图” 。 * * 入侵检测的概念—入侵检测