- 1、本文档共46页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
安全11_1(原)
第十一章 入侵检测 回顾:防火墙的缺点 不能防止来自内部网络的攻击 防火墙不能防范不经过防火墙的攻击,如内部网用户通过拨号直接进入Internet。 作为一种被动的防护手段,防火墙不能防范因特网上不断出现的新的威胁和攻击。 …… IDS: Intrusion Detection System 入侵( Intrusion ):对信息系统的非授权访问及(或)未经许可在信息系统中进行操作。 入侵检测(Intrusion Detection ):安装在关键节点,对(网络)系统的运行状态进行监视,对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。 入侵检测系统:入侵检测的软件与硬件的组合,是防火墙的合理补充,是防火墙之后的第二道安全闸门。 入侵检测的内容:试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。 典型的IDS技术 IDS起源与发展 审计技术:产生、记录并检查按时间顺序排列的系统事件记录的过程。 审计的目标: – 确定和保持系统活动中每个人的责任 – 重建事件 – 评估损失 – 监测系统的问题区 – 提供有效的灾难恢复 – 阻止系统的不正当使用 通常用审计日志的形式记录 IDS起源与发展 1980年Anderson提出:提出了精简审计的概念,风险和威胁分类方法 1987年Denning研究发展了实时入侵检测系统模型 IDES入侵检测专家系统:IDES提出了反常活动与计算机不正当使用之间的相关性。 80年代,基于主机的入侵检测 90年代,基于主机和基于网络入侵检测的集成 发展历史 IDS基本结构 简单地说,入侵检测系统包括三个功能部件: (1)信息收集 (2)信息分析 (3)结果处理 入侵检测的设计原理---------通用模型 信息收集 入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。 需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息, – 尽可能扩大检测范围 – 从一个源来的信息有可能看不出疑点 入侵检测很大程度上依赖于收集信息的可靠性和正确性。 要保证用来检测网络系统的软件的完整性。特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。 在一个环境中,审计信息必须与它要保护的系统分开来存储和处理。因为 防止入侵者通过删除审计记录来使入侵检测系统失效 防止入侵者通过修改入侵检测器的结果来隐藏入侵的存在 要减轻操作系统执行入侵检测任务带来的操作负载 信息收集的来源 进行入侵检测的系统叫做主机,被检测的系统或网络叫做目标机。数据来源可分为四类: 来自主机的 – 基于主机的监测收集通常在操作系统层的来自计算机内部的数据,包括操作系统审计跟踪信息和系统日志 ? 来自网络的 – 检测收集网络的数据 来自应用程序的 – 监测收集来自运行着的应用程序的数据,包括应用程序事件日志和其它存储在应用程序内部的数据 来自目标机的 检测对系统对象的修改。 入侵检测的分类 按照数据来源: – 基于主机:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在的主机。 – 基于网络:系统获取的数据是网络传输的数据包,保护的是网络的运行。 – 混合型: 入侵检测的数据源 基于主机的入侵检测系统 系统分析主机产生的数据(应用程序及操作系统的事件日志) 主机的数据源 操作系统事件日志 应用程序日志 – 系统日志 – 关系数据库 – Web服务器 基于主机的检测威胁 特权滥用:当用户具有root权限、管理员特权时,该用户以非授权方式使用特权。 – 具有提高特权的立约人 – 前职员使用旧帐户 – 管理员创建后门帐户 关键数据的访问及修改 – 学生改变成绩、职员修改业绩、非授权泄露、修改WEB站点 安全配置的变化 – 用户没有激活屏保、 – 激活guest帐户 基于主机的入侵检测系统结构 基于主机的入侵检测系统通常是基于代理的,代理是运行在目标系统上的可执行程序,与中央控制计算机(命令控制台)通信。 – 集中式:原始数据在分析之前要先发送到中央位置 – 分布式:原始数据在目标系统上实时分析,只有告警命令被发送给控制台。 基于主机的入侵检测的好处 威慑内部人员 检测 通告及响应 毁坏情况评估 攻击预测 诉讼支持 行为数据辨析 基于主机的技术面临的问题 性能:降低是不可避免的 部署/维护 损害 欺骗 二进制内核日志及Windows NT安全事件日志是两个不错的审计源 Syslog及Windows NT应用程序事件日志是两个糟糕的审计源 基于网络的入侵检测系统 入侵检测系统分析网络数据包 基于网络的检测威胁 非授权访问 – 非授权登录(login) – 进行其它攻击的起始点 数据/资源的窃取 – 口令下载 – 带宽窃取 拒绝服务 – 畸
文档评论(0)