项目8入侵检测技术.ppt

项目8 入侵检测技术 项目1 双机互连对等网络的组建 8.1 项目提出 张先生开办的公司发展势头良好，网站的点击也逐日增加。与此同时，张先生也更加愿意投入资金，添置了防火墙、杀毒软件等来保护自己的网站。尽管如此，他的网站还是会不时遭到莫名的攻击。 新来的网络管理员小李了解了该网站的大概情况后，他向张先生建议，只配备防火墙和杀毒软件还不够，还需要一个强大的技术来保证网络的安全，那就是入侵检测技术。 在采纳了小李的建议后，网站的安全状况有了明显的好转。 8.2 项目分析 防火墙尽管具有强大的抵御外部攻击的功能，能保护系统不受未经授权访问的侵扰，但却无法阻止来自内部人员的攻击。 在网络安全管理中，除了消极被动地阻止攻击行为，还应该主动出击去检测那些正在实施的攻击行为，进一步预防安全隐患的发生。 传统的防火墙在工作时，就像深宅大院虽有高大的院墙，却不能挡住小老鼠甚至是家贼的偷袭一样，因为入侵者可以找到防火墙背后可能敞开的后门。 另外，防火墙完全不能阻止来自网络内部的攻击，通过调查发现，65%左右的攻击来自于网络内部，对于企业内部心怀不满的员工来说，防火墙形同虚设。 还有，由于性能的限制，防火墙不能提供实时的入侵检测能力，而这一点，对于现在层出不穷的攻击技术来说是至关重要的。 最后，防火墙对于病毒也束手无策。 因此，以为在Internet入口处部署防火墙系统就足够安全的想法是不切实际的。 根据这一问题，人们设计出了入侵检测系统(IDS)，IDS可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如，记录证据用于跟踪、恢复、断开网络连接等。 如果说防火墙是一幢大楼的门卫，那么入侵检测和防御就是这幢大楼里的监视系统。 一旦有入侵大楼的行为，或内部人员有越界行为，实时监视系统就会发现情况并发出警报。 8.3 相关知识点 8.3.1 入侵检测系统概述 入侵检测系统 (Intrusion Detection System，IDS) 是一类专门面向网络入侵的安全监测系统，它从计算机网络系统中的若干关键点收集信息，并分析这些信息，查看网络中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测被认为是防火墙之后的第二道安全防线，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。 入侵检测系统的基本功能有以下几个方面。 (1) 检测和分析用户及系统的活动。 (2) 审计系统配置和漏洞。 (3) 识别已知攻击。 (4) 统计分析异常行为。 (5) 评估系统关键资源和数据文件的完整性。 (6) 对操作系统的审计、追踪、管理，并识别用户违反安全策略的行为。 一个成功的入侵检测系统，不但可使系统管理员时刻了解网络系统 (包括程序、文件和硬件设备等) 的任何变更，还能给网络安全策略的制定提供指南。 同时，它应该是管理和配置简单，使非专业人员也能容易地获得网络安全。 当然，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。 入侵检测系统在发现入侵后，应及时做出响应，包括切断网络连接、记录事件和报警等。 目前，入侵检测系统主要以模式匹配技术为主，并结合异常匹配技术。 从实现方式上一般分为两种：基于主机和基于网络， 而一个完备的入侵检测系统则一定是基于主机和基于网络这两种方式兼备的分布式系统。 另外，能够识别的入侵手段数量的多少、必威体育精装版入侵手段的更新是否及时也是评价入侵检测系统的关键指标。 8.3.2 入侵检测系统的基本结构 美国国防部高级研究计划署(DARPA)提出的建议是公共入侵检测框架(CIDF)。CIDF阐述了一个入侵检测系统的通用模型，它将一个入侵检测系统分为以下四个基本组件：事件发生器、事件分析器、响应单元和事件数据库。 (1) 事件发生器。 ① 负责原始数据采集，并将收集到的原始数据转换为事件，向系统的其他部分提供此事件。 ② 收集内容，包括系统、网络数据及用户活动的状态和行为。 ③ 需要在计算机网络系统中的若干不同的关键点(不同网段和不同主机)收集信息。包括系统和网络的日志文件；网络流量；系统目录和文件的异常变化；程序执行的异常行为等。 入侵检测系统很大程度上依赖于收集信息的可靠性和正确性，要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有坚固性，防止被篡改而收集到错误的信息。 (2) 事件分析器。接收事件信息，并对其进行分析，判断是否为入侵行为或异常现象，最后将判断的结果转变为告警信息。分析方法主要有以下几种。 ① 模式匹配。将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。 ② 统计分析。首先给系统对象(如用户、文件、目录、设备等)创建一个统计描述，统计正常使用时的一些测量属性(如访问次数、操作失败次数和延