入侵检测与入侵防御课件.pptVIP

第六章入侵检测与入侵防御聂旭云信息与软件工程学院电子科技大学1

为什么需要IDS关于防火墙n网络边界的设备n自身可以被攻破n对某些攻击保护很弱n不是所有的威胁来自防火墙外部n预防是理想的，但检测是必须的2

网络安全工具的特点优点局限性防火墙可简化网络管理，产品成熟无法处理网络内部的攻击IDS实时监控网络安全状态误报警，缓慢攻击，新的攻击模式Scanner简单可操作，帮助系统管理并不能真正扫描漏洞员和安全服务人员解决实际问题VPN保护公网上的内部通信可视为防火墙上的一个漏洞防病毒针对文件与邮件，产品成熟功能单一3

入侵检测入侵检测（IntrusionDetection）是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象nnIDS:IntrusionDetectionSystem。进行入侵检测的软件与硬件的组合便是入侵检测系统4

IDS基本结构入侵检测系统包括三个功能部件（1）信息收集（2）信息分析（3）结果处理5

信息收集入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为nn需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息尽可能扩大检测范围n从一个源来的信息有可能看不出疑点n6

信息收集入侵检测很大程度上依赖于收集信息的可靠性和n正确性要保证用来检测网络系统的软件的完整性nn特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息7

信息收集的来源系统或网络的日志文件网络流量nnnn系统目录和文件的异常变化程序执行中的异常行为8

信息分析§模式匹配§统计分析§完整性分析，往往用于事后分析9

模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为nn一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）10

统计分析统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）nn测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生11

完整性分析完整性分析主要关注某个文件或对象是否被更改这经常包括文件和目录的内容及属性nnn在发现被更改的、被安装木马的应用程序方面特别有效12

入侵检测性能关键参数误报(falsepositive)：如果系统错误地将异常活动定义为入侵nn漏报(falsenegative)：如果系统未能检测出真正的入侵行为13

入侵检测的分类（1）按照分析方法（检测方法）n异常检测模型（AnomalyDetection):首先总结n正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。（异常发现）误用检测模型（MisuseDetection)：收集非正n常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。（特征检测、模式发现14

异常检测模型15

异常检测1.前提：入侵是异常活动的子集2.用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围3.过程监控?量化?比较?判定?修正4.指标:漏报率低,误报率高16

异常检测特点异常检测系统的效率取决于用户轮廓的完备性和监控的频率nnn因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源17

误用检测模型18

误用检测1.前提：所有的入侵行为都有可被检测到的特征2.攻击特征库:当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵3.过程监控?特征提取?匹配?判定4.指标:误报低、漏报高19

误用检测模型如果特征与正常的用户行为匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报nn特点：采用特征匹配，误用模式能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得误用检测无能为力20

入侵检测的分类（2）按照数据来源：n基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机n基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行n混合型n21

基于主机监视与分析主机的审计记录可以不运行在监控主机上nnn