网络入侵检测技术.ppt

异常检测系统也称为基于统计行为的入侵检测。这种方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。A例如，统计分析可能标识一个不正常行为，因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。B事件分析器事件分析器特征检测系统又称为基于规则、知识的入侵检测，它是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。通过分析入侵过程的特征、条件、排列以及事件间的关系，具体描述入侵行为的迹象，不仅对分析已经发生的入侵行为有帮助，而且对即将发生的入侵也有警戒作用。事件分析器完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性。这种分析方法在发现被更改的、被置入特洛依木马的应用程序方面特别有效。完整性分析利用强有力的加密机制（称为消息摘要函数例如MD5），能识别哪怕是微小的变化。异常检测方式可以检测到未知的和更为复杂的入侵；缺点是漏报、误报率高，一般具有自适应功能，入侵者可以逐渐改变自己的行为模式来逃避检测，不适应用户正常行为的突然改变。特征检测的准确率和效率都非常高，只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟；但它只能检测出模式库中已有的类型的攻击，不能检测到从未出现过的攻击手段。而完整性分析的优点是不管前两种方法能否发现人侵，只要是成功的攻击导致了文件或其他关注对象的任何改变，它都能够发现；缺点是一般以批处理方式实现，不用于实时响应。事件分析器响应单元响应单元则是对分析结果作出作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应,甚至发动对攻击者的反击，也可以只是简单的报警。事件数据库事件数据库是记录和存放各种中间和最终数据的地方的统称；它可以是复杂的数据库，也可以是简单的文本文件。小结1IDS系统四个构件完成了事件的产生-分析-响应-记录完整的过程2小结以上通用模型是为了解决不同入侵检测系统的互操作性问题而提出的，互操作的标准是CIDF，主要有三个目的：（1）IDS构件共享，即一个IDS系统的构件可以被另一个IDS系统的构件使用；（2）数据共享，通过提供标准的数据格式，使得IDS中的各类数据可以在不同的系统之间传递并共享；（3）完善互用性标准并建立一套开发接口和支持工具，以提供独立开发部分构件的能力入侵检测系统安装的必要性三种入侵检测系统的概念及各自优缺点四个入侵检测系统构件本章回顾目标通过本章学习，可以掌握入侵检测系统对网络入侵事件分析的方法和原理。概要入侵检测引擎工作流程特征检测和异常检测入侵检测技术第二章：NIDS工作原理第一节入侵检测引擎工作流程网络接口混杂模式根据设置过滤一些数据包过滤程序的算法的重要性监听部分默认状态下，IDS网络接口只能看到进出该主机的信息，也就是所谓的non-promiscuous（非混杂模式）01如果网络接口是混杂模式，就可以看到网段中所有的网络通信量，不管其来源或目的地。02监听部分--网络接口混杂模式监听部分--监听器过滤示例监听器可设置如下规则：Onlycheckthefollowingpacket如果监听器设置了上述规则后，引擎只会检查来自于这个IP地址的数据包，对其它所有的数据包将不在检查，这样可以加快入侵检测系统的工作效率。除了可以对IP地址过滤外，监听部分还应该可以对MAC地址进行过滤，比如设置规则：只检测源MAC号为00-10-A4-C1-9D-03的数据包，那么入侵检测系统只会对源MAC为00-10-A4-C1-9D-03的数据包进行检测。协议分析的功能是辨别数据包的协议类型，以便使用相应的数据分析程序来检测数据包。如一个FTP协议的数据包，协议分析系统将从IP包-TCP-FTP进行深入分析，然后将分析的结果通过数据流传递给数据分析模块。协议分析的目的是为了数据分析模块根据相应的协议检测数据包，因此协议分析模块可分析的协议种类也决定了该IDS系统检测的种类，如果不能对IPV6进行协议分析，那么该IDS系统也无法对IPV6的数据包进行数据分析协议分析协议分析协议IPXICMPOSPFTCPUDPFTPTelnetPOP3SMTPHTTPDNSTFTPIGMPEGPGGPNFSIPPPPIPV6ATMNe