电子商务安全《网络入侵检测》课件.pptx

4.6网络入侵检测4.6.1什么是入侵检测入侵检测（intrusiondetection）是对入侵行为的发觉。通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件和硬件的组合便是入侵检测系统（IDS）。入侵检测系统主要执行如下任务：（1）监视、分析用户及系统活动。（2）对异常行为模式进行统计分析，发现入侵行为的规律。（3）检查系统配置的正确性和安全漏洞，并提示管理员修补漏洞。（4）能够实时对检测到的入侵行为进行响应。（5）评估系统关键资源和数据资源的完整性。（6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

4.6网络入侵检测4.6.2网络入侵检测类型1．基于主机的入侵检测系统目标系统审计记录收集方法审计记录预处理方法异常检测误用检测安全管理员接口法审计记录数据归档/查询审计记录数据库图4.24基于主机的IDS系统模型

4.6网络入侵检测2．基于网络的入侵检测系统安全管理/配置入侵分析引擎器嗅探器嗅探器安全数据库网络接口层?分析结果?图4.25基于网络的IDS系统模型

4.6网络入侵检测3．混合入侵检测系统综合以上两种类型的入侵检测技术特征，可以构建混合模式的入侵检测系统以克服基于网络的入侵检测产品和基于主机的入侵检测产品的不足之处。如果这两类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体系，综合了基于网络和基于主机两种结构特点的入侵检测系统，既可以发现网络中的攻击信息，也可以从系统日志中发现异常情况。

4.6网络入侵检测4.6.3入侵检测需求特征一个成功的入侵检测系统至少要满足以下五个主要功能要求。1）实时性。如果攻击或者攻击的企图能够尽快被发现，就有可能查找出攻击者的位置，阻止进一步的攻击活动，把破坏控制在最小限度，并能够记录下攻击者攻击过程的全部网络活动，作为证据回放。实时入侵检测可以避免常规情况下，管理员通过对系统日志进行审计以查找入侵者或入侵行为线索时的种种不便与技术上的限制。2）可扩展性。因为存在成千上万种不同的已知和未知的攻击手段，攻击行为特征也各不相同。所以必须建立一种机制，把入侵检测系统的体系结构与使用策略区分开。一个已经建立的入侵检测系统必须能够保证在新的攻击类型出现时，可以通过某种机制在无须对入侵检测系统本身进行改动的情况下，使系统能够检测到新的攻击行为。并且在入侵检测系统的整体功能设计上，也必须建立一种可扩展的结构，以便系统结构本身能够适应未来可能出现的扩展要求。

4.6网络入侵检测4.6.3入侵检测需求特征3）适应性。入侵检测系统必须能够适应多种不同的环境，比如高速大容量计算机网络环境，并且在系统环境发生改变，比如增加环境中的计算机系统数量，改变计算机系统类型时，入侵检测系统应当不作改变依然能够正常工作。适应性也包括入侵检测系统本身对其宿主平台的适应性，即跨平台工作的能力，适应其宿主平台软、硬件配置的各种不同情况。4）安全性与可用性。入侵检测系统必须尽可能地完善与健壮，不能向其宿主系统以及其所属的计算机环境中引入新的安全问题及安全隐患。5）有效性。能够证明根据某一设计所建立的入侵检测系统是切实有效的。即对于攻击事件的错报与漏报能够控制在一定范围

4.6网络入侵检测4.6.4入侵检测的步骤入侵检测系统的作用是实时地监控计算机系统的活动，发现可疑的攻击行为，以避免攻击的发生，或减少攻击造成的危害。由此也划分了入侵检测的三个基本步骤：1．信息收集入侵检测的第一步就是信息收集，收集的内容包括整个计算机网络中系统、网络、数据及用户活动的状态和行为。入侵检测在很大程度上依赖于收集信息的可靠性、正确性和完备性。因此，要确保采集、报告这些信息的软件工具的可靠性，这些软件本身应具有相当强的坚固性，能够防止被篡改而收集到错误的信息。否则，黑客对系统的修改可能使入侵检测系统功能失常但看起来却跟正常的系统一样。

4.6网络入侵检测2．数据分析数据分析（analysisschemes）是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系统的性能。它首先构建分析器，把收集到的信息经过预处理，建立一个行为分析引擎或模型，然后向模型中植入时间数据，在知识库中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析三种手段进行。前两种方法用于实时入侵检测，而完整性分析则用于事后分析。可用五种统计模型进行数据分析：操作模型、方差、多元模型、马尔柯天过程模型及时间序列分析。统计分析的最大优点是可以学习用户的使用习惯。

4.6网络入侵检测3．响应数据分析发现入侵迹象后，入侵检测系统的下一步工作就是响应。该步骤并不局限于针对可疑的攻击者。目前的入侵检测系统一般采取下列响应方式：1）将分析结果记录在日志文件中