《ids入侵檢測技術》ppt課件

1、網(wǎng)絡信息安全,（2011版） 講 授：劉延華 Email: lyhwa@126.com lyhwa@fzu.edu.cn MyTel: 13600811020 福州大學數(shù)學與計算機科學學院,IDS存在與發(fā)展的必然性,一、網(wǎng)絡攻擊的破壞性、損失的嚴重性二、日益增長的網(wǎng)絡安全威脅三、防火墻無法防范網(wǎng)絡內部攻擊,第6章 入侵檢測技術,為什么需要IDS,關于防火墻

2、位于網(wǎng)絡邊界的安全設施自身可能被攻破保護不夠全面不是所有威脅都來自防火墻外部入侵很容易入侵教程隨處可見各種工具唾手可得,網(wǎng)絡安全工具的特點,入侵檢測（Intrusion Detection）是對入侵行為的發(fā)覺。它通過從計算機網(wǎng)絡或計算機系統(tǒng)的關鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。,入侵檢測的定義,入侵檢測的定義,對系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果

3、，以保證系統(tǒng)資源的機密性、完整性和可用性。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)。IDS : Intrusion Detection System,IDS基本結構,入侵檢測系統(tǒng)包括三個部分：（1）信息收集（2）信息分析（3）結果處理,信息收集,入侵檢測的第一步是信息收集，收集內容包括系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為需要在計算機網(wǎng)絡系統(tǒng)中的若干不同關鍵點（不同網(wǎng)段和不同主機）收集信息盡可能擴大檢測范圍從一個源

4、來的信息有可能看不出疑點,信息收集,入侵檢測很大程度上依賴于收集信息的可靠性和正確性；要保證用來檢測網(wǎng)絡系統(tǒng)的完整性特別是入侵檢測系統(tǒng)軟件本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息 ；,信息收集的來源,系統(tǒng)或網(wǎng)絡的日志文件網(wǎng)絡流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為,系統(tǒng)或網(wǎng)絡的日志文件,攻擊者常在系統(tǒng)日志文件中留下他們的蹤跡。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，如“用戶活動”類型日志

5、包含登錄、用戶ID改變等內容。不期望的行為如重復登錄失敗、登錄到不期望的位置等。,系統(tǒng)目錄和文件的異常變化,網(wǎng)絡環(huán)境中的包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標；目錄和文件中的不期望的改變，很可能就是一種入侵產(chǎn)生的指示和信號；入侵者替換、修改和破壞系統(tǒng)上的文件，同時為了隱藏其活動痕跡，會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件 。,信息分析,模式匹配 統(tǒng)計分析 完整性分析，往往用于事后分析,入侵檢測性能關鍵參數(shù),

6、誤報(false positive)：如系統(tǒng)錯誤地將異?；顒佣x為入侵；漏報(false negative)：如系統(tǒng)未能檢測出真正的入侵行為；,入侵檢測的分類（1）,按照分析方法（檢測方法）異常檢測模型（Anomaly Detection ):首先總結正常操作應該具有的特征（用戶輪廓），當用戶活動與正常行為有重大偏離時即被認為是入侵 。,入侵檢測的分類（1）,按照分析方法（檢測方法）誤用檢測模型（Misuse Detection)

7、：收集非正常操作的行為特征，建立相關的特征庫，當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵 。,前提：入侵是異?；顒拥淖蛹?用戶輪廓(Profile): 通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍過程 監(jiān)控 ?量化 ?比較 ? 判定 ? 修正指標:漏報率低,誤報率高,異常檢測,異常檢測特點,異常檢測系統(tǒng)的效率取

8、決于用戶輪廓的完備性和監(jiān)控的頻率；因為不需要對每種入侵行為進行定義，因此能有效檢測未知的入侵；系統(tǒng)能針對用戶行為的改變進行自我調整和優(yōu)化；,前提：所有的入侵行為都有可被檢測到的特征。攻擊特征庫: 當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵。過程 監(jiān)控 ? 特征提取?匹配?判定 指標:誤報低，漏報高。,誤用檢測,入侵檢測的分類（2）,按照數(shù)據(jù)來源：基于主機HIDS：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運行所

9、在的主機，保護的目標也是系統(tǒng)運行所在的主機?；诰W(wǎng)絡NIDS：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡傳輸?shù)臄?shù)據(jù)包，保護的是網(wǎng)絡的運行?；旌闲?,,Internet,,,,,,,基于主機的IDS,網(wǎng)絡服務器1,,客戶端,網(wǎng)絡服務器2,檢測內容： 系統(tǒng)調用、端口調用、系統(tǒng)日志、安全審記、應用日志,HIDS,,,,,HIDS,監(jiān)視與分析主機的審計記錄可以不運行在監(jiān)控主機上能否及時采集到審計記錄如何

10、保護作為攻擊目標主機審計子系統(tǒng),基于主機的IDS,,,,Internet,NIDS,,,,,,,基于網(wǎng)絡入侵檢測系統(tǒng)工作原理,網(wǎng)絡服務器1,,,數(shù)據(jù)包=包頭信息+有效數(shù)據(jù)部分,客戶端,網(wǎng)絡服務器2,檢測內容： 包頭信息+有效數(shù)據(jù)部分,兩類IDS監(jiān)測軟件,網(wǎng)絡IDS偵測速度快 隱蔽性好 視野更寬 較少的監(jiān)測器 占資源少,主機IDS視野集中 易于用戶自定義保護更加周密對網(wǎng)絡流量不敏感,響應策略,彈