《ids入侵檢測技術(shù)》ppt課件

1、網(wǎng)絡(luò)信息安全,（2011版） 講 授：劉延華 Email: lyhwa@126.com lyhwa@fzu.edu.cn MyTel: 13600811020 福州大學(xué)數(shù)學(xué)與計算機(jī)科學(xué)學(xué)院,IDS存在與發(fā)展的必然性,一、網(wǎng)絡(luò)攻擊的破壞性、損失的嚴(yán)重性二、日益增長的網(wǎng)絡(luò)安全威脅三、防火墻無法防范網(wǎng)絡(luò)內(nèi)部攻擊,第6章 入侵檢測技術(shù),為什么需要IDS,關(guān)于防火墻

2、位于網(wǎng)絡(luò)邊界的安全設(shè)施自身可能被攻破保護(hù)不夠全面不是所有威脅都來自防火墻外部入侵很容易入侵教程隨處可見各種工具唾手可得,網(wǎng)絡(luò)安全工具的特點(diǎn),入侵檢測（Intrusion Detection）是對入侵行為的發(fā)覺。它通過從計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。,入侵檢測的定義,入侵檢測的定義,對系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果

3、，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)。IDS : Intrusion Detection System,IDS基本結(jié)構(gòu),入侵檢測系統(tǒng)包括三個部分：（1）信息收集（2）信息分析（3）結(jié)果處理,信息收集,入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為需要在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息盡可能擴(kuò)大檢測范圍從一個源

4、來的信息有可能看不出疑點(diǎn),信息收集,入侵檢測很大程度上依賴于收集信息的可靠性和正確性；要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的完整性特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅固性，防止被篡改而收集到錯誤的信息 ；,信息收集的來源,系統(tǒng)或網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為,系統(tǒng)或網(wǎng)絡(luò)的日志文件,攻擊者常在系統(tǒng)日志文件中留下他們的蹤跡。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，如“用戶活動”類型日志

5、包含登錄、用戶ID改變等內(nèi)容。不期望的行為如重復(fù)登錄失敗、登錄到不期望的位置等。,系統(tǒng)目錄和文件的異常變化,網(wǎng)絡(luò)環(huán)境中的包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)；目錄和文件中的不期望的改變，很可能就是一種入侵產(chǎn)生的指示和信號；入侵者替換、修改和破壞系統(tǒng)上的文件，同時為了隱藏其活動痕跡，會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件 。,信息分析,模式匹配 統(tǒng)計分析 完整性分析，往往用于事后分析,入侵檢測性能關(guān)鍵參數(shù),

6、誤報(false positive)：如系統(tǒng)錯誤地將異?；顒佣x為入侵；漏報(false negative)：如系統(tǒng)未能檢測出真正的入侵行為；,入侵檢測的分類（1）,按照分析方法（檢測方法）異常檢測模型（Anomaly Detection ):首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是入侵 。,入侵檢測的分類（1）,按照分析方法（檢測方法）誤用檢測模型（Misuse Detection)

7、：收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵 。,前提：入侵是異常活動的子集 用戶輪廓(Profile): 通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍過程 監(jiān)控 ?量化 ?比較 ? 判定 ? 修正指標(biāo):漏報率低,誤報率高,異常檢測,異常檢測特點(diǎn),異常檢測系統(tǒng)的效率取

8、決于用戶輪廓的完備性和監(jiān)控的頻率；因?yàn)椴恍枰獙γ糠N入侵行為進(jìn)行定義，因此能有效檢測未知的入侵；系統(tǒng)能針對用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化；,前提：所有的入侵行為都有可被檢測到的特征。攻擊特征庫: 當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵。過程 監(jiān)控 ? 特征提取?匹配?判定 指標(biāo):誤報低，漏報高。,誤用檢測,入侵檢測的分類（2）,按照數(shù)據(jù)來源：基于主機(jī)HIDS：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所

9、在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)。基于網(wǎng)絡(luò)NIDS：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行。混合型,,,Internet,,,,,,,基于主機(jī)的IDS,網(wǎng)絡(luò)服務(wù)器1,,客戶端,網(wǎng)絡(luò)服務(wù)器2,檢測內(nèi)容： 系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日志、安全審記、應(yīng)用日志,HIDS,,,,,HIDS,監(jiān)視與分析主機(jī)的審計記錄可以不運(yùn)行在監(jiān)控主機(jī)上能否及時采集到審計記錄如何

10、保護(hù)作為攻擊目標(biāo)主機(jī)審計子系統(tǒng),基于主機(jī)的IDS,,,,Internet,NIDS,,,,,,,基于網(wǎng)絡(luò)入侵檢測系統(tǒng)工作原理,網(wǎng)絡(luò)服務(wù)器1,,,數(shù)據(jù)包=包頭信息+有效數(shù)據(jù)部分,客戶端,網(wǎng)絡(luò)服務(wù)器2,檢測內(nèi)容： 包頭信息+有效數(shù)據(jù)部分,兩類IDS監(jiān)測軟件,網(wǎng)絡(luò)IDS偵測速度快 隱蔽性好 視野更寬 較少的監(jiān)測器 占資源少,主機(jī)IDS視野集中 易于用戶自定義保護(hù)更加周密對網(wǎng)絡(luò)流量不敏感,響應(yīng)策略,彈