收藏
下载资源 加入VIP免费专享

第14章入侵检测技术.ppt

上传人:本田雅阁 文档编号:2908175 上传时间:2019-06-04 格式:PPT 页数:26 大小:375.02KB
返回 下载 相关 举报
第14章入侵检测技术.ppt_第1页
第1页 / 共26页
第14章入侵检测技术.ppt_第2页
第2页 / 共26页
第14章入侵检测技术.ppt_第3页
第3页 / 共26页
第14章入侵检测技术.ppt_第4页
第4页 / 共26页
第14章入侵检测技术.ppt_第5页
第5页 / 共26页
点击查看更多>>
资源描述

《第14章入侵检测技术.ppt》由会员分享,可在线阅读,更多相关《第14章入侵检测技术.ppt(26页珍藏版)》请在三一文库上搜索。

1、第14章 入侵检测技术,对付网络入侵,只有防火墙是不够的。 防火墙只是试图抵挡网络入侵者,很难去发现入侵的企图和成功的入侵。 这就需要一种新的技术入侵检测技术。 入侵检测技术能发现网络入侵者的入侵行为和入侵企图,及时向用户发出警报,将入侵消灭在成功之前。 Web 信息系统的登录日志, 成功和不成功的登录都包括在日志信息里. 通过分析不成功的原因作出判断.,第14章 入侵检测技术,Network and Information Security,14.1 入侵检测系统概述,安全技术有:身份认证与识别、访问控制机制、加密技术、防火墙技术等。 这些技术都把注意力集中在系统的自身加固和防护上,属于静态

2、的安全防御技术,对于网络环境下日新月异的攻击手段缺乏主动的反应。 自适应网络安全技术(动态安全技术)和动态安全模型应运而生。,Network and Information Security,第14章 入侵检测技术,入侵检测作为动态安全技术的核心技术之一,是防火墙的合理补充. 入侵检测帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性,是安全防御体系的一个重要组成部分。,Network and Information Security,第14章 入侵检测技术,入侵检测(Intrusion Detection),顾名思义,即

3、是发觉入侵行为。 它在计算机网络或计算机系统中的若干关键点收集信息,通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称 IDS)。 入侵检测系统需要更多的智能,它必须能将得到的数据进行分析,并得出有用的结果。 早期的 IDS 模型设计用来监控单一服务器,是基于主机的入侵检测系统;近期的更多模型则集中用于监控通过网络互联的多个服务器。,Network and Information Security,第14章 入侵检测技术,14.1 入侵检测系统概述,入侵检测系

4、统的任务和作用是: (1)监视、分析用户及系统活动; (2)对系统弱点的审计; (3)识别和反应已知进攻的活动模式并向相关人士报警; (4)异常行为模式的统计分析; (5)评估重要系统和数据文件的完整性; (6)操作系统的审计跟踪管理,识别用户违反安全策略的行为。,Network and Information Security,第14章 入侵检测技术,入侵检测系统有两个指标。 一是漏报率,指攻击事件没有被IDS检测到,与其相对的是检出率; 二是误报率,指把正常事件识别为攻击并报警。 误报率与检出率成正比例关系。,Network and Information Security,第14章 入侵

5、检测技术,入侵检测系统的 CIDF 模型 CIDF 模型是由 CIDF(Common Intrusion Detection Framework)工作组提出的。 CIDF专门从事对入侵检测系统(IDS)进行标准化的研究机构。 它主要研究的是入侵检测系统的通用结构、入侵检测系统各组件间的通信接口问题、通用入侵描述语言(Common Intrusion Specification Language,CISL)以及不同入侵检测系统间通信问题等关于入侵检测的规范化问题。,Network and Information Security,第14章 入侵检测技术,14.2 入侵检测系统结构,入侵检测系统的

6、 CIDF 模型,Network and Information Security,第14章 入侵检测技术,14.2 入侵检测系统结构,事件产生器即检测器,它从整个系统环境中获得事件,并向系统的其他部分提供此事件;,事件分析器分析得到的数据,并产生分析结果;,事件数据库是存放各种中间和最终数据的地方的总称,它可以是复杂的数据库,也可以是简单的文本文件。,响应单元则是对分析结果作出反应的功能单元,它可以做出切断连接、改变文件属性等反应,甚至发动对攻击者的反击,也可以仅仅简单地报警;,IETF 的入侵检测系统模型,Network and Information Security,第14章 入侵检测

7、技术,Denning 的通用入侵检测系统模型,Network and Information Security,第14章 入侵检测技术,按数据来源的分类 由于入侵检测是个典型的数据处理过程,因而数据采集是其首当其冲的第一步。 同时,针对不同的数据类型,所采用的分析机理也是不一样的。 根据入侵检测系统输入数据的来源来看,它可分为:基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统。,Network and Information Security,第14章 入侵检测技术,14.3 入侵检测系统类型,基于主机的入侵检测系统(HIDS)通常以系统日志、应用程序日志等审计记录文件作为数

8、据源。 它是通过比较这些审计记录文件的记录与攻击签名(一种特定的方式来表示已知的攻击模式),以发现它们是否匹配。 如果匹配,检测系统就向系统管理员发出入侵报警并采取相应的行动。 基于主机的 IDS 可以精确地判断入侵事件,并可对入侵事件作出立即反应。,Network and Information Security,第14章 入侵检测技术,1.基于主机的(Host-Based)入侵检测系统,该系统具有明显的优点: (1) 能够确定攻击是否成功 (2) 非常适合于加密和交换环境 (3) 近实时的检测和响应 (4) 不需要额外的硬件 (5) 可监视特定的系统行为,Network and Infor

9、mation Security,第14章 入侵检测技术,以原始的网络数据包作为数据源。 它是利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务的。其攻击识别模块在进行攻击签名识别时常用的技术有: 模式、表达式或字节码的匹配; 频率或阈值的比较; 事件相关性处理; 异常统计检测。 一旦检测到攻击,IDS 的响应模块通过通知、报警以及中断连接等方式来对攻击行为作出反应。,Network and Information Security,第14章 入侵检测技术,2.基于网络的(Network-Based)入侵检测系统,较之于基于主机的 IDS,它有着自身明显的优势: 攻击者转移证据更困难

10、 实时检测和应答 能够检测到未成功的攻击企图 操作系统无关性 较低的成本,Network and Information Security,第14章 入侵检测技术,当然,对于基于网络的 IDS 来讲,同样有着一定的不足: 它只能监视通过本网段的活动,并且精确度较差; 在交换网络环境中难于配置; 防欺骗的能力比较差,对于加密环境无能为力了。,Network and Information Security,第14章 入侵检测技术,从以上对基于主机的 IDS 和基于网络的 IDS 的分析可以看出:这两者各自都有着自身独到的优势,而且在某些方面是很好的互补。 如果采用这两者结合的入侵检测系统,那将是

11、汲取了各自的长处,又弥补了各自的不足的一种优化设计方案。 通常,这样的系统一般为分布式结构,由多个部件组成,它能同时分析来自主机系统的审计数据及来自网络的数据通信流量信息。 分布式的 IDS 将是今后人们研究的重点,它是一种相对完善的体系结构,为日趋复杂的网络环境下的安全策略的实现提供了最佳的解决方案。,Network and Information Security,第14章 入侵检测技术,3.分布式的入侵检测系统,从入侵检测的典型实现过程可以看出,数据分析是入侵检测系统的核心,它是关系到能否检测出入侵行为的关键。 检出率是人们关注的焦点,不同的分析技术所体现的分析机制也是不一样的,从而对数

12、据分析得到的结果当然也就大不相同,而且不同的分析技术对不同的数据环境的适用性也不一样。 根据入侵检测系统所采用的分析技术来看,它可以分为采用异常检测的入侵检测系统和采用误用检测的入侵检测系统。,Network and Information Security,第14章 入侵检测技术,按分析技术的分类,1.异常检测(Anomaly Detection) 假定所有的入侵行为都是异常的,即入侵行为是异常行为的子集。 原理是:首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵行为。,Network and Information Se

13、curity,第14章 入侵检测技术,从异常检测的实现机理来看,异常检测所面临的关键问题有: (1) 特征量的选择 (2) 阈值的选定 (3) 比较频率的选取 从异常检测的原理我们可以看出,该方法的技术难点在于:“正常”行为特征轮廓的确定;特征量的选取;特征轮廓的更新。,Network and Information Security,第14章 入侵检测技术,由于这几个因素的制约,异常检测的误报率会很高,但对于未知的入侵行为的检测非常有效,同时它也是检测冒充合法用户的入侵行为的有效方法。,Network and Information Security,第14章 入侵检测技术,其基本前提是:假

14、定所有可能的入侵行为都能被识别和表示。 原理是:首先对已知的攻击方法进行攻击签名表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。 同样,误用检测也存在着影响检测性能的关键问题:攻击签名的恰当表示。,Network and Information Security,第14章 入侵检测技术,2.误用检测(Misuse Detection),(1) 它只能根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为,而面对新的入侵攻击行为以及那些利用系统中未知或潜在缺陷的越权行为则无能为力。也就是说,不能检测未知的入侵行为。 (2) 与系统的相关性很强,即检测系

15、统知识库中的入侵攻击知识与系统的运行环境有关。对于不同的操作系统,由于其实现机制不同,对其攻击的方法也不尽相同,因而很难定义出统一的模式库。 (3) 对于系统内部攻击者的越权行为,由于他们没有利用系统的缺陷,因而很难检测出来。,Network and Information Security,第14章 入侵检测技术,误用检测的主要局限性表现在:,入侵检测的两种最常用技术在实现机理、处理机制上存在明显的不同,而且各自都有着自身无法逾越的障碍,使得各自都有着某种不足。 但是采用这两种技术混合的方案,将是一种理想的选择,这样可以做到优势互补。,Network and Information Security,第14章 入侵检测技术,3.采用两种技术混合的入侵检测,除了上述对入侵检测系统的基本分类外,还有其它不同形式的分类方法,如按照入侵检测系统的响应方式来划分,可分为主动的入侵检测系统和被动的入侵检测系统。 主动的入侵检测系统对检测到的入侵行为进行主动响应、处理,而被动的入侵检测系统则对检测到的入侵行为仅进行报警。,Network and Information Security,第14章 入侵检测技术,其它的分类,Thanks!,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1