《入侵检测系统》PPT课件.ppt

第9章入侵检测技术 入侵检测技术是近20年来出现的一种主动保护自己免受黑客攻击的新型网络安全技术。什么是入侵检测呢？简单地说，从系统运行过程中产生的或系统所处理的各种数据中查找出威胁系统安全的因素，并对威胁做出相应的处理，就是入侵检测。相应的软件或硬件称为入侵检测系统。入侵检测被认为是防火墙之后的第二道安全闸门，它在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。本课知识点 w入侵检测系统的发展历史、作用及功能。w入侵检测系统的分类。w入侵检测原理及系统通用模型。w入侵检测系统的局限及面临的挑战。w入侵检测系统的发展趋势及产品。提问n什么是入侵检测系统？什么是入侵检测系统？n入侵检测原理是什么？入侵检测原理是什么？n入侵检测系统的局限？入侵检测系统的局限？n第1小节入侵检测技术概述 w入侵检测系统的发展历史 w入侵检测的作用和功能 w入侵检测系统分类 入侵检测系统的发展历史w“入侵”（Intrusion）是个广义的概念，不仅包括发起攻击的人（如恶意的黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问（DoS）等对计算机系统造成危害的行为。从入侵策略的角度可将入侵检测的内容分为：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。w入侵尝试（intrusion attempt）或威胁（threat）定义为：潜在的有预谋未经授权访问信息、操作信息、致使系统不可靠或无法使用的企图。在报告中，Anderson还提出审计跟踪可应用于监视入侵活动的思想。但由于当时所有已有的系统安全程序都着重于拒绝未经认证主体对重要数据的访问，这一设想的重要性当时并未被理解。入侵检测系统的发展历史w1987年，乔治敦大学的Dorothy E.Denning提出了一个实时的入侵检测系统抽象模型IDES（Intrusion Detection Expert System，入侵检测专家系统），首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出。w1988年的Morris Internet蠕虫事件使得Internet近5天无法使用，该事件促进了人们投入更多的精力于IDS的研究。w1990年加州大学戴维斯分校的L.T.Heberlein等人提出了一个新的概念：基于网络的入侵检测NSM（Network Security Monitor）w 1991年，NADIR（Network Anomaly Detection and Intrusion Reporter）与DIDS（Distribute Intrusion Detection System）提出了收集和合并处理来自多个主机的审计信息以检测一系列主机的协同攻击。入侵检测系统的发展历史w1994年，Mark Crosbie和Gene Spafford建议使用自治代理（autonomous agents）以便提高IDS的可伸缩性、可维护性、效率和容错性 w1995年开发了IDES完善后的版本NIDES（Next-Generation Intrusion Detection System）可以检测多个主机上的入侵。w1998年Ross Anderson和 Abida Khattak将信息检索技术引进到入侵检测。w2000年2月，对Yahoo！、Amazon、CNN等大型网站的DDOS（分布式拒绝服务）攻击引发了对IDS系统的新一轮研究热潮。入侵检测的作用和功能 入侵检测的作用主要有如下几个方面。w若能迅速检测到入侵，则有可能在造成系统损坏或数据丢失之前识别并驱除入侵者。w若能迅速检测到入侵，可以减少损失，使系统迅速恢复正常工作，对入侵者造成威胁，阻止其进一步的行动。w通过入侵检测可以收集关于入侵的技术资料，可用于改进和增强系统抵抗入侵的能力。入侵检测的功能有如下几个方面。w监控、分析用户和系统的活动。w核查系统配置和漏洞。w评估关键系统和数据文件的完整性。w识别攻击的活动模式并向网管人员报警。w对异常活动的统计分析。w操作系统审计跟踪管理，识别违反政策的用户活动。w评估重要系统和数据文件的完整性。入侵检测系统分类 根据原始数据的来源分类w基于主机的入侵检测系统（HIDS）w基于网络的入侵检测系统（NIDS）w基于应用（application）的入侵检测系统根据检测原理分类 w异常检测 w误用检测 根据体系结构分类 w集中式 w等级式 w协作式 本小节总结：w了解入侵检测系统的发展历史、作用及功能。w了解入侵检测系统的分类。第2小节入侵检测技术 w入侵检测原理入侵检测原理 w入侵检测系统通用模型入侵检测系统通用模型外围设备外围设备入侵检测原理入侵检测原理入侵检测跟其他检测技术有同样的原理。从一组数据中，检测出符合某入侵检测跟其他检测技术有同样的原理。从一组数据中，检测出符合某一特点的数据。攻击者进行攻击的时候会留下痕迹，这些痕迹和系统正常一特点的数据。攻击者进行攻击的时候会留下痕迹，这些痕迹和系统正常运行的时候产生的数据混在一起，我们的任务就是从这些混合数据中找出运行的时候产生的数据混在一起，我们的任务就是从这些混合数据中找出是否有入侵的痕迹。如果有入侵的痕迹就报警。是否有入侵的痕迹。如果有入侵的痕迹就报警。入侵检测一般包括以下两个步骤。入侵检测一般包括以下两个步骤。信息收集 数据分析 入侵检测系统通用模型 目前所有的入侵检测系统都根据以上原理，实现一个通用模型。入侵检测系统通用模型由5个主要部分（信息收集器、分析器、响应、数据库和目录服务器）组成，如图所示。本小节总结：w掌握入侵检测原理及系统通用模型。第3小节入侵检测系统的弱点和局限 w网络入侵检测系统的局限 w主机入侵检测系统的局限w入侵检测系统面临的挑战 网络入侵检测系统的局限 w网络局限 w检测方法局限 w资源及处理能力局限 主机入侵检测系统的局限 p资源局限资源局限p操作系统局限操作系统局限 p系统日志限制系统日志限制 p被修改过的系统核心能够骗过文被修改过的系统核心能够骗过文件检查件检查 p网络检测局限网络检测局限 IDS技术主要面临着三大挑战。w如何提高入侵检测系统的检测速度，以适应网络通信的要求w如何减少入侵检测系统的漏报和误报，提高其安全性和准确度 w如何提高入侵检测系统的互动性能，从而提高整个系统的安全性能本小节总结：w了解入侵检测系统的局限及面临的挑战第4小节入侵检测系统的发展趋势 随着网络技术和网络规模的不断发展，人们对于计算机网络的依赖也不断增强。与此同时，针对网络系统的攻击越来越普遍，攻击手法日趋复杂。IDS也随着网络技术和相关学科的发展而日趋成熟，其未来发展的趋势主要表现在以下方面。w宽带高速实时的检测技术 w大规模分布式的检测技术w数据挖掘技术 w更先进的检测算法 w入侵响应技术 w建立入侵检测系统评价体系 本小节总结：w了解入侵检测系统的发展趋势 第5小节入侵检测产品 w入侵检测产品的评估 w入侵检测系统实例 入侵检测产品的评估 目前市场上有许多入侵检测系统，这些产品在不同方面都有各自的特色。如何去评价这些产品，尚无形成规定的评估标准。一般可以从以下几个方面去评价一个入侵检测系统。w能保证自身的安全 w运行与维护系统的开销 w入侵检测系统报警准确率 w网络入侵检测系统负载能力以及可支持的网络类型 w支持的入侵特征数和升级能力及方便性 w是否支持IP碎片重组 w是否支持TCP流重组 入侵检测系统实例 wInternet Security System（ISS）公司的LinkTrustIDSwComputer Associates（CA）公司的eTrust Intrusion Detection（eID）wSymentec的Intruder Alertw启明星辰的天阗黑客入侵检测与预警系统w中软DIDSystem 分布式入侵检测系统第6小节入侵检测系统实例 wSnort简介 wSnort的安装 wSnort的运行 wSnort的规则 本次课总结通过本章的学习了解入侵检测系统的发展历史、作用及功能、分类，掌握入侵检测原理及系统通用模型，熟悉入侵检测系统的局限及面临的挑战。作业与练习 w简述入侵检测系统的定义、作用和功能。w简述入侵检测的原理。w入侵检测系统如何分类？w入侵检测系统的局限有哪些？w入侵检测系统面临哪些挑战？w简述入侵检测系统的发展趋势。