福建高考数学答案(理科).ppt

第14章入侵检测技术,对付网络入侵，只有防火墙是不够的。防火墙只是试图抵挡网络入侵者，很难去发现入侵的企图和成功的入侵。这就需要一种新的技术入侵检测技术。入侵检测技术能发现网络入侵者的入侵行为和入侵企图，及时向用户发出警报，将入侵消灭在成功之前。Web信息系统的登录日志,成功和不成功的登录都包括在日志信息里.通过分析不成功的原因作出判断.,第14章入侵检测技术,NetworkandInformationSecurity,14.1入侵检测系统概述,安全技术有：身份认证与识别、访问控制机制、加密技术、防火墙技术等。这些技术都把注意力集中在系统的自身加固和防护上，属于静态的安全防御技术，对于网络环境下日新月异的攻击手段缺乏主动的反应。自适应网络安全技术（动态安全技术）和动态安全模型应运而生。,NetworkandInformationSecurity,第14章入侵检测技术,入侵检测作为动态安全技术的核心技术之一，是防火墙的合理补充.入侵检测帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性，是安全防御体系的一个重要组成部分。,入侵检测（IntrusionDetection），顾名思义，即是发觉入侵行为。它在计算机网络或计算机系统中的若干关键点收集信息，通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（IntrusionDetectionSystem，简称IDS）。入侵检测系统需要更多的智能，它必须能将得到的数据进行分析，并得出有用的结果。早期的IDS模型设计用来监控单一服务器，是基于主机的入侵检测系统；近期的更多模型则集中用于监控通过网络互联的多个服务器。,IDS缺陷,IDS系统通过查找任何异常的通信发挥作用。当检测到异常的通信时，这种行动将被记录下来并且向管理员发出警报。但存在误报在过去的几年里，IDS系统已经有了很大的进步。目前，IDS系统的工作方式更像是一种杀毒软件。IDS系统包含一个名为攻击签名的数据库。这个系统不断地把入网的通信与数据库中的信息进行比较。如果检测到攻击行动，IDS系统就发出这个攻击的报告。IPS与IDS类似，但是，IPS在设计上解决了IDS的一些缺陷。,入侵防御系统,“IPS（IntrusionPreventionSystem,入侵防御系统）位于防火墙和网络设备之间。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。IPS检测攻击的方法也与IDS不同。目前有很多种IPS系统，它们使用的技术都不相同。但是，一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。如果你要购买有效的安全设备，如果你使用IPS而不是使用IDS，你的网络通常会更安全。”,14.1入侵检测系统概述,入侵检测系统的任务和作用是：(1)监视、分析用户及系统活动；(2)对系统弱点的审计；(3)识别和反应已知进攻的活动模式并向相关人士报警；(4)异常行为模式的统计分析；(5)评估重要系统和数据文件的完整性；(6)操作系统的审计跟踪管理，识别用户违反安全策略的行为。,NetworkandInformationSecurity,第14章入侵检测技术,入侵检测系统有两个指标。一是漏报率，指攻击事件没有被IDS检测到，与其相对的是检出率；二是误报率，指把正常事件识别为攻击并报警。误报率与检出率成正比例关系。,NetworkandInformationSecurity,第14章入侵检测技术,14.2.1入侵检测系统的CIDF模型CIDF模型是由CIDF（CommonIntrusionDetectionFramework）工作组提出的。CIDF专门从事对入侵检测系统（IDS）进行标准化的研究机构。它主要研究的是入侵检测系统的通用结构、入侵检测系统各组件间的通信接口问题、通用入侵描述语言（CommonIntrusionSpecificationLanguage，CISL）以及不同入侵检测系统间通信问题等关于入侵检测的规范化问题。,NetworkandInformationSecurity,第14章入侵检测技术,14.2入侵检测系统结构,14.2.1入侵检测系统的CIDF模型,NetworkandInformationSecurity,第14章入侵检测技术,14.2入侵检测系统结构,事件产生器即检测器，它从整个系统环境中获得事件，并向系统的其他部分提供此事件；,事件分析器分析得到的数据，并产生分析结果；,事件数据库是存放各种中间和最终数据的地方的总称，它可以是复杂的数据库，也可以是简单的文本文件。,响应单元则是对分析结果作出反应的功能单元，它可以做出切断连接、改变文件属性等反应，甚至发动对攻击者的反击，也可以仅仅简单地报警；,IETF的入侵检测系统模型,NetworkandInformationSecurity,第14章入侵检测技术,14.2.2Denning的通用入侵检测系统模型,NetworkandInformationSecurity,第14章入侵检测技术,14.3.1按数据来源的分类由于入侵检测是个典型的数据处理过程，因而数据采集是其首当其冲的第一步。同时，针对不同的数据类型，所采用的分析机理也是不一样的。根据入侵检测系统输入数据的来源来看，它可分为：基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统。,NetworkandInformationSecurity,第14章入侵检测技术,14.3入侵检测系统类型,基于主机的入侵检测系统(HIDS)通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计记录文件的记录与攻击签名(一种特定的方式来表示已知的攻击模式)，以发现它们是否匹配。如果匹配，检测系统就向系统管理员发出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件，并可对入侵事件作出立即反应。它具有明显的优点：(1)能够确定攻击是否成功(2)非常适合于加密和交换环境(3)近实时的检测和响应(4)不需要额外的硬件(5)可监视特定的系统行为,NetworkandInformationSecurity,第14章入侵检测技术,1.基于主机的(Host-Based)入侵检测系统,以原始的网络数据包作为数据源。它是利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务的。其攻击识别模块在进行攻击签名识别时常用的技术有：模式、表达式或字节码的匹配；频率或阈值的比较；事件相关性处理；异常统计检测。一旦检测到攻击，IDS的响应模块通过通知、报警以及中断连接等方式来对攻击行为作出反应。,NetworkandInformationSecurity,第14章入侵检测技术,2.基于网络的(Network-Based)入侵检测系统,较之于基于主机的IDS，它有着自身明显的优势：(1)攻击者转移证据更困难(2)实时检测和应答(3)能够检测到未成功的攻击企图(4)操作系统无关性(5)较低的成本当然，对于基于网络的IDS来讲，同样有着一定的不足：它只能监视通过本网段的活动，并且精确度较差；在交换网络环境中难于配置；防欺骗的能力比较差，对于加密环境无能为力了。,NetworkandInformationSecurity,第14章入侵检测技术,从以上对基于主机的IDS和基于网络的IDS的分析可以看出：这两者各自都有着自身独到的优势，而且在某些方面是很好的互补。如果采用这两者结合的入侵检测系统，那将是汲取了各自的长处，又弥补了各自的不足的一种优化设计方案。通常，这样的系统一般为分布式结构，由多个部件组成，它能同时分析来自主机系统的审计数据及来自网络的数据通信流量信息。分布式的IDS将是今后人们研究的重点，它是一种相对完善的体系结构，为日趋复杂的网络环境下的安全策略的实现提供了最佳的解决方案。,NetworkandInformationSecurity,第14章入侵检测技术,3.分布式的入侵检测系统,从入侵检测的典型实现过程可以看出，数据分析是入侵检测系统的核心，它是关系到能否检测出入侵行为的关键。检出率是人们关注的焦点，不同的分析技术所体现的分析机制也是不一样的，从而对数据分析得到的结果当然也就大不相同，而且不同的分析技术对不同的数据环境的适用性也不一样。根据入侵检测系统所采用的分析技术来看，它可以分为采用异常检测的入侵检测系统和采用误用检测的入侵检测系统。,NetworkandInformationSecurity,第14章入侵检测技术,14.3.2按分析技术的分类,1.异常检测(AnomalyDetection)假定所有的入侵行为都是异常的，即入侵行为是异常行为的子集。原理是：首先建立系统或用户的“正常”行为特征轮廓，通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵行为。,NetworkandInformationSecurity,第14章入侵检测技术,从异常检测的实现机理来看，异常检测所面临的关键问题有：(1)特征量的选择(2)阈值的选定(3)比较频率的选取从异常检测的原理我们可以看出，该方法的技术难点在于：“正常”行为特征轮廓的确定；特征量的选取；特征轮廓的更新。由于这几个因素的制约，异常检测的误报率会很高，但对于未知的入侵行为的检测非常有效，同时它也是检测冒充合法用户的入侵行为的有效方法。,NetworkandInformationSecurity,第14章入侵检测技术,其基本前提是：假定所有可能的入侵行为都能被识别和表示。原理是：首先对已知的攻击方法进行攻击签名表示，然后根据已经定义好的攻击签名，通过判断这些攻击签名是否出现来判断入侵行为的发生与否。同样，误用检测也存在着影响检测性能的关键问题：攻击签名的恰当表示。,NetworkandInformationSecurity,第14章入侵检测技术,2.误用检测(MisuseDetection),(1)它只能根据已知的入侵序列和系统缺陷的模式来检测系统中的可疑行为，而面对新的入侵攻击行为以及那些利用系统中未知或潜在缺陷的越权行为则无能为力。也就是说，不能检测未知的入侵行为。(2)与系统的相关性很强，即检测系统知识库中的入侵攻击知识与系统的运行环境有关。对于不同的操作系统，由于其实现机制不同，对其攻击的方法也不尽相同，因而很难定义出统一的模式库。(3)对于系统内部攻击者的越权行为，由于他们没有利用系统的缺陷，因而很难检测出来。,NetworkandInformationSecurity,第14章入侵检测技术,误用检测的主要局限性表现在：,入侵检测的两种最常用技术在实现机理、处理机制上存在明显的不同，而且各自都有着自身无法逾越的障碍，使得各自都有着某种不足。但是采用这两种技术混合的方案，将是一种理想的选择，这样可以做到优势互补。,Netw