信息安全原理与技术ch10-入侵检测.ppt

信息安全原理与技术 郭亚军宋建华李莉清华大学出版社 2020 2 16 Ch10 入侵检测 2 第10章入侵检测 主要知识点 入侵检测概述 入侵检测系统分类 入侵检测系统分析技术 2020 2 16 Ch10 入侵检测 3 10 1入侵检测概述 安全研究的历史给了我们一个有价值的教训 没有100 的安全方案 无论多么安全的方案都可能存在这样或那样的漏洞 不管在网络中加入多少入侵预防措施 如加密 防火墙和认证 通常还是会有一些被人利用而入侵的薄弱环节 2020 2 16 Ch10 入侵检测 4 IDS的用途 攻击工具攻击命令 攻击机制 目标网络 目标系统 攻击者 漏洞扫描评估加固 攻击过程 实时入侵检测 2020 2 16 Ch10 入侵检测 5 入侵一些试图损害一个资源的完整性 有效性的行为集合 入侵检测 IntrusionDetection 是指通过对行为 安全日志或审计数据或其它网络上可以获得的信息进行操作 检测到对系统的闯入或闯入的企图 10 1 1入侵检测基本概念 2020 2 16 Ch10 入侵检测 6 入侵检测系统 IDS 的主要任务监视 分析用户及系统活动 系统构造和弱点的审计 识别反映已知进攻的活动模式并向相关人士报警 异常行为模式的统计分析 评估重要系统和数据文件的完整性 操作系统的审计跟踪管理 并识别用户违反安全策略的行为 2020 2 16 Ch10 入侵检测 7 入侵检测系统的三个组成部分提供事件记录流的信息资源发现入侵事件的分析引擎对分析引擎的输出做出反应的响应组件 2020 2 16 Ch10 入侵检测 8 10 1 2入侵检测系统基本模型 IDES模型IDM模型公共入侵检测框架CIDF 2020 2 16 Ch10 入侵检测 9 IDES模型 2020 2 16 Ch10 入侵检测 10 改进的IDES模型 2020 2 16 Ch10 入侵检测 11 层次化入侵检测模型 IDM 2020 2 16 Ch10 入侵检测 12 公共入侵检测框架CIDF 2020 2 16 Ch10 入侵检测 13 10 2入侵检测系统分类 根据数据源分类基于主机的入侵检测系统基于网络的入侵检测系统分布式入侵检测系统根据分析引擎分类异常入侵检测误用入侵检测 2020 2 16 Ch10 入侵检测 14 从响应的角度分类报警响应手工响应主动响应根据检测速度分类实时检测离线检测 2020 2 16 Ch10 入侵检测 15 10 2 1基于主机的入侵检测系统 HIDS 数据来源操作系统审计记录 由专门的操作系统机制产生的系统事件记录 系统日志 由系统程序产生的用于记录系统或应用程序事件的文件 通常以文本文件的方式存放 基于应用的日志信息基于目标的对象信息 2020 2 16 Ch10 入侵检测 16 基于主机的IDS的优点能更准确地确定出攻击是否成功 能监视特定的系统活动 基于主机的IDS可以检测到那些基于网络的系统察觉不到的攻击 由于基于主机的IDS系统安装在企业的各种主机上 它们更加适合于交换的环境和加密的环境 检测和响应速度接近实时 花费更加低廉 2020 2 16 Ch10 入侵检测 17 10 2 2基于网络的入侵检测系统 NIDS 数据来源利用网卡的杂收模式 获得经过本网段的所有数据信息 从而实现获取网络数据的功能 2020 2 16 Ch10 入侵检测 18 基于网络的IDS的优点能检测基于主机的系统漏掉的攻击 攻击者不易转移证据 实时检测和响应 可检测未成功的攻击和不良意图 2020 2 16 Ch10 入侵检测 19 10 2 3分布式入侵检测系统 DIDS 传统的IDS普遍存在的问题系统的弱点或漏洞分散在网络中各个主机上 这些弱点有可能被入侵者一起用来攻击网络 而仅依靠HIDS或NIDS不能发现更多的入侵行为 现在的入侵行为表现出相互协作入侵的特点 例如分布式拒绝服务攻击 DDoS 入侵检测所需要的数据来源分散化 收集原始的检测数据变得困难 如交换型网络使得监听网络数据包受到限制 由于网络传输速度加快 网络流量不断增大 所以集中处理原始数据的方式往往造成检测的实时性和有效性大打折扣 2020 2 16 Ch10 入侵检测 20 DIDS的分布性数据包过滤的工作由分布在各网络设备 包括联网主机 上的探测代理完成 探测代理认为可疑的数据包将根据其类型交给专用的分析层设备处理 2020 2 16 Ch10 入侵检测 21 DIDS结构框图 2020 2 16 Ch10 入侵检测 22 10 3入侵检测系统分析技术 异常检测技术误用检测技术 2020 2 16 Ch10 入侵检测 23 10 3 1异常检测技术 也称为基于行为的检测首先建立起用户的正常使用模式 即知识库标识出不符合正常模式的行为活动 2020 2 16 Ch10 入侵检测 24 常用的异常检测方法统计异常检测基于神经网络的异常检测基于数据挖掘的异常检测 2020 2 16 Ch10 入侵检测 25 10 3 2误用检测技术 也称为基于特征的检测建立起已知攻击的知识库判别当前行为活动是否符合已