保障与安全入侵检测ppt课件

1、 IDS是对计算机和网络系统资源上的恶意使用行为进行识别和响应的处理，它最早于1980年4月由James P. Anderson在为美国空军起草的技术报告Computer Security Threat Monitoring and Surveillance（计算机安全威胁监控与监视中提出。他提出了一种对计算机系统风险和威胁的分类方法，将威胁分为外部渗透、内部渗透和不法行为；提出了利用审计跟踪数据，监视入侵活动的思想。 “入侵”（Intrusion是一个广义的概念，不仅包括发起攻击的人包括黑客取得超出合法权限的行为，也包括收集漏洞信息，造成拒绝访问Denial of Service等对系统造成

2、危害的行为。 入侵检测Intrusion Detection就是对入侵行为的发觉。它通过对计算机网络等信息系统中若干关键点的有关信息的收集和分析，从中发现系统中是否存在有违反安全规则的行为和被攻击的迹象。 具体说来，入侵检测系统的主要功能有：具体说来，入侵检测系统的主要功能有： 监视并分析用户和系统的行为；监视并分析用户和系统的行为； 审计系统配置和漏洞；审计系统配置和漏洞； 评估敏感系统和数据的完整性；评估敏感系统和数据的完整性； 识别攻击行为、对异常行为进行统计；识别攻击行为、对异常行为进行统计； 自动收集与系统相关的补丁；自动收集与系统相关的补丁； 审计、识别、跟踪违反安全法规的行为；审

3、计、识别、跟踪违反安全法规的行为； 使用诱骗服务器记录黑客行为；使用诱骗服务器记录黑客行为； 采用入侵检测系统和漏洞评估工具带来的好处有如下一些：采用入侵检测系统和漏洞评估工具带来的好处有如下一些： 提高了信息系统安全体系其他部分的完整性；提高了信息系统安全体系其他部分的完整性； 提高了系统的监察能力；提高了系统的监察能力； 可以跟踪用户从进入到退出的所有活动或影响；可以跟踪用户从进入到退出的所有活动或影响； 能够识别并报告数据文件的改动；能够识别并报告数据文件的改动； 可以发现系统配置的错误，并能在必要时予以改正；可以发现系统配置的错误，并能在必要时予以改正； 可以识别特定类型的攻击，并进行

4、报警，作出防御响应；可以识别特定类型的攻击，并进行报警，作出防御响应； 可以使管理人员最新的版本升级添加到程序中；可以使管理人员最新的版本升级添加到程序中； 允许非专业人员从事系统安全工作；允许非专业人员从事系统安全工作； 可以为信息系统安全提供指导。可以为信息系统安全提供指导。但是，与其他任何工具一样，入侵检测也不是万能的，它们的使用存但是，与其他任何工具一样，入侵检测也不是万能的，它们的使用存在如下局限：在如下局限： 在无人干预的情形下，无法执行对攻击的检测；在无人干预的情形下，无法执行对攻击的检测； 无法感知组织公司安全策略的内容；无法感知组织公司安全策略的内容； 不能弥补网络协议的漏洞

5、；不能弥补网络协议的漏洞； 不能弥补系统提供信息的质量或完整性问题；不能弥补系统提供信息的质量或完整性问题； 不能分析网络繁忙时的所有事物；不能分析网络繁忙时的所有事物； 不能总是对数据包级的攻击进行处理；不能总是对数据包级的攻击进行处理； 来自保留来自保留IP地址的连接企图：可通过检查地址的连接企图：可通过检查IP报头报头IP header的来源地址的来源地址识别。识别。 带有非法带有非法TCP 标志联合物的数据包：可通过标志联合物的数据包：可通过TCP 报头中的标志集与已知报头中的标志集与已知正确和错误标记联合物的不同点来识别。正确和错误标记联合物的不同点来识别。 含有特殊病毒信息的含有特

6、殊病毒信息的Email：可通过对比每封：可通过对比每封Email的主题信息和病态的主题信息和病态Email的主题信息来识别，或者通过搜索特定名字的外延来识别。的主题信息来识别，或者通过搜索特定名字的外延来识别。 查询负载中的查询负载中的DNS 缓冲区溢出企图：可通过解析缓冲区溢出企图：可通过解析DNS域及检查每个域的长域及检查每个域的长度来识别。另外一个方法是在负载中搜索度来识别。另外一个方法是在负载中搜索“壳代码利用壳代码利用”（exploit shellcode的序列代码组合。的序列代码组合。 对对POP3服务器大量发出同一命令而导致服务器大量发出同一命令而导致DoS攻击：通过跟踪记录某攻

7、击：通过跟踪记录某个命令连续发出的次数，看看是否超过了预设上限，而发出报警信息。个命令连续发出的次数，看看是否超过了预设上限，而发出报警信息。 未登录情况下使用文件和目录命令对未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击：通服务器的文件访问攻击：通过创建具备状态跟踪的特征样板以监视成功登录的过创建具备状态跟踪的特征样板以监视成功登录的FTP对话，发现未经验对话，发现未经验证却发命令的入侵企图。证却发命令的入侵企图。 显然，特征的涵盖范围很广，有简单的报头域数值、显然，特征的涵盖范围很广，有简单的报头域数值、有高度复杂的连接状态跟踪、有扩展的协议分析。有高度复杂的连接状态跟踪、有扩

8、展的协议分析。 此外，不同的此外，不同的IDS产品具有的特征功能也有所差异。产品具有的特征功能也有所差异。例如：有些网络例如：有些网络IDS系统只允许很少地定制存在的特征数系统只允许很少地定制存在的特征数据或者编写需要的特征数据，另外一些则允许在很宽的据或者编写需要的特征数据，另外一些则允许在很宽的范围内定制或编写特征数据，甚至可以是任意一个特征；范围内定制或编写特征数据，甚至可以是任意一个特征；一些一些IDS系统，只能检查确定的报头或负载数值，另外一系统，只能检查确定的报头或负载数值，另外一些则可以获取任何信息包的任何位置的数据。些则可以获取任何信息包的任何位置的数据。网络安全需要各个安全设

9、备的协同工作和正确设置。由于入网络安全需要各个安全设备的协同工作和正确设置。由于入侵检测系统位于网络体系中的高层，高层应用的多样性导致侵检测系统位于网络体系中的高层，高层应用的多样性导致了入侵检测系统分析的复杂性和对计算资源的高需求。在这了入侵检测系统分析的复杂性和对计算资源的高需求。在这种情形下，对入侵检测设备进行合理的优化设置，可以使入种情形下，对入侵检测设备进行合理的优化设置，可以使入侵检测系统更有效的运行。侵检测系统更有效的运行。下图是入侵检测系统设置的基本过程。下图是入侵检测系统设置的基本过程。可以看出，入侵检测系统的设置需要经过多次回溯，反复调整。可以看出，入侵检测系统的设置需要经

10、过多次回溯，反复调整。确定安全需求设计IDE的拓扑拓扑改变配置系统磨合调试磨合达标使 用拓扑变更或安全更新调整参数是是否是否否入侵检测系统设置的基本过程入侵检测系统设置的基本过程基于网络的入侵检测系统主要检测网络数据报文，因此一般将检测器部署在靠近防火墙的地方。具体做法有如下图所示的几个位置。外部外部网网内部网内部网关键子网关键子网 检测器检测器检测器 检测器检测器检测器124345基于网络的入侵检测器的部署基于网络的入侵检测器的部署在这里，可以检测到的攻击行为是：所有针对向外提供服务的服务器的攻击。由于DMZ中的服务器是外部可见的，因此在这里检测最为需要。同时，由于DMZ中的服务器有限，所以

11、针对这些服务器的检测，可以使入侵检测器发挥最大优势。但是，在DNZ中，检测器会暴露在外部，而失去保护，遭受攻击，导致无法工作。（2 2内网主干防火墙内侧）内网主干防火墙内侧）将检测器放到防火墙的内侧，有如下几点好处： 检测器比放在DMZ中安全。 所检测到的都是已经渗透过防火墙的攻击行为。从中可以有效地发现防火墙配置的失误。 可以检测到内部可信用户的越权行为。 由于受干扰的机会少，报警几率也少。（3 3外网入口防火墙外侧）外网入口防火墙外侧）优势是：可以对针对目标网络的攻击进行计数，并记录最为原始的数据包。 可以记录针对目标网络的攻击类型。但是，不能定位攻击的源和目的地址，系统管理员在处理攻击行为上也有难度。（4 4在防火墙的内外都放置在防火墙的内外都放置 这种位置可以检测到内部攻击，又可以检测到外部攻击，并且无需猜测攻击是否穿越防火墙。但是，开销较大。在经费充足的情况下是最理想的选择。（5 5关键子网关键子网这个位置可以检测到对系统关键部位的攻击，将有限的资源用