入侵检测课件

1、入侵检测1 入侵检测概述2 入侵检测系统分类3 入侵检测系统的分析方式4 入侵检测系统的设置5 入侵检测系统的部署6 入侵检测系统的有点与局限性入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。入侵检测系统的英文缩写是IDS（Intrusion Detection System），它使用入侵检测技术对网络与其上的系统进行监视，并根据监视结果进行不同的安全动作，最大限度地降低可能的入侵危害。1 入侵检测系统概述 1.1 入侵检测的概念CIDF(Common Intrusion Detection Fra

2、mework，网址http：/）阐述了一个入侵检测系统的通用模型。1.2 入侵检测系统的基本结构图1 CIDF模型 根据入侵检测系统的检测对象和工作方式的不同，入侵检测系统主要分为两大类：基于主机的入侵检测系统和基于网络的入侵检测系统。2 入侵检测系统概分类 基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害，需要安装在被保护的主机上。 按照检测对象的不同，基于主机的入侵检测系统可以分为两类：网络连接检测和主机文件检测。2.1 基于主机的入侵检测系统2.主机文件检测通常入侵行为会在主机的各种相关文件中留下痕迹，主机文件检测能够帮助系统管理员发现入侵行为或入侵企图，及时采取补救措施。主

3、机文件检测的检测对象主要包括以下几种：（1）系统日志（2）文件系统（3）进程记录（4）系统运行控制基于主机的入侵检测系统具有以下优点：检测准确度较高；可以检测到没有明显行为特征的入侵；能够对不同的操作系统进行有针对性的检测；成本较低；不会因网络流量影响性能；适于加密和交换环境。基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上，它使用原始的网络分组数据包作为进行攻击分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击，入侵检测系统应答模块通过通知、报警以及中断连接等方式来对攻击做出反应。2.2 基于网络的入侵检测系统基于网络的入侵检测系

4、统的发展阶段：1.包嗅探器和网络监视器（1） 对包进行统计；（2） 详细地检查包；2.基于网络的入侵检测（1） 检测端口扫描；（2） 检测常见的攻击行为；（3） 识别各种各样可能的IP欺骗攻击；（4） 当检测到一个不希望的活动时，基于网络的入侵检测系统将采取行动；基于网络的入侵检测系统有以下优点：可以提供实时的网络行为检测；可以同时保护多台网络主机；具有良好的隐蔽性；有效保护入侵证据；不影响被保护主机的性能。入侵防护系统（Intrusion Protection System, IPS）是网络入侵检测系统的一种特殊形式。它是网络高层应用防护设备，是安全防护产品的进一步拓展。2.3 入侵防护系统

5、基于网络的入侵检测系统和基于主机的入侵检测系统都有各自的优势和不足，这两种方式各自都能发现对方无法检测到的一些网络入侵行为，如果同时使用互相弥补不足，会起到良好的检测效果。2.4 两种入侵检测系统的结合运用此外，在大型网络中，网络的不同部分可能分别采用不同的入侵检测系统，各个入侵检测系统之间通常不能互相协作，不仅不利于检测工作，甚至还会产生新的安全漏洞。对于上述问题，采用分布式结构的入侵检测模式是解决方案之一，也是目前入侵检测技术的一个研究方向。这种模式的系统采用分布式智能代理的结构，由一个或者多个中央智能代理和大量分布在网络各处的本地代理组成。其中本地代理负责处理本地事件，中央代理负责统一调

6、控各个本地代理的工作以及从整体上完成对网络事件进行综合分析的工作。检测工作通过全部代理互相协作共同完成。入侵检测系统的检测分析技术主要分为两大类：异常检测和误用检测。3 入侵检测系统的分析方式1. 异常检测技术的基本原理异常检测技术（Anomaly Detection）也称为基于行为的检测技术，是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。异常检测技术首先假设网络攻击行为是不常见的或是异常的，区别于所有的正常行为。如果能够为用户和系统的所有正常行为总结活动规律并建立行为模型，那么入侵检测系统可以将当前捕获到的网络行为与行为模型相对比，若入侵行为偏离了正常的行为轨迹，就可以被检测出

7、来。3.1 异常检测技术基于行为的检测2. 异常检测技术的评价异常检测技术有以下优点：能够检测出新的网络入侵方法的攻击；较少依赖于特定的主机操作系统；对于内部合法用户的越权违法行为的检测能力较强。异常检测技术有以下不足：误报率高；行为模型建立困难；难以对入侵行为进行分类和命名。3. 异常检测技术分类异常检测技术的核心问题是建立行为模型，目前主要有以下几种方法。（1） 统计分析异常检测（2） 贝叶斯推理异常检测（3） 神经网络异常检测（4） 模式预测异常检测（5） 数据采掘异常检测（6） 机器学习异常检测1. 误用检测技术入侵检测系统的基本原理误用检测技术（Misuse Detection）也称

8、为基于知识的检测技术或者模式匹配检测技术。它的前提是假设所有的网络攻击行为和方法都具有一定的模式或特征，如果把以往发现的所有网络攻击的特征总结出来并建立一个入侵信息库，那么入侵检测系统可以将当前捕获到的网络行为特征与入侵信息库中的特征信息相比较，如果匹配，则当前行为就被认定为入侵行为。3.2 误用检测技术基于知识的检测3. 误用检测技术的分类误用检测技术主要可分为以下几种。（1） 专家系统误用检测（2） 特征分析误用检测（3） 模型推理误用检测（4） 条件概率误用检测（5） 键盘监控误用检测无论哪种入侵检测技术都需要搜集总结有关网络入侵行为的各种知识，或者系统及其用户的各种行为的知识。基于异常

9、检测技术的入侵检测系统如果想检测到所有的网络入侵行为，必须掌握被保护系统已知行为和预期行为的所有信息，这一点实际上无法做到，因此入侵检测系统必须不断地学习并更新已有的行为轮廓。3.3 异常检测技术和误用检测技术的比较网络安全需要各个安全设备的协同工作和正确的设置，因此，入侵检测系统在设置时需要对整个网络有一个全面的了解，保证自身环境的正确性和安全性。网络安全的实际需求对于入侵检测的工作方式和检测位置都有十分重要的影响，只有在了解和掌握这些实际需求的情况下，才能正确地设计入侵检测系统的网络拓扑，并对入侵检测系统进行正确的配置。4 入侵检测系统的设置入侵检测系统的设置主要分为以下几个基本的步骤：

10、确定入侵检测需求。 设计入侵检测系统在网络中的拓扑位置。 配置入侵检测系统。 入侵检测系统磨合。 入侵检测系统的使用及自调节。这些步骤的操作流程如图2所示。图2 入侵检测系统设置流程图入侵检测系统有不同的部署方式和特点。根据所掌握的网络检测和安全需求，选取各种类型的入侵检测系统。将多种入侵检测系统按照预定的计划进行部署，确保每个入侵检测系统都能够在相应部署点上发挥作用，共同防护，保障网络的安全运行。部署工作包括对网络入侵检测和主机入侵检测等类型入侵检测系统的部署规划。同时，根据主动防御网络的需求，还需要对入侵检测系统的报警方式进行部署和规划。5 入侵检测系统的部署基于网络的入侵检测系统可以在网

11、络的多个位置进行部署。这里的部署主要指对网络入侵检测器的部署。根据检测器部署位置的不同，入侵检测系统具有不同的工作特点。用户需要根据自己的网络环境以及安全需求进行网络部署，以达到预定的网络安全需求。总体来说，入侵检测的部署点可以划分为4个位置： DMZ区、外网入口、内网主干、关键子网,如图3所示。5.1 基于网络入侵检测系统的部署图3 入侵检测系统部署位置图在基于网络的入侵检测系统部署并配置完成后，基于主机的入侵检测系统的部署可以给系统提供高级别的保护。但是，将基于主机的入侵检测系统安装在企业中的每一个主机上是一种相当大的时间和资金的浪费，同时每一台主机都需要根据自身的情况进行特别的安装和设置

12、，相关的日志和升级维护是巨大的。5.2 基于主机入侵检测系统的部署入侵检测系统在检测到入侵行为的时候，需要报警并进行相应的反应。如何报警和选取什么样的报警，需要根据整个网络的环境和安全的需求进行确定。5.3 报警策略入侵检测系统是企业安全防御系统中的重要部件，但入侵检测系统并不是万能的。入侵检测对于部分事件可以处理得很好，但对于另一些情况则无能为力。只有充分了解入侵检测系统的优点和局限性，才能对入侵检测系统有一个准确的定位，以便将入侵检测系统有效地应用在安全防御系统中，最大限度地发挥它的安全防御功能。6 入侵检测系统的优点与局限性入侵检测系统作为一个迅速崛起并受到广泛承认的安全组件，有着很多方

13、面的安全优势：可以检测和分析系统事件以及用户的行为；可以测试系统设置的安全状态；以系统的安全状态为基础，跟踪任何对系统安全的修改操作；通过模式识别等技术从通信行为中检测出已知的攻击行为；6.1 入侵检测系统的优点可以对网络通信行为进行统计，并进行检测分析；管理操作系统认证和日志机制并对产生的数据进行分析处理；在检测到攻击的时候，通过适当的方式进行适当的报警处理；通过对分析引擎的配置对网络的安全进行评估和监督；允许非安全领域的管理人员对重要的安全事件进行有效的处理。入侵检测系统只能对网络行为进行安全审计，从入侵检测系统的定位可以看出，入侵检测系统存在以下缺陷:（1） 入侵检测系统无法弥补安全防御系统中的安全缺陷和漏洞。（2） 对于高负载的网络或主机，很难实现对网络入侵的实时检测、报警和迅速地进行攻击响应。（3） 基于知识的入侵检测系统很难检测到未知的攻击行为。6.2 入侵检测系统的局限性（4） 入侵检测系统的主动防御功能和联动防御功能会对网络的行为产生影响，同样也会成为攻击者的目标。（5） 入侵检测系统无法单独防止攻击行为的渗透，