4.3 入侵检测系统

第3节入侵检测系统第4章目

录01入侵检测系统简介02入侵检测系统关键技术及工作过程03入侵检测系统部署及应用04蜜罐及蜜网介绍01入侵检测系统简介入侵检测系统的概念什么是入侵检测？入侵检测（ID，IntrusionDetection）指的是：通过监视各种操作，分析、审计各种数据和现象来实时检测入侵行为的过程，是一种积极的和动态的安全防御技术。什么是入侵检测系统？入侵检测系统（IntrusionDetetionSystem，IDS）指的是以网络上的数据包作为数据源，监听所保护网络节点的所有数据包并进行分析，从而发现异常行为的产品。——GB/T20275--2021入侵检测的发展历程Aderson首先提出入侵检测概念1980年1987年1990年1996年2007年2010年后Denning提出了入侵检测系统的抽象模型IDS分化为基于网络的IDS和基于主机的IDS提出GrIDS可以方便地检测大规模网络攻击CIDF工作组发布了3份入侵检测RFC标准各大安全厂商先后推出下一代、智能化入侵检测产品入侵检测系统的功能入侵检测系统的功能监控网络和系统发现入侵企图或异常现象实时报警主动响应审计跟踪入侵检测系统的分类按入侵检测形态1按目标系统的类型2按系统结构3硬件入侵检测TopSentry-IDS、天阗入侵检测与管理系统(IDS)、网神入侵检测D3000-TX24E、绿盟NSFOCUSNIDS软件入侵检测Snort、Suricata、OSSEC、Sagan网络入侵检测（NIDS）在比较重要的网段安装探测器来监测和保护整个网段。主机入侵检测（HIDS）安装于被保护的主机中，主要分析主机内部活动。集中式分布式02入侵检测系统关键技术及工作过程入侵检测系统的技术架构事件分析引擎事件数据库事件产生器来源于网络上的数据响应组件入侵检测系统组成部分入侵检测系统的工作过程日志文件数据库信息存储入侵检测的工作流程第一步信息收集收集包括系统、网络、数据及用户活动的状态和行为。第二步入侵分析对收集到的数据信息进行处理分析。第三步信息存储将入侵检测系统收集到的信息进行保存，这些数据通常存储到用户指定的日志文件或特定的数据库中。第四步告警响应根据用户的设置，对攻击行为进行相应的处理，如发出警报、给系统管理员发邮件等方式提醒用户。入侵检测关键技术01.特征检测特征检测又称误用检测(MisuseDetection)，这种检测方法是：收集非正常操作（入侵）行为的特征，建立相关的特征库；在后续的检测过程中，将收集到的数据与特征库中的特征进行比较，从而判断是否有入侵行为。特征检测特点01如果入侵特征与正常的用户行为匹配，则系统会发生误报；0203如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报；攻击特征的细微变化，会使得误用检测无能为力。入侵检测关键技术02.异常检测异常检测(AnomalyDetection)：这种检测方法是首先总结正常操作应该具有的特征；在得出正常操作的模型之后，对后续的操作进行监视，一旦发现偏离正常统计学意义上的操作模式，立即进行报警。异常检测特点010203异常检测系统的效率取决于用户轮廓的完备性和监控的频率；因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵；系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源。03入侵检测系统部署及应用入侵检测系统部署方式基于网络的IDS部署14实施成本低2356隐蔽性好监测速度快视野更宽操作系统无关性攻击者不易转移证据基于网络的入侵检测的主要缺点只能监视本网段的活动，精确度不高在交换网络环境下无能为力对加密数据无能为力防入侵欺骗的能力也比较差，难以定位入侵者。入侵检测系统部署方式基于主机的IDS部署14能够检测到基于网络的系统检测不到的攻击2356安装、配置灵活监控粒度更细监视特定的系统活动适用于加密及交换环境不要求额外的硬件基于主机的入侵检测的主要缺点①会占用主机的资源,在服务器产生额外的负载。②缺乏平台支持,可移植性差，应用范围受到严重限制。入侵检测系统的应用场景某企业集中式入侵检测系统部署应用案例04蜜罐及蜜网介绍蜜罐和蜜网系统的定义守卫=IDS诱饵系统=蜜罐注：关于蜜罐和蜜网系统的介绍，请参阅第四章/蜜罐及蜜网介绍动画.mp4蜜罐指的是用设备、系统、目录或文件作为诱饵去引诱攻击者，使真正重要的主机和系统免于攻击，并收集入侵者行为。由多个蜜罐组成的模拟网络，即分布式蜜罐系统。蜜罐的作用在抵御攻击上变被动为主动。让被攻击单位认识到自身网络的安全风险和脆弱性。提高事件检测、响应能力。高效地收集攻击者的入侵证据。提供良好的追踪环境。蜜罐定义蜜网定义蜜罐系统的应用场景蜜罐系统的部署应用场景蜜罐系统的应用场景蜜网系统的部署应用场景蜜罐系统的应用案例蜜罐系统后台管理界面在“攻击列表中”可查看攻击者具体攻击内容单台服务器蜜罐部署应用本章介绍了入侵检测系统的概念、功能、分类、技术架构、工作过程、关键技术、部署方式以及应用场景等内容。入侵检测系统可以实现对入侵数据的采集和分析，将数据存储到数据库中，并且能够及时告警响应。入侵检测系