入侵检测技术_第1页
入侵检测技术_第2页
入侵检测技术_第3页
入侵检测技术_第4页
入侵检测技术_第5页
已阅读5页,还剩34页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、入侵检测技术,教师:梁旭玲,一般防范网络攻击最常用的方法是防火墙。 然而防火墙系统的局限性导致它无法防范内部网络之间的通信。 如果把防火墙比作守卫网络大门的门卫,那入侵检测系统(IDS)就是主动监视内部网络安全的巡警。,概 述,入侵的定义,入侵:是指任何企图危及资源的完整性、机密性和可用性的活动,入侵检测系统(Intrusion Detection System)是从计算机网络系统中的关键点收集信息,分析这些信息,利用模式匹配或异常检测技术来检查网络中是否有违反安全策略的行为和遭到袭击的迹象。 IDS是信息与网络系统安全的主要设备之一; 是防火墙系统的一个重要补充;,入侵检测概念,入侵检测系统

2、的作用和目的,形象地说,它就是网络摄像机,能够捕获并记录网络上的所有数据,同时它也是智能摄像机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光摄像机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄像机,还包括保安员的摄像机.,用于实时的入侵检测,IDS的通用模型图,入侵检测系统模型,作用是从整个计算环境中收集信息; 信息收集包括收集:系统、网络、数据及用户活动的状态和行为; 并在不同关键点(不同网段和不同主机)收集;,分析得到的数据; 分析手段:模式匹配、统计分析和完整性分析;,对分析结果作出反应的功能单元; 反应有:切断连接、改变文件属性、发动对攻击者的反击、报警(邮件

3、或手机短信报警),是存放各种中间和最终数据的地方的统称; 可以是数据库也可以是文本文件;,会根据事件数据库的内容智能地形成分析报告;,用于 事后分析,入侵检测系统的功能,入侵检测系统被认为是防火墙系统之后的第二道安全闸门,是一种动态的安全检测技术。 一个合格的入侵检测系统应具备以下功能: 监视用户和系统的运行状况,查找非法和合法用户的越权操作; 检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞; 对用户的非正常活动进行统计分析,发现入侵行为的规律; 确保系统程序和数据的一致性与正确性; 识别攻击的活动模式,并向网管人员报警; 对异常活动的统计分析; 操作系统审计跟踪管理,识别违反政策的用户

4、活动;,入侵检测系统的分类,基于主机的入侵检测系统(HIDS) 基于网络的入侵检测系统(NIDS),入侵检测技术IDS是一种主动保护自己免受攻击的网络安全技术; 它从计算机网络系统中的若干关键点收集信息,并分析这些信息; 根据信息来源不同,IDS可分为:,基于主机的入侵检测系统,入侵检测系统安装在被检测的主机上 HIDS检测目标是主机系统和系统本地用户 智能分析主机提供的审计信息,发现不安全的行为后采取相 应的措施,HIDS出现在20世纪80年代,当时网络没有今天这样复杂,入侵也比较少见,通过对攻击的事后分析就可以防止今后攻击的再次发生。 基于主机的入侵检测系统应用目标是大型计算机,其周围连接

5、着若干用户终端。检测系统主要用于防止单机节点的入侵,其驻留在单机节点内部,并以单机节点上操作系统(Operation System)的审计信息为依据来检测入侵行为,其检测主要目标是主机系统和用户,任务比较简单,基本没有外来影响。入侵检测工具分析主机提供的审计信息,然后给出关于怀疑为不安全行为的报告。该系统适用于攻击者入侵主机后并在主机内执行操作的情况 基于主机入侵检测系统完全依赖于审计数据或系统日志数据的准确性和完整性,以及对安全事件的定义,如果攻击者设法逃避审计,则该系统可能无法实施有效防御。基于主机的入侵检测系统有着无法检测网络攻击、影响主机性能等缺点。,基于主机的入侵检测系统的优点 检测

6、准确率高(精确地判断攻击行为是否成功) 适用于加密及交换环境 近于实时的检测和响应 不要求额外的硬件设备 能够检查到基于网络的系统检查不出的攻击 监视特定的系统活动(主机上特定用户),基于主机的入侵检测系统的缺点 HIDS依赖性强(系统必须是特定的,没有遭到破坏的操作系统中才能正常工作) 如果主机数目多,代价过大 不能监控网络上的情况 不如基于网络的入侵检查系统快捷 额外产生的安全问题(会降低应用系统的效率),基于网络的入侵检测系统,入侵检测系统安装在比较重要的网段内; 该结构重点放在对网络本身的入侵行为上,如DNS欺骗、TCP劫持、端口扫描等,以类似嗅探器的特定工具来实时截获网络数据包,并在

7、其中寻找入侵的痕迹。,基于网络的入侵检测系统的工作原理是检测器按一定的规则从网络上获取与安全事件相关的数据包,然后将所捕获的数据包传递给分析引擎;分析引擎从检测器接受到数据包后立即结合网络安全数据库进行安全分析和判断,并将分析结果发送给安全策略;安全策略根据分析引擎传来的结果构造出满足需要的配置规则,并将配置规则反馈给检测器。 一旦发现有被攻击的迹象,立刻根据用户所定义的动作做出反应,如切断网络连接,或通知防火墙系统对访问控制策略进行调整,将入侵的数据包过滤掉 下页:基于网络的入侵检测系统最大的特点在于不需要改变服务器等主机的配置。由于它不需在业务系统的主机中安装额外的软件,不会影响这些机器的

8、 CPU、I/O与磁盘等资源的使用,也不会影响业务系统的性能。,基于网络的入侵检测系统的优点 检测范围广 无需改变主机配置和性能 独立性和操作系统无关性(不会增加网络中主机的负担) 安装方便 既可以用于实时检测系统,也是记录审计系统,可以做到实时保护,事后分析取证,基于网络的入侵检测系统的缺点 不能检测不同网段的网络包 很难检测复杂的需要大量计算的攻击 协同工作能力弱 难以处理加密的会话 不适合交换环境和高速环境,两种系统的比较,混合型入侵检测系统,混合型入侵检测系统(Hybrid IDS) 在新一代的入侵检测系统中将把现在的基于网络和基于主机这两种检测技术很好地集成起来,提供集成化的攻击签名

9、检测报告和事件关联功能。 可以深入地研究入侵事件、入侵手段本身及被入侵目标的漏洞等。,入侵检测技术是动态安全技术的核心技术之一; (传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术) 入侵检测系统的核心功能是对各种事件进行分析,从中发现违反安全策略的行为; 从分析方式上来讲,入侵检测系统一般采用如下3项技术: 模式发现技术 异常发现技术 完整性分析技术,入侵检测系统采用的技术,模式发现技术,模式发现是基于知识的检测技术; 它假定所有入侵行为和手段(及其变种)都能够表达为一种模式或特征,那么所有已知的入侵方法都可以用匹配的方式发现。 实现方式:将收集到的信息与已知的网络入侵和系统误用

10、模式数据库进行比较,从而发现违背安全策略的行为。 如: 通过字符串匹配以寻找一个简单的条目或指令; 或利用正规的数学表达式来表示安全状态的变化; 模式发现的关键是如何表达入侵的模式,把真正的入侵行为与正常行为区分开来。,模式发现技术的优缺点,异常发现技术,异常发现技术是基于行为的检测技术; 它假定所有入侵行为都是与正常行为不同的。如果建立系统正常行为的轨迹,那么理论上可以吧所有与正常轨迹不同的系统状态视为可疑企图。 实现方式:首先收集一段时期正常操作活动的历史数据,再建立代表用户、主机或网络连接的正常行为轮廓,然后收集事件数据并使用各种方法来决定所检测到的事件活动是否偏离了正常行为模式。,异常

11、发现技术的优缺点,完整性分析技术,完整性分析主要关注某个文件或对象是否被更改,通常包括文件和目录的内容及属性,它在发现被更改的、被特洛伊化的应用程序方面特别有效。,每一种入侵检测系统都有自己的部署方式和特点; 应根据网络安全整体解决方案,选取各种类型的入侵检测系统、周密部署,确保每个入侵系统都能够在相应的部署点上发挥作用、共同防护、保障网络的安全运行; 基于网络和基于主机的入侵检测系统部署方法不同;,入侵检测系统的部署,在网络上多个位置进行网络探测器的部署; 根据网络探测器部署位置的不同,入侵检测系统具有不同的特点; 网络探测器的部署点可以划分为4个位置: DMZ区、外网接口区、内网接口区、关

12、键子网区,基于网络的入侵检测系统的部署,基于网络的入侵检测系统的部署图,4,外网接口,DMZ区,内网 接口区,关键 子网区,位置1:外网接口 部署点位于位于防火墙外侧的非系统信任域; 它将负责检测来自外部的所有入侵企图,通过分析这些攻击来帮助我们完善系统并决定要不要在系统内部部署IDS。 该部署方式对整体入侵行为记录有帮助; 但因网络探测器本身性能上的局限,要处理所有进出防火墙的数据,导致误报率偏高。,IDS在网络中的位置,IDS在网络中的位置,位置2:DMZ区 部署点位于位于DMZ区的接口; 很多站点都把对外提供服务的服务器单独放在一个隔离的区域,通常称为DMZ非军事化区。 在此放置一个检测

13、引擎是非常必要的,因为这里提供的很多服务都是黑客乐于攻击的目标。 在这里网络探测器可以检测到所有针对用户向外提供服务的服务器进行攻击的分组;,IDS在网络中的位置,位置3:内网接口区 部署点位于位于防火墙之内; 这里应该是最重要、最应该放置检测引擎的地方。 对于那些已经透过系统边缘防护,进入内部网络准备进行恶意攻击的黑客, 这里正是利用IDS系统及时发现并作出反应的最佳时机和地点。 因防火墙过滤了大量非法数据,降低了通过网络探测器的数据流量,所以网络探测器能够更有效的工作,但入侵漏报率偏高。,IDS在网络中的位置,位置4:关键子网区 部署点位于位于各子网接口; 一些存在关键性数据和服务的子网必

14、须要严格管理; 如:数据中心、财务子网、员工档案子网等; 此处探测器有效保护关键的网络不会被外部或没有权限的内部用户侵入,造成关键数据泄露或丢失;,基于主机的入侵检测系统的部署,在关键主机上安装入侵检测系统; 这样可以减少花费并使管理的精力集中在最重要最需要保护的主机上; 对系统产生的日志进行集中分析管理,减少日常维护的复杂性和难度;,入侵检测系统在检测到入侵行为的时候,需要报警并进行相应的反应; 根据网络环境和安全需求决定如何报警和选取什么样的报警; 主动响应策略 入侵追踪、入侵警告和预防、修正系统环境、切断网络等 联动响应策略 在动态网络中将它与防火墙相互结合,实现互补。 被动响应策略 记

15、录事件和报警,响应策略的部署,攻击特征库的更新不及时; 检测分析方法单一; 不同的入侵检测系统之间不能互操作; 不能和其他网络安全产品互操作; 结构存在问题;,入侵检测的局限性,入侵检测相关产品,天融信 启明星辰 华为赛门铁克 傲盾 安氏 等,入侵检测技术发展方向,高性能的分布式入侵检测系统; 智能化入侵检测系统; 协同工作的入侵检测系统;,案例分析,案例 网站服务器引发内部网络遭受入侵,某些非法网络公司利用黑客入侵技术大量入侵各类网站(包括许多政府网站)进行挂马刷流量等非法操作。以此实现一些职业黑客公司的非法交易。 1996年初,据美国旧金山的计算机安全协会与联邦调查局的一次联合调查统计,有53的企业受到过计算机病毒的侵害,42的企业的计算机系统在过去的12个月被非法使用过。,国外: 1994年末,俄罗斯黑客弗拉基米尔利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上,向美国CITYBANK银行发动了一连串攻击,通过电子转帐方式,从CITYBANK银行在纽约的计算机主机里窃取 1100万美元。 199

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论