防火墙入侵检测技术的概念.ppt

入侵检测原理与技术,入侵检测的概念入侵检测系统的组成与实例,保密性（Confidentiality）；完整性（Integrity）；认证（Authenticity）：实体身份的认证，适用于用户、进程、系统、信息等；不可否认性（Non-repudiation）：防止发送方或接收方的抵赖；可用性（Availability）。,回顾：安全相关概念,加密：常规加密、公开密钥加密；数据鉴别：消息摘要；数字签名；身份认证：口令、身份认证协议、生物特征；网络安全协议：IPSec、SSL、PGP、S/MIME；网络安全产品与技术：防火墙、VPN；应用程序防护:防病毒、防止缓冲区溢出等。,安全措施和技术,人因攻击：社会工程、盗窃行为；物理攻击：电磁脉冲炸弹等；数据攻击：非法获取数据、篡改数据；身份冒充：IP欺骗、会话重放、会话劫持；非法使用：利用系统的漏洞（缓冲区溢出）；拒绝服务：EMAIL轰炸等。,面对的入侵威胁,伪装者：未被授权的使用计算机的人（Outside）；违法者：访问没有经过授权的数据、程序和资源的合法用户（Inside）；秘密用户：夺取系统超级控制并使用这种控制权逃避审计和访问控制，或者抑制审计记录的人（Outside&Inside）。,入侵者,身份认证安全访问控制入侵检测系统,防止入侵的手段,入侵检测系统存在与发展的必然性,网络攻击的破坏性、损失的严重性日益增长的网络安全威胁单纯的防火墙无法防范复杂多变的攻击关于防火墙网络边界的设备，自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部入侵很容易入侵教程随处可见各种工具唾手可得,入侵检测技术概念,入侵检测的起点主机审计入侵检测的定义入侵检测发展的历程IDS分类,主机审计,审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程。审计的目标：确定和保持系统活动中每个人的责任；重建事件；评估损失；监测系统的问题区；提供有效的灾难恢复；阻止系统的不正当使用。,入侵检测的定义,对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性；进行入侵检测的软件与硬件的组合便是入侵检测系统；IDS:Intrusion Detection System。,入侵检测发展的历程1,1980年4月，James P.Anderson Computer Security Threat Monitoring and Surveillance（计算机安全威胁监控与监视）第一次详细阐述了入侵检测的概念；计算机系统威胁分类:外部渗透、内部渗透和不法行为；提出了利用审计跟踪数据监视入侵活动的思想；这份报告被公认为是入侵检测的开山之作。,入侵检测发展的历程2,1987年：Dorthy Denning提出了一种通用的入侵检测模型；Denning提出的模型是一个基于主机的入侵检测模型。首先对主机事件按照一定的规则学习产生用户行为模型（Activity Profile),然后将当前的事件和模型进行比较，如果不匹配则认为异常。现在的各种入侵检测技术和体系都是在此基础上的扩展和细化。,Denning的通用入侵检测模型,事件产生器：根据具体应用环境而有所不同，事件来自审计记录、网络数据包以及其它可视行为，这些事件构成了入侵检测的基础。行为特征表：整个检测系统的核心，包含用于计算用户行为特征的所有变量，这些变量可根据具体采用的统计方法以及事件记录中的具体动作模式而定义，并根据匹配上的记录数据更新变量值。规则模块：由系统安全策略、入侵模式等组成，一方面为判断是否入侵提供参考机制，另一方面可根据事件记录、异常记录以及有效日期等控制并更新其它模块的状态。行为特征模块执行基于行为的检测，而规则模块执行基于知识的检测。,Denning的通用入侵检测模型,入侵检测发展的历程3,1988年，SRI公司CSL实验室的Teresa Lunt等人改进了Denning的入侵检测模型，研究出了一个实时入侵检测系统模型IDES（Intrusion Detection Expert System。IDES是一个综合入侵检测系统，同时采用专家系统（误用检测）和统计分析（异常检测）两种检测技术。,入侵检测发展的历程4,1990，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM（Network Security Monitor）；该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机；入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS。,入侵检测发展的历程5,商业化IDS产品：CyberCop Monitor,NAINetProwler,SymantecNetRanger,CiscoNID-100/200,NFR SecurityRealSecure,ISS开源IDS项目：Snort：http:/SHADOW：http:/ISSEC/CID/,入侵检测的分类（1）,按照数据来源：基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机；基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行；混合型。,入侵检测的分类（2）,按照分析方法（检测方法）异常检测（Anomaly Detection):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。误用检测（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。,异常检测,也称为基于行为的检测建立用户的正常使用模式的知识库，标识出不符合正常模式的行为活动特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵。同时系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源。常用技术统计方法预测模式神经网络,误用检测,也称为基于特征的检测建立已知攻击的知识库，判别当前行为活动是否符合已知的攻击模式特点：采用特征匹配，误用检测能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得误用检测无能为力。常用技术基于简单规则的模式匹配技术基于专家系统的检测技术基于状态转换分析的检测技术基于神经网络检测技术其他技术，如数据挖掘、模糊数学等,入侵检测的分类（3）,按系统各模块的运行方式 集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行。分布式：系统的各个模块分布在不同的计算机和设备上。,