《入侵检测系统》PPT课件.ppt
《《入侵检测系统》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《入侵检测系统》PPT课件.ppt(75页珍藏版)》请在三一办公上搜索。
1、第11章 入侵检测系统,11.1 引言 11.2 入侵检测基本原理 11.3 入侵检测系统分类 11.4 入侵检测系统模型 11.5 分布式入侵检测系统 11.6 小结,11.1 引 言,计算机网络的迅猛发展给当今社会所带来的各种便利是毋庸置疑的,它把人们的工作、生活、学习紧密地联系在了一起,这使得人们对计算机网络的依赖性不断增强,所以我们必须确保计算机网络的安全。,图11-1 P2DR模型,计算机安全的三大中心目标是:保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。人们在实现这些目标的过程中不断进行着探索和研究。其中比较突出的技术有
2、:身份认证与识别、访问控制机制、加密技术、防火墙技术等。但是这些技术的一个共同特征就是集中在系统的自身加固和防护上,属于静态的安全防御技术,它对于网络环境下日新月异的攻击手段缺乏主动的反应。针对日益严重的网络安全问题和越来越突出的安全需求,自适应网络安全技术(动态安全技术)和动态安全模型应运而生。典型的就是P2DR模型(如图11-1所示)。,入侵检测作为动态安全技术的核心技术之一,是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性,是安全防御体系的一个重要组成部分。,入侵检测的诞生是网络安全需求发展的必
3、然,它的出现给计算机安全领域研究注入了新的活力。关于入侵检测的发展历史最早可追溯到1980年,当时James P.Anderson在一份技术报告中提出审计记录可用于检测计算机误用行为的思想,这可谓是入侵检测的开创性的先河。另一位对入侵检测同样起着开创作用的人就是Dorothy E.Denning,他在1987年的一篇论文3中提出了实时入侵检测系统模型,此模型成为后来的入侵检测研究和系统原型的基础。,早期的入侵检测系统是基于主机的系统,它是通过监视和分析主机的审计记录来检测入侵的。另外,入侵检测发展史上又一个具有重要意义的里程碑就是NSM(Network Security Monitor)的出现
4、,它是由L.Todd Heberlien在1990年提出的。NSM与此前的入侵检测系统相比,其最大的不同在于它并不检查主机系统的审计记录,而是通过监视网络的信息流量来跟踪可疑的入侵行为。,从此,入侵检测的研究和开发呈现一股热潮,而且多学科多领域之间知识的交互使得入侵检测的研究异彩纷呈。本章我们将对入侵检测的基本理论进行介绍,为大家深入学习和研究起到抛砖引玉的作用。,11.2 入侵检测基本原理,11.2.1 入侵检测的基本概念 从计算机安全的目标来看,入侵的定义是:企图破坏资源的完整性、保密性、可用性的任何行为,也指违背系统安全策略的任何事件。入侵行为不仅仅是指来自外部的攻击,同时内部用户的未授
5、权行为也是一个重要的方面,有时内部人员滥用他们特权的攻击是系统安全的最大隐患。从入侵策略的角度来看,入侵可分为企图进入、冒充其它合法用户、成功闯入、合法用户的泄漏、拒绝服务以及恶意使用等几个方面。,入侵检测(Intrusion Detection)就是通过从计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做出响应。从上述的定义可以看出,入侵检测的一般过程是:信息收集、信息(数据)预处理、数据的检测分析、根据安全策略做出响应(如图11-2所示)。,图11-2 入侵检测的一般过程,其中,信息源是指包含有最原始的入侵行为信息
6、的数据,主要是网络、系统的审计数据或原始的网络数据包。数据预处理是指对收集到的数据进行预处理,将其转化为检测模型所接受的数据格式,也包括对冗余信息的去除,即数据简约。这是入侵检测研究领域的关键,也是难点之一。检测模型是指根据各种检测算法建立起来的检测分析模型,它的输入一般是经过数据预处理后的数据,输出为对数据属性的判断结果,数据属性一般是针对数据中包含的入侵信息的断言。,检测结果即检测模型输出的结果,由于单一的检测模型的检测率不理想,往往需要利用多个检测模型进行并行分析处理,然后对这些检测结果进行数据融合处理,以达到满意的效果。安全策略是指根据安全需求设置的策略。响应处理主要是指综合安全策略和
7、检测结果所作出的响应过程,包括产生检测报告、通知管理员、断开网络连接或更改防火墙的配置等积极的防御措施。,11.2.2 入侵检测系统 入侵检测系统(Intrusion Detection System,简称IDS)是实现入侵检测功能的一系列的软件、硬件的组合。它是入侵检测的具体实现。作为一种安全管理工具,它从不同的系统资源收集信息,分析反映误用或异常行为模式的信息,对检测的行为做出自动的反应,并报告检测过程的结果。简单地说,入侵检测系统至少包括这几个功能部件:,提供事件记录的信息源;发现入侵迹象的分析引擎;基于分析引擎的结果产生反应的响应部件。入侵检测系统就其最基本的形式来讲,可以说是一个分类
8、器,它是根据系统的安全策略来对收集到的事件或状态信息进行分类处理,从而判断出入侵和非入侵的行为的。,一般来说,入侵检测系统在功能结构上是基本一致的,均由数据采集、数据分析以及响应部件等几个功能模块组成,只是具体的入侵检测系统在采集数据、采集数据的类型以及分析数据的方法等方面有所不同而已。但是由于入侵技术手段的不断变化,使得入侵检测系统必须能够维护一些与检测系统的分析技术相关的信息,以使检测系统能够确保检测出对系统具有威胁的恶意事件。通常这类信息包括:,系统、用户以及进程行为的正常或异常的特征轮廓;标识可疑事件的字符串,包括关于已知攻击的特征签名;激活针对各种系统异常情况以及攻击行为采取响应所必
9、需的信息。作为新型的安全防御体系的一个重要组成部分,它的作用发挥的充分与否将在很大程度上影响整个安全策略的成败。其主要功能有:,用户和系统行为的监测和分析;系统配置和漏洞的审计检查;重要的系统和数据文件的完整性评估;已知的攻击行为模式的识别;异常行为模式的统计分析;操作系统的审计跟踪管理及违反安全策略的用户行为的识别。,显然,入侵检测系统完善了以前的静态安全防御技术的诸多不足,是对防火墙的合理补充,为计算机网络、系统的安全防护提供了新的解决方案。同样,入侵检测系统作为网络安全发展史上一个具有划时代意义的研究成果,要想真正成为一种成功的产品,至少要满足以下的功能要求:实时性、可扩展性、适应性、安
10、全性和可用性、有效性等。,11.3 入侵检测系统分类,入侵检测系统作为动态安全防御技术的应用实例,是继防火墙之后的第二道安全防线,它的运用将大大提高系统安全防护水平。入侵检测系统的分类有多种,这里主要介绍两种:一种是根据入侵检测系统的输入数据来源的分类;另一种是根据入侵检测系统所采用的技术的分类。,11.3.1 按数据来源的分类 由于入侵检测是个典型的数据处理过程,因而数据采集是其首当其冲的第一步。同时,针对不同的数据类型,所采用的分析机理也是不一样的。根据入侵检测系统输入数据的来源来看,它可分为:基于主机的入侵检测系统和基于网络的入侵检测系统。,1基于主机的(Host-Based)入侵检测系
11、统 基于主机的入侵检测系统(HIDS)通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计记录文件的记录与攻击签名(Attack Signature,指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配,检测系统就向系统管理员发出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件,并可对入侵事件作出立即反应。它还可针对不同操作系统的特点判断出应用层的入侵事件。,由于审计数据是收集系统用户行为信息的主要方法,因而必须保证系统的审计数据不被修改。但是,当系统遭到攻击时,这些数据很可能被修改。这就要求基于主机的入侵检测系统必须满足一个重要的实时性条
12、件:检测系统必须在攻击者完全控制系统并更改审计数据之前完成对审计数据的分析、产生报警并采取相应的措施。早期的入侵检测系统大多都是基于主机的IDS,作为入侵检测系统的一大重要类型,它具有着明显的优点:,1)能够确定攻击是否成功 由于基于主机的IDS使用包含有确实已经发生的事件信息的日志文件作为数据源,因而比基于网络的IDS更能准确地判断出攻击是否成功。在这一点上,基于主机的IDS可谓是基于网络的IDS的完美补充。,2)非常适合于加密和交换环境 由于基于网络的IDS是以网络数据包作为数据源,因而对于加密环境来讲,它是无能为力的,但对于基于主机的IDS就不同了,因为所有的加密数据在到达主机之前必须被
13、解密,这样才能被操作系统所解析。对于交换网络来讲,基于网络的IDS在获取网络流量上面临着很大的挑战,但基于主机的IDS就没有这方面的限制。,3)近实时的检测和响应 基于主机的IDS不能提供真正的实时响应,但是由于现有的基于主机的IDS大多采取的是在日志文件形成的同时获取审计数据信息,因而就为近实时的检测和响应提供了可能。4)不需要额外的硬件 基于主机的IDS是驻留在现有的网络基础设施之上的,包括文件服务器、Web服务器和其它的共享资源等,这样就减少了基于主机的IDS的实施成本。因为不再需要增加新的硬件,所以也就减少了以后维护和管理这些硬件设备的负担。,5)可监视特定的系统行为 基于主机的IDS
14、可以监视用户和文件的访问活动,这包括文件访问、文件权限的改变、试图建立新的可执行文件和试图访问特权服务等。例如,基于主机的IDS可以监视所有的用户登录及注销情况,以及每个用户连接到网络以后的行为。而基于网络的IDS就很难做到这一点。基于主机的IDS还可以监视通常只有管理员才能实施的行为,因为操作系统记录了任何有关用户账号的添加、删除、更改的情况,一旦发生了更改,基于主机的IDS就能检测到这种不适当的更改。基于主机的IDS还可以跟踪影响系统日志记录的策略的变化。,最后,基于主机的IDS可以监视关键系统文件和可执行文件的更改。试图对关键的系统文件进行覆盖或试图安装特洛伊木马或后门程序的操作都可被检
15、测出并被终止,而基于网络的IDS有时就做不到这一点。除了上述的优点外,基于主机的IDS也存在一些不足:会占用主机的系统资源,增加系统负荷,而且针对不同的操作系统必须开发出不同的应用程序,另外,所需配置的IDS数量众多。但是对系统内在的结构没有任何的约束,同时可以利用操作系统本身提供的功能,并结合异常检测分析,更能准确地报告攻击行为。,2.基于网络的(Network-Based)入侵检测系统 基于网络的入侵检测系统(NIDS)以原始的网络数据包作为数据源。它是利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务的。其攻击识别模块在进行攻击签名识别时常用的技术有:模式、表达式或字节码的匹
16、配;频率或阈值的比较;事件相关性处理;异常统计检测。,一旦检测到攻击,IDS的响应模块通过通知、报警以及中断连接等方式来对攻击行为作出反应。作为入侵检测发展史上的一个里程碑,基于网络的IDS是网络迅速发展,攻击手段日趋复杂的新的历史条件下的产物,它以其独特的技术手段在入侵检测的舞台上扮演着不可或缺的角色。较之于基于主机的IDS,它有着自身明显的优势:,1)攻击者转移证据更困难 基于网络的IDS使用正在发生的网络通信进行实时攻击的检测,因此攻击者无法转移证据,被检测系统捕获到的数据不仅包括攻击方法,而且包括对识别和指控入侵者十分有用的信息。由于很多黑客对审计日志很了解,因而他们知道怎样更改这些文
17、件以藏匿他们的入侵踪迹,而基于主机的IDS往往需要这些原始的未被修改的信息来进行检测,在这一点上,基于网络的IDS有着明显的优势。,2)实时检测和应答 一旦发生恶意的访问或攻击,基于网络的IDS可以随时发现它们,以便能够更快地作出反应。这种实时性使得系统可以根据预先的设置迅速采取相应的行动,从而将入侵行为对系统的破坏减到最低,而基于主机的IDS只有在可疑的日志文件产生后才能判断攻击行为,这时往往对系统的破坏已经产生了。,3)能够检测到未成功的攻击企图 有些攻击行为是旨在针对防火墙后面的资源的攻击(防火墙本身可能会拒绝这些攻击企图),利用放置在防火墙外的基于网络的IDS就可以检测到这种企图,而基
18、于主机的IDS并不能发现未能到达受防火墙保护的主机的攻击企图。通常,这些信息对于评估和改进系统的安全策略是十分重要的。4)操作系统无关性 基于网络的IDS并不依赖主机的操作系统作为检测资源,这样就与主机的操作系统无关,而基于主机的系统需要依赖特定的操作系统才能发挥作用。,5)较低的成本 基于网络的IDS允许部署在一个或多个关键访问点来检查所有经过的网络通信,因此,基于网络的IDS系统并不需要在各种各样的主机上进行安装,大大减少了安全和管理的复杂性,这样所需的成本费用也就相对较低。当然,对于基于网络的IDS来讲,同样有着一定的不足:它只能监视通过本网段的活动,并且精确度较差;在交换网络环境中难于
19、配置;防欺骗的能力比较差,对于加密环境它就更是无能为力了。,3分布式的入侵检测系统 从以上对基于主机的IDS和基于网络的IDS的分析可以看出:这两者各自都有着自身独到的优势,而且在某些方面是很好的互补。如果采用这两者结合的入侵检测系统,那将是汲取了各自的长处,又弥补了各自的不足的一种优化设计方案。通常,这样的系统一般为分布式结构,由多个部件组成,它能同时分析来自主机系统的审计数据及来自网络的数据通信流量信息。分布式的IDS将是今后人们研究的重点,它是一种相对完善的体系结构,为日趋复杂的网络环境下的安全策略的实现提供了最佳的解决对策。,11.3.2 按分析技术的分类 从入侵检测的典型实现过程可以
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 入侵检测系统 入侵 检测 系统 PPT 课件
链接地址:https://www.31ppt.com/p-5466432.html