《ids入侵檢測(cè)技術(shù)》ppt課件

1、網(wǎng)絡(luò)信息安全,（2011版） 講 授：劉延華 Email: lyhwa@126.com lyhwa@fzu.edu.cn MyTel: 13600811020 福州大學(xué)數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院,IDS存在與發(fā)展的必然性,一、網(wǎng)絡(luò)攻擊的破壞性、損失的嚴(yán)重性二、日益增長(zhǎng)的網(wǎng)絡(luò)安全威脅三、防火墻無法防范網(wǎng)絡(luò)內(nèi)部攻擊,第6章 入侵檢測(cè)技術(shù),為什么需要IDS,關(guān)于防火墻

2、位于網(wǎng)絡(luò)邊界的安全設(shè)施自身可能被攻破保護(hù)不夠全面不是所有威脅都來自防火墻外部入侵很容易入侵教程隨處可見各種工具唾手可得,網(wǎng)絡(luò)安全工具的特點(diǎn),入侵檢測(cè)（Intrusion Detection）是對(duì)入侵行為的發(fā)覺。它通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。,入侵檢測(cè)的定義,入侵檢測(cè)的定義,對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果

3、，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)。IDS : Intrusion Detection System,IDS基本結(jié)構(gòu),入侵檢測(cè)系統(tǒng)包括三個(gè)部分：（1）信息收集（2）信息分析（3）結(jié)果處理,信息收集,入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息盡可能擴(kuò)大檢測(cè)范圍從一個(gè)源

4、來的信息有可能看不出疑點(diǎn),信息收集,入侵檢測(cè)很大程度上依賴于收集信息的可靠性和正確性；要保證用來檢測(cè)網(wǎng)絡(luò)系統(tǒng)的完整性特別是入侵檢測(cè)系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯(cuò)誤的信息 ；,信息收集的來源,系統(tǒng)或網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為,系統(tǒng)或網(wǎng)絡(luò)的日志文件,攻擊者常在系統(tǒng)日志文件中留下他們的蹤跡。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，如“用戶活動(dòng)”類型日志

5、包含登錄、用戶ID改變等內(nèi)容。不期望的行為如重復(fù)登錄失敗、登錄到不期望的位置等。,系統(tǒng)目錄和文件的異常變化,網(wǎng)絡(luò)環(huán)境中的包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)；目錄和文件中的不期望的改變，很可能就是一種入侵產(chǎn)生的指示和信號(hào)；入侵者替換、修改和破壞系統(tǒng)上的文件，同時(shí)為了隱藏其活動(dòng)痕跡，會(huì)盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件 。,信息分析,模式匹配 統(tǒng)計(jì)分析 完整性分析，往往用于事后分析,入侵檢測(cè)性能關(guān)鍵參數(shù),

6、誤報(bào)(false positive)：如系統(tǒng)錯(cuò)誤地將異常活動(dòng)定義為入侵；漏報(bào)(false negative)：如系統(tǒng)未能檢測(cè)出真正的入侵行為；,入侵檢測(cè)的分類（1）,按照分析方法（檢測(cè)方法）異常檢測(cè)模型（Anomaly Detection ):首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵 。,入侵檢測(cè)的分類（1）,按照分析方法（檢測(cè)方法）誤用檢測(cè)模型（Misuse Detection)

7、：收集非正常操作的行為特征，建立相關(guān)的特征庫(kù)，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵 。,前提：入侵是異常活動(dòng)的子集 用戶輪廓(Profile): 通常定義為各種行為參數(shù)及其閥值的集合，用于描述正常行為范圍過程 監(jiān)控 ?量化 ?比較 ? 判定 ? 修正指標(biāo):漏報(bào)率低,誤報(bào)率高,異常檢測(cè),異常檢測(cè)特點(diǎn),異常檢測(cè)系統(tǒng)的效率取

8、決于用戶輪廓的完備性和監(jiān)控的頻率；因?yàn)椴恍枰獙?duì)每種入侵行為進(jìn)行定義，因此能有效檢測(cè)未知的入侵；系統(tǒng)能針對(duì)用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化；,前提：所有的入侵行為都有可被檢測(cè)到的特征。攻擊特征庫(kù): 當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。過程 監(jiān)控 ? 特征提取?匹配?判定 指標(biāo):誤報(bào)低，漏報(bào)高。,誤用檢測(cè),入侵檢測(cè)的分類（2）,按照數(shù)據(jù)來源：基于主機(jī)HIDS：系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所

9、在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)?；诰W(wǎng)絡(luò)NIDS：系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行?；旌闲?,,Internet,,,,,,,基于主機(jī)的IDS,網(wǎng)絡(luò)服務(wù)器1,,客戶端,網(wǎng)絡(luò)服務(wù)器2,檢測(cè)內(nèi)容： 系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日志、安全審記、應(yīng)用日志,HIDS,,,,,HIDS,監(jiān)視與分析主機(jī)的審計(jì)記錄可以不運(yùn)行在監(jiān)控主機(jī)上能否及時(shí)采集到審計(jì)記錄如何

10、保護(hù)作為攻擊目標(biāo)主機(jī)審計(jì)子系統(tǒng),基于主機(jī)的IDS,,,,Internet,NIDS,,,,,,,基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)工作原理,網(wǎng)絡(luò)服務(wù)器1,,,數(shù)據(jù)包=包頭信息+有效數(shù)據(jù)部分,客戶端,網(wǎng)絡(luò)服務(wù)器2,檢測(cè)內(nèi)容： 包頭信息+有效數(shù)據(jù)部分,兩類IDS監(jiān)測(cè)軟件,網(wǎng)絡(luò)IDS偵測(cè)速度快 隱蔽性好 視野更寬 較少的監(jiān)測(cè)器 占資源少,主機(jī)IDS視野集中 易于用戶自定義保護(hù)更加周密對(duì)網(wǎng)絡(luò)流量不敏感,響應(yīng)策略,彈