（高职）6.入侵检测技术ppt课件.pptx

《（高职）6.入侵检测技术ppt课件.pptx》由会员分享，可在线阅读，更多相关《（高职）6.入侵检测技术ppt课件.pptx（25页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、6.入侵检测技术2 入侵检测技术高等教育出版社-电子商务安全实务第二版入侵检测系统概述入侵入侵-指任何企图破坏资源的完整性、保密性和有效性的行为。入侵检测入侵检测-对入侵行为的发觉，它通过收集和分析相关信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。 入侵检测系统入侵检测系统-全称为Intrusion Detection System，IDS。入侵检测的软件与硬件的结合构成IDS，是对防火墙的合理的补充。入侵检测系统相当于一个监控器，能够捕获和记录系统使用情况和网络数据，智能地分析上述得到的数据，穿透伪装、看透实际的入侵行为，还能够对入侵行为自动的反击（1 1）基本概念入侵检测

2、系统概述 监视、分析用户及系统活动，查找非法用户和合法用户的越权操作； 核查系统配置和漏洞，并提示管理员修补漏洞； 识别反映已知进攻的活动模式并向相关人士报警，能够实时对检测到的入侵行为进行反应； 异常行为模式的统计分析，发现入侵行为的规律； 评估重要系统资源和数据文件的完整性，如计算和比较文件系统的校验和； 操作系统的审计跟踪管理，并识别违反安全策略的用户行为。 （2 2）入侵检测的主要任务入侵检测系统概述针对入侵行为的入侵检测通常包括数据收集与提取、数据分析、数据收集与提取、数据分析、结果处理结果处理3大步骤。（3 3）入侵检测流程入侵检测系统概述要求入侵检测系统软件的完整性以及软件本身应

3、具有相当强的要求入侵检测系统软件的完整性以及软件本身应具有相当强的坚固性坚固性数据的收集主要来源于：数据的收集主要来源于： 1 1）系统和网络日志文件；）系统和网络日志文件； 2 2）目录和文件不期望的改变；目录和文件不期望的改变； 3 3）程序不期望的行为）程序不期望的行为 4 4）物理形式的入侵数据）物理形式的入侵数据数据分析数据分析结果处理结果处理【数据收集与提取数据收集与提取】入侵检测系统概述对收集到的有关系统、网络、数据及用户活动的状态和行为等对收集到的有关系统、网络、数据及用户活动的状态和行为等数据信息进行分析。数据信息进行分析。数据分析的三种技术手段：数据分析的三种技术手段： 模

4、式匹配、统计分析、完整性分析模式匹配、统计分析、完整性分析 【数据数据分析】分析】 1 1）模式匹配）模式匹配将收集到的信息与已知的网络入侵和系统误用模式数据库进行将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为比较，从而发现违背安全策略的行为 特点：特点：准确率较高准确率较高、不能检测到未知的攻击、不能检测到未知的攻击入侵检测系统概述 2 2）统计分析统计分析 该方法首先给系统对象创建一个系统描述，统计正常使用该方法首先给系统对象创建一个系统描述，统计正常使用时的一些测量属性时的一些测量属性，若实时检测值在正常值范围之外时，就认若实时检测值在正常值范围之

5、外时，就认为有入侵发生为有入侵发生特点：特点：可以检测未知可以检测未知、更为复杂的入侵；更为复杂的入侵；但但误报、漏报率较高误报、漏报率较高 3 3）完整性分析）完整性分析 该方法主要关注某个文件或对象是否被更改，包括文件和该方法主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性。目录的内容及属性。特点：能识别微小的变化，其缺点是它一般以批处理方式实现，特点：能识别微小的变化，其缺点是它一般以批处理方式实现，不用于实时响应不用于实时响应入侵检测系统概述该阶段分为主动响应与被动响应两种模式。该阶段分为主动响应与被动响应两种模式。主动响应采用切断网络连接的方式阻止入侵行为；主动响应采用切

6、断网络连接的方式阻止入侵行为；被动响应只是记录事件和报警，并不采取一定的措施来阻止入被动响应只是记录事件和报警，并不采取一定的措施来阻止入侵行为。侵行为。 【结果处理】【结果处理】 衡量衡量入侵检测系统的性能指标：误报率和漏报率（越小越好）入侵检测系统的性能指标：误报率和漏报率（越小越好） 误报误报- -指实际上无害的事件却被指实际上无害的事件却被IDSIDS检测为攻击事件的情况；检测为攻击事件的情况； 漏报漏报- -指一个攻击事件未被指一个攻击事件未被IDSIDS检测到或被分析人员认为是无害检测到或被分析人员认为是无害的情况的情况入侵检测系统分类入侵检测系统可以从多种不同的角度进行分类根据入

7、侵检测所监视的数据来源入侵检测所监视的数据来源可以分为三大类： 基于主机的入侵检测（HIDS） 基于网络的入侵检测（NIDS） 混合型11入侵检测系统分类入侵检测系统分类 基于主机的入侵检测系统-HIDS 12入侵检测系统分类入侵检测系统分类 基于主机的入侵检测系统原理图 入侵检测系统配置系统库报警审计记录主机系统应急措施系统操作误用模式库 HIDS HIDS的主要优点：的主要优点：1）信息源完备，IDS对信息源的处理简单、一致；2）它对某些特定的攻击十分有效，如缓冲区溢出攻击缺点缺点：占用主机的系统资源，能检测到的攻击类型受到限制13 基于网络的入侵检测系统-NIDS入侵检测系统分类入侵检测

8、系统分类14入侵检测系统分类入侵检测系统分类 基于网络的入侵检测系统原理图 N NIDSIDS的主要优点：的主要优点：隐藏性较好、能实时检测与响应；可用于监视结构不同的各类系统；所收集的审计数据不易被篡改；能够检测未成功的攻击和不良企图缺点缺点：精确度较差、防欺骗能力较差、难于配置入侵检测系统分类根据数据分析方法和检测原理分类，数据分析方法和检测原理分类，IDS可以分为： 异常入侵检测 基于特征的入侵检测根据体系结构分类，体系结构分类，IDS可以分为： 集中式入侵检测系统 分布式入侵检测系统16入侵检测技术入侵检测技术通过对入侵行为过程与特征的研究，使安全系统对入侵事件和入侵过程能做出实时响应

9、。入侵检测主要包括： 误用/滥用检测技术 异常检测技术 入侵诱骗及蜜罐技术 入侵响应技术17入侵检测技术误用检测技术主要是通过某种方式预先定义入侵行为，然后监视系统的运行，并从中找出符合预先定义规则的入侵行为。基于滥用的入侵检测系统使用某种模式或者信号标识表示攻击，进而发现相同的攻击。 误用误用/ /滥用检测技术滥用检测技术监 控特征提取匹 配判 定误用检测原理框图18入侵检测技术特点特点： 低误报率、较高漏报率 关键问题关键问题：如何表达入侵的模式，如何把真正的入侵行为与正常行为区分开来，从而减少误报率。主要的滥用检测模型主要的滥用检测模型：专家系统、按键监视系统、模型推理系统、误用预测模型

10、、状态转换分析系统、模式匹配系统模式匹配系统 误用误用/ /滥用检测技术滥用检测技术19入侵检测技术异常检测是基于行为的检测技术，基本思想：任何人的正常行为都是有一定规律的，并且可以通过分析这些行为产生的日志信息总结出这些规律，并建立用户的正常行为模式（即知识库），当用户活动与正常行为有重大偏离时即被认为是入侵 异常异常检测技术检测技术监 控量 化比 较判 定修 正异常检测过程20入侵检测技术特点特点： 能有效检测未知的入侵，随着检测模型的逐步精确，异常检测会消耗更多的系统资源 关键问题关键问题：1）用户的行为有一定的规律，但要选择能反映用户的行为，而且能很容易地获取和处理的数据。2）通过上面

11、的数据，如何有效地表达用户的正常行为 异常异常检测技术检测技术21入侵检测技术入侵诱骗技术是一种主动防御技术，用特有的特征吸引攻击者，试图将攻击者从关键系统引诱开，同时对各种攻击行为进行分析，从中提取有用的信息，进而找到有效的对付方法蜜罐技术蜜罐技术（Honeypot）是一种资源，是故意被攻击的目标，从而引诱黑客前来攻击。以获取攻击信息供管理员分析研究蜜罐技术蜜罐技术只是一种工具，而且只有Honeypot受到攻击时，它的作用才能发挥出来 入侵诱骗及蜜罐入侵诱骗及蜜罐技术技术22入侵检测技术入侵诱骗技术是一种主动防御技术，用特有的特征吸引攻击者，试图将攻击者从关键系统引诱开，同时对各种攻击行为进

12、行分析，从中提取有用的信息，进而找到有效的对付方法蜜罐技术蜜罐技术（Honeypot）是一种资源，是故意被攻击的目标，从而引诱黑客前来攻击。以获取攻击信息供管理员分析研究蜜罐技术蜜罐技术只是一种工具，而且只有Honeypot受到攻击时，它的作用才能发挥出来 入侵响应入侵响应技术技术23入侵检测技术入侵响应包括主动响应和被动响应。主动响应主动响应-入侵检测系统在检测到入侵后，能自动地与管理员配合，采取行动阻断攻击或影响攻击进程。主动响应可以采取比较严厉的方式，如入侵追踪技术；也可以采取比较温和的方式，如入侵告警和预防、修正系统环境等。被动响应被动响应-入侵检测系统在检测到入侵后，仅仅简单地报告和

13、记录所检测出的问题。 入侵诱骗及蜜罐入侵诱骗及蜜罐技术技术24典型入侵检测系统（1）ISS RealSecure 它是是一种实时监控软件，它包含控制台、网络引擎和系统代理三个部分组成。（2）“天眼”网络入侵检测系统 系统在对网络设备的检测能力、响应能力及系统自身的保护能力等方面都进行了精心的设计（3）“天阗”黑客入侵检测系统它是一种在计算机网络上自动、实时的入侵检测和响应系统。能够实时监控网络传输，自动检测可疑行为，分析来自网络外部和内部的入侵信号。在系统受到危害前发出警告，实时对攻击作出反应，并提供补救措施（4）“冰之眼”网络入侵检测系统25入侵检测技术的发展入侵检测技术的发展趋势主要表现在以下几个方面：（1）高速入侵检测技术（2）分布式入侵检测（3）智能化入侵检测（4）全面地安全防御体系