TCSP入侵检测技术原理ppt课件.ppt

《TCSP入侵检测技术原理ppt课件.ppt》由会员分享，可在线阅读，更多相关《TCSP入侵检测技术原理ppt课件.ppt（117页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、TCSP入侵检测技术原理 网络入侵的现状网络入侵的现状 深层防御体系及深层防御体系及IDS的作用的作用 IDS的分类方法学的分类方法学 IDS的结构的结构 入侵检测的困惑入侵检测的困惑 第四代入侵检测技术第四代入侵检测技术 入侵检测的新发展入侵检测的新发展网络安全l 网络安全对应的英文是Network Security。Security和safety都译为“安全”，但二者其实是有区别的，safety更侧重物理实体上的安全。l 网络安全领域的研究主要集中在计算机网络。l 网络安全基本上是一个实践性的技术领域。安全威胁来源内部人员内部人员特殊身份人员特殊身份人员外部个人和小组外部个人和小组（所谓黑

2、客）（所谓黑客）竞争对手和恐怖组织竞争对手和恐怖组织敌对国家和军事组织敌对国家和军事组织自然和不可抗力自然和不可抗力网络安全范畴l 网络安全范畴包括的要素： 数据：包括网络上传输的数据和端系统中的数据。 关系：网络作为交流的重要手段，涉及到通信各方信赖关系的建立与维护，信赖关系就意味着能力和数据访问权力的获取。 能力：包括网络系统的传输能力与端系统的能力。网络安全范畴l 网络安全包含基本方面： 数据保护：包括数据的机密性保护和完整性保护，这方面的理论比较完备（加密体制和算法）实现手段也比较完备。 （信赖）关系保护：包括身份鉴别与安全的建立、维护信赖关系。基本手段包括加密与协议的安全设计。理论比

3、较完备，实现手段有一定漏洞。 能力保护：包括对网络系统的传输功能与端系统的处理功能的保护。这方面的理论基础基本上是实践经验的总结，运用的手段也基本上是试验性的。能力保护相关的工作也是入侵检测系统发挥作用之处。PPDR模型l PPDR模型：策略（Policy）、防护（Protection）、检测（Detection）、响应（Response）这是一个螺旋上升的过程，如下图：图一、PPDR模型示意图PPDR模型 策略是这个模型的核心，在制定好策略之后，网络安全的其他几个方面就要围绕策略进行。 防护是第一步，它的基础是检测与响应的结果。具体包括：安全规章的制定：在安全策略的基础上制定安全细则。系统的

4、安全配置：安装各种必要补丁，并进行仔细配置。安全措施的采用：安装防火墙、IDS、VPN软件或设备等。检测就是弥补防护对于攻击的滞后时间的必要手段。检测作用包括：异常监视：发现系统的异常情况。如不正常的登陆。模式发现：对已知的攻击模式进行发现。响应就是发现攻击企图或者攻击之后，需要系统及时进行反应报告：让管理员知道是否有入侵。记录：记录入侵的各个细节以及系统的反应。反应：进行相应的处理以阻止进一步的入侵。恢复：清除入造成的影响，使系统恢复正常。网络安全事件分类 互联网安全事件分类： 网页篡改 网络蠕虫 拒绝服务攻击 特罗伊木马安全事件分类l 网页篡改 非法篡改主页是指将网站中的主页更换为黑客所提

5、供的网页。对计算机系统本身不会产生直接的损失，但对电子政务与电子商务等应用来说将被迫终止对外的服务。对政府网站而言，网页的篡改，尤其是含有政治攻击色彩的篡改，会对政府形象造成严重损害。针对网页的篡改，目前国内已有成熟的网页自动保护技术，使用网页自动恢复软件。安全事件分类l 网络蠕虫 网络蠕虫是指一种可以不断复制自己并在网络中传播的程序。它利用互联网上计算机系统的漏洞进入系统，自我复制，并继续向互联网上的其它系统进行传播。它的危害通常有两个方面：蠕虫在进入被攻击的系统后，一旦具有控制系统的能力，就可以使得该系统被他人远程操纵。其危害一是重要系统会出现失密现象，二是会被利用来对其他系统进行攻击。蠕

6、虫的不断蜕变并在网络上的传播，可能导致网络被阻塞的现象发生，从而致使网络瘫痪。网络计算机病毒可以看作是网络蠕虫的特例，其差别仅是需要附着在其他程序上进行传播。安全事件分类l 拒绝服务攻击拒绝服务攻击拒绝服务攻击是指在互联网上组织多台或大量的计算机针对某一个特定的计算机进行大规模的访问，使得被访问的计算机穷于应付来势凶猛的访问而不能再提供正常的服务。 对拒绝服务攻击的处置方法只能通过网络管理部门逐一排查攻击源，并协调各攻击源所在运营商进行清理。安全事件分类l 特罗伊木马特罗伊木马特罗伊木马（简称木马）是一种隐藏在计算机系统中不为用户所知的恶意程序，通常用于潜伏在计算机系统中来与外界连接，并接受外

7、界的指令。被植入木马的计算机系统内的所有文件都会被外界所获得，并且该系统也会被外界所控制，也可能会被利用作为攻击其它系统的攻击源。对这类问题的检查，通常需要非常有经验的技术人员才能胜任。我国互联网安全状况 信息和网络的安全防护能力差 我国现在许多应用网络系统处于不设防状态，存在极大的信息安全风险和隐患。 基础信息产业严重依靠国外 我国的信息化建设，基本上是依赖国外技术设备装备起来的。我们对其的研发、生产能力很弱，关键部位完全处于受制于人的地位。 信息安全管理机构权威性不够 国家在信息安全问题上缺乏一个专门的权威性机构。信息安全相关的民间管理机构与国家信息化领导机构之间还没有充分沟通协调。 全社

8、会的信息安全意识淡薄 信息安全领域在研究开发、产业发展、人才培养、队伍建设等方面和迅速发展的形势极不适应，只是作为信息化的研究分支立项，投人很少，和国外差距越来越远。IDS定义 IDS入侵检测系统 入侵检测：对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。 入侵检测系统：进行入侵检测的软件与硬件的组合IDS属性l 经济性l 时效性l 安全性l 可扩展性IDS起源1980年4月，James P. Anderson Computer Security Threat Monitoring and Surveillance （计算机安全威胁监控

9、与监视）第一次详细阐述了入侵检测的概念计算机系统威胁分类: 外部渗透、内部渗透和不法行为提出了利用审计跟踪数据监视入侵活动的思想这份报告被公认为是入侵检测的开山之作。IDS起源从1984年到1986年乔治敦大学的Dorothy DenningSRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型IDES（入侵检测专家系统）。IDS起源 1990，加州大学戴维斯分校的，加州大学戴维斯分校的L. T. Heberlein等人等人开发出了开发出了NSM（Network Security Monitor） 该系统第一次直接将网络流作为审计数据来源，因该系统第一次直接将网络流作为审计

10、数据来源，因而可以在不将审计数据转换成统一格式的情况下监而可以在不将审计数据转换成统一格式的情况下监控异种主机控异种主机 入侵检测系统发展史翻开了新的一页，两大阵营正入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的式形成：基于网络的IDS和基于主机的和基于主机的IDS。 1994年提出自治代理，以提高年提出自治代理，以提高IDS的可伸缩性、的可伸缩性、可维护性、效率与容错性。可维护性、效率与容错性。1998年将信息检索技术应用到入侵检测系统。年将信息检索技术应用到入侵检测系统。2000年出现分布式入侵检测系统，是年出现分布式入侵检测系统，是IDS发展史发展史上的一个里程碑上的一个

11、里程碑。IDS起源IDS的基本原理活动数据源感应器分析器管理器操作员管理员事件警报通告应急安全策略安全策略入侵检测系统原理图入侵检测系统原理图 网络入侵的现状网络入侵的现状 深层防御体系及深层防御体系及IDS的作用的作用 IDS的分类方法学的分类方法学 IDS的结构的结构 入侵检测的困惑入侵检测的困惑 第四代入侵检测技术第四代入侵检测技术 入侵检测的新发展入侵检测的新发展两个安全域之间通信流的唯一通道安全域1Host A Host B 安全域2Host C Host D UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPerm

12、itSource根据访问控制规则决定进出网络的行为%c1%1c%c1%1cDir c: InternetRouterFirewallInternetModem防火墙路由器内部网络ISPModemComputerComputerComputerMinicomputer 防火墙的局限防火墙的局限 据统计，80%的成功攻击来自于防火墙内部！ v防火墙不能防止通向站点的后门。防火墙不能防止通向站点的后门。v防火墙一般不提供对内部的保护。防火墙一般不提供对内部的保护。v防火墙无法防范数据驱动型的攻击。防火墙无法防范数据驱动型的攻击。v防火墙不能防止用户由防火墙不能防止用户由Internet上下载上下载被

13、病毒感染的计算机程序或者将该类程被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。序附在电子邮件上传输。确保网络的安全确保网络的安全, ,就要对网络内部进行实时的就要对网络内部进行实时的检测检测 , , 这就需要这就需要IDSIDS无时不在的防护！无时不在的防护！ 入侵行为主要是指对系统资源的非入侵行为主要是指对系统资源的非授权使用，它可以造成系统数据的丢失授权使用，它可以造成系统数据的丢失和破坏、可以造成系统拒绝对合法用户和破坏、可以造成系统拒绝对合法用户服务等危害。服务等危害。 IDSIDS（Intrusion Detection SystemIntrusion Detection

14、System）就是入就是入侵检测系统，它通过抓取网络上的所有报文，侵检测系统，它通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能络上发生的事件，并能够采取行动阻止可能的破坏。的破坏。 什么是入侵检测系统什么是入侵检测系统l 入侵检测系统入侵检测系统网络数据包的获取网络数据包的获取混杂模式混杂模式网络数据包的解码网络数据包的解码协议分析协议分析网络数据包的检查网络数据包的检查规则匹配规则匹配网络数据包的统计网络数据包的统计异常检测

15、异常检测网络数据包的审查网络数据包的审查事件生成事件生成监控室监控室=控制中心控制中心后门后门保安保安=防火墙防火墙摄像机摄像机=探测引擎探测引擎形象地说，它就是网络摄象机，能够捕获并记录网络上的所有数据，同时它也是智能摄象机，能够分析网络数据并提炼出可疑的、异常的网络数据，它还是X光摄象机，能够穿透一些巧妙的伪装，抓住实际的内容。它还不仅仅只是摄象机，还包括保安员的摄象机，能够对入侵行为自动地进行反击：阻断连接、关闭道路（与防火墙联动）。在安全体系中，在安全体系中，IDSIDS是唯一一个通过数据和行为模式是唯一一个通过数据和行为模式判断其是否有效的系统，防火墙就象一道门，它可判断其是否有效的

16、系统，防火墙就象一道门，它可以阻止一类人群的进入，但无法阻止同一类人群中以阻止一类人群的进入，但无法阻止同一类人群中的破坏分子，也不能阻止内部的破坏分子；访问控的破坏分子，也不能阻止内部的破坏分子；访问控制系统可以不让低级权限的人做越权工作，但无法制系统可以不让低级权限的人做越权工作，但无法保证高级权限的做破坏工作，也无法保证低级权限保证高级权限的做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限的人通过非法行为获得高级权限 IDSIDS系统的两大职责：实时检测和安全审计。系统的两大职责：实时检测和安全审计。实时监测实时监测实时地监视、分析网络中所有的实时地监视、分析网络中所有的数据报

17、文，发现并实时处理所捕获的数据报文；数据报文，发现并实时处理所捕获的数据报文；安全审计安全审计通过对通过对IDSIDS系统记录的网络事件进系统记录的网络事件进行统计分析，发现其中的异常现象，得出系统行统计分析，发现其中的异常现象，得出系统的安全状态，找出所需要的证据。的安全状态，找出所需要的证据。联联动动入侵检测入侵检测防火墙防火墙实时性实时性协议层次协议层次应用层应用层表示层表示层会话层会话层传输层传输层IP层层数据链层数据链层物理层物理层 实时实时 准实时准实时 事后事后实时分析所有的数据包，决定是否允许通过监控所有的数据包，判断是否非法，进行相应处理（如阻断或者报警）记录所有的操作以备事

18、后查询为系统提供全方位的保护为系统提供全方位的保护审计系统审计系统深度防御可以对整个网络提供不同级别的保护深度防御可以对整个网络提供不同级别的保护将网络系统划分安全级别并进行相应保护深度防御可以对入侵破坏行为进行取证深度防御可以对入侵破坏行为进行取证IDS和审计系统可以进行电子取证深度防御可以有效防止蠕虫、病毒的威胁深度防御可以有效防止蠕虫、病毒的威胁IDS是网络动态防病毒的核心组成深度防御能够对系统提供最完备的保护深度防御能够对系统提供最完备的保护从物理层直至应用层都可以得到保护深度防御不会破坏系统的效率和稳定性深度防御不会破坏系统的效率和稳定性针对不同实时和效率要求进行不同保护深度防御可以

19、识别、防范未知的新攻击方式深度防御可以识别、防范未知的新攻击方式基于异常分析和行为分析的入侵检测对入侵和攻击的全面检测能力对入侵和攻击的全面检测能力新漏洞及最新的入侵手段（本地化的研发和售后服务）对抗欺骗的能力对抗欺骗的能力防误报及漏报的能力（模式匹配、异常分析和智能分析）对抗攻击的能力对抗攻击的能力对抗针对IDS的拒绝服务的能力（事件风暴的防御）报警及阻断能力报警及阻断能力多种类型的报警及阻断功能可以提供全方位的保护本身的安全性本身的安全性IDS自身的加密认证及安全措施，恶意代码或数据回传人机界面人机界面方便管理，降低管理人员的负担（多级控制，丰富报表等） 网络入侵的现状网络入侵的现状 深层

20、防御体系及深层防御体系及IDS的作用的作用 IDS的分类方法学的分类方法学 IDS的结构的结构 入侵检测的困惑入侵检测的困惑 第四代入侵检测技术第四代入侵检测技术 入侵检测的新发展入侵检测的新发展IDS分类方法学l 根据体系结构进行分类l 根据检测原理进行分类l 根据系统特征进行分类根据体系结构进行分类 集中式：这种结构的IDS可能有多个分布在不同主机上的审计程序，但只有一个中央入侵检测服务器。 等级式：定义了若干个分等级的监控区，每个IDS负责一个区，每一级IDS只负责所控区的分析，然后将当地的分析结果传送给上一级。 协作式：将中央检测服务器的任务分佩给多个基于主机的IDS，这些IDS不分等

21、级，各司其职，负责监控当地主机的某些活动。根据检测原理进行分类 异常检测(Anomaly Detection )：这种检测方法是首先总结正常操作应该具有的特征；在得出正常操作的模型之后，对后续的操作进行监视，一旦发现偏离正常统计学意义上的操作模式，即进行报警。 误用检测(Misuse Detection)：这种检测方法是收集非正常操作（入侵）行为的特征，建立相关的特征库；在后续的检测过程中，将收集到的数据与特征库中的特征代码进行比较，得出是否有入侵行为。异常检测1.1.前提：入侵是异常活动的子集前提：入侵是异常活动的子集 2.2.用户轮廓用户轮廓(Profile): (Profile): 通常

22、定义为各种行为参数及其阀通常定义为各种行为参数及其阀值的集合，用于描述正常行为范围值的集合，用于描述正常行为范围3.3.过程过程 监控监控 量化量化 比较比较 判定判定 修正修正4.4.指标指标: :漏报率低漏报率低, ,误报率高误报率高异常检测特点 异常检测系统的效率取决于用户轮廓的完备性和监异常检测系统的效率取决于用户轮廓的完备性和监控的频率控的频率 因为不需要对每种入侵行为进行定义，因此能有效因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵检测未知的入侵 系统能针对用户行为的改变进行自我调整和优化，系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会

23、消耗更多但随着检测模型的逐步精确，异常检测会消耗更多的系统资源的系统资源异常检测的常用技术l 基于统计学方法的异常检测系统 典型例子：NIDESl 基于神经网络的异常检测系统 典型例子：NNIDl 基于数据挖掘技术的异常检测系统 典型例子：MADAMIDl 使用状态机的异常检测系统异常检测模型异常检测实现 自学习系统：自学习系统通过学习事例构建正常行为模型时序的非时序的 编程系统：该类系统需要通过编程学习如何检测确定的异常事件，从而让用户知道什么样的异常行为足以破坏系统的安全。描述统计缺省否认异常检测实例分析NIDES引入的概念： 度量（Measure）： 主体行为的特性使用度量分为四类：行为

24、强度(Activity Intensity)度量审计记录分布(audit record distribution)度量绝对的(categorical)度量持续的(continuous)度量 半生（Harf-life）、老化因子（Aging Factor） 统计方法异常检测实例分析l 不同的量度的使用目的： 行为强度量度确定产生的活动量是否正常 审计纪录分布量度确定最近产生的审计记录所纪录的行为是否正常 绝对的和持续的量度则确定在一类行为中（如访问一个文件）产生的操作类型是否正常。异常检测实例分析l 半生是用来设置构成短期行为和长期行为的审计记录的数量或进行审计记录的天数用的。通过设置半生可以让

25、越新的活动所占的权重越大，而在长期概貌里面很早期的活动会趋向于不起作用，也就说被“遗忘”了。这使NIDES具备了简单的学习。老化因子也是审计纪录权重的计算依据。老化因子包括短期老化因子和长期老化因子，前者作用于每一个审计纪录，后者则作用于每一天的纪录汇总。异常检测理论本身存在的缺陷l 基于异常的入侵检测系统首先学习对象的正常行为，并形成一个或一组值表示对象行为的概貌，而表示概貌的这些数据不容易进行正确性和准确性的验证。l 通过比较长期行为的概貌和短期行为的概貌检测出异常后，只能模糊的报告存在异常，不能精确的报告攻击类型和方式，因此也不能有效地阻止入侵行为。l 通常基于异常的入侵检测系统首先有一

26、个学习过程，这个过程是否能够正确反映对象的正常行为仍是问题所在；而且检测的过程通常也是学习过程，而这个过程很可能被入侵者利用。误用检测1.1.前提：所有的入侵行为都有可被检测到的特征前提：所有的入侵行为都有可被检测到的特征 2.2.攻击特征库攻击特征库: : 当监测的用户或系统行为与库中的记录当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵相匹配时，系统就认为这种行为是入侵 3.3.过程过程 监控监控 特征提取特征提取 匹配匹配 判定判定 4.4.指标指标: :误报低、漏报高误报低、漏报高 误用检测特点 如果入侵特征与正常的用户行能匹配，则系统会发如果入侵特征与正常的用户行

27、能匹配，则系统会发生生误报误报；如果没有特征能与某种新的攻击行为匹配，；如果没有特征能与某种新的攻击行为匹配，则系统会发生则系统会发生漏报漏报 特点：特点：采用特征匹配，滥用模式能明显降低错报率，采用特征匹配，滥用模式能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得但漏报率随之增加。攻击特征的细微变化，会使得滥用检测无能为力滥用检测无能为力误用检测的模型审计数据误用检测系统攻击状态规则匹配？修正现有规则添加新的规则时间信息典型的基于误用的入侵检测系统模型误用检测系统的类型 专家系统 按键监视系统 模型推理系统 误用预测系统 状态转换分析系统 模式匹配系统误用检测专家系统 专家系统

28、采用类似于if-then这种带有因果关系的结构，使用由专家制定的规则来表示攻击行为，并在此基础上从审计事件中找到入侵。但是实际应用中有如下几个问题： 数据量问题 数据顺序问题 专家的综合能力问题 规则库缺少环境的适应能力 维护问题模型推理检测系统 模型推理系统最早是由T.D.Garvey和T.F.Lunt提出来的，它主要通过构建一些误用的模型，在此基础上对某些行为活动进行监视，并推理出是否发生入侵行为。 推理系统的组件构成 先知模块 计划模块 解释模块模型推理检测系统 模型推理系统的优点 它的推理过程有比较合理的数学理论模型。 计划模块使攻击行为表示与具体的审计数据相分离 干扰信息会被忽略，降

29、低需要处理数据量 具有一定的预见性，可以采取一些防御性措施模型推理系统的缺点 最后的限值定义不当，容易影响检测的准确性 检验工作比较难 整体性能能否提高很难说 维护困难模式匹配检测系统l 模式匹配检测系统是由入侵检测领域的大师Kumar在1995年提出的。l 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为l 一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）入侵信号层次性l 依据底层的审

30、计事件，可以从中提取出高层的事件（或者活动）；由高层的事件构成入侵信号，并依照高层事件之间的结构关系，划分入侵信号的抽象层次并对其进行分析。实例化的层次结构意味着可以对每一层中匹配信号的复杂性边界进行划分。l Kumar把入侵信号分成四层。入侵信号层次性 存在（Existence） 这种入侵信号表示只要存在这样一种审计事件就足以说明发生了入侵行为或 入侵企图，它对应的匹配模式称为存在模式（Existence Pattern）。存在模式是很重要的。尤其是当攻击者破坏了系统的审计数据、导致提交的审计数据无法正常反应当前真实状态的时候，通过主动的查询可以起到很好的作用入侵信号层次性 序列（Seque

31、nce） 有些入侵是由一些按照一定顺序发生的行为所组成的，它具体可以表现为一组事件的序列。其对应的匹配模式就是序列模式（Sequence Pattern）,这种入侵审计事件可以表示为在图形中某个方向上一串连续的峰值。序列模式需要注意两点间隔持续时间入侵信号层次性 规则表示(Regular Expressions) 规则表示模式（RE Patterns）是指用一种扩展的规则表达式方式构造匹配模式，规则表达式是由用AND逻辑表达式连接一些描述事件的原语构成的。适用这种模式的攻击信号通常由一些相关的活动所组成，而这些活动间没有什么事件顺序的关系。入侵信号层次性 其他 其他模式（Other Patte

32、rn）是指一些不能用前面的方法进行表示的攻击，在此统一为其他模式。例如：内部否定模式归纳选择模式入侵信号层次性存在模式序列模式规则模式其他模式间隔持续时间匹配模式的层次关系模式匹配系统的特点l 把攻击信号看成一种模式进行匹配的特点 事件来源独立 描述和匹配相分离 动态的模式生成 多事件流 可移植性模式匹配系统具体的实现问题 模式的提取：要使提取的模式具有很高的质量，能够充分表示入侵信号的特征，同时模式之间不能有冲突。 匹配模式的动态增加和删除：为了适应不断变化的攻击手段，匹配模式必须具有动态变更的能力 增量匹配和优先级匹配：有事件流对系统处理能力产生很大压力的时候，要求系统采取增量匹配的方法提

33、高系统效率，或者可以先对高优先级的事件先行处理。 完全匹配：匹配机制必须能够对所有模式进行匹配的能力IDS分类方法学l 根据体系结构进行分类l 根据检测原理进行分类l 根据系统特征进行分类根据系统特征进行分类l 分类特征应该考虑的重要因素 检测时间 数据处理的粒度 审计数据来源 入侵检测响应方式 数据收集地点 数据处理地点 安全性 互操作性根据系统特征进行分类l 根据检测时间 脱机分析：行为发生后，对产生的数据进行分析 联机分析:在数据产生的同时或者发生改变时进行分析根据系统特征进行分类l 数据处理的粒度 基于数据流方式的粗粒度 基于连接的细粒度 数据处理的粒度和检测时间有一定的关系，但是二者

34、并不完全一样，一个系统可能在相当长的时延内进行连续数据处理，也可以实时地处理少量的批处理数据。根据系统特征进行分类l 审计数据来源 基于网络数据 基于主机安全日志文件（包括操作系统的内核日志、应用程序日志、网络设备日志）根据系统特征进行分类l 入侵响应方式 被动响应：本身只会发出警告，不能试图降低破坏，更不会主动地对攻击者采取反击行动 主动响应：对被攻击系统实施控制：它通过调整被攻击系统的状态，阻止或者减轻攻击的危害对攻击系统实施控制的系统： 主动响应如果失败可能使系统暴露在拒绝服务攻击之下。根据系统特征进行分类l 数据收集或者处理地点 集中式的 分布式的主机IDS运行于被检测的主机之上，通过

35、查询、监听当前系统的各种资源的使用运行状态，发现系统资源被非法使用和修改的事件，进行上报和处理。其监测的资源主要包括：网络、文件、进程、系统日志等 基于网络的入侵检测系统的主要优点有：基于网络的入侵检测系统的主要优点有：（1）成本低。（2）攻击者转移证据很困难。（3）实时检测和应答。一旦发生恶意访问或攻击，基于网络的IDS检测可以随时发现它们，因此能够更快地作出反应。从而将入侵活动对系统的破坏减到最低。（4）能够检测未成功的攻击企图。（5）操作系统独立。基于网络的IDS并不依赖主机的操作系统作为检测资源。而基于主机的系统需要特定的操作系统才能发挥作用。基于主机的基于主机的IDSIDS的主要优势

36、有：的主要优势有：（1）非常适用于加密和交换环境。（2）实时的检测和应答。（3）不需要额外的硬件。 网络入侵的现状网络入侵的现状 深层防御体系及深层防御体系及IDS的作用的作用 IDS的分类方法学的分类方法学 IDS的结构的结构 入侵检测的困惑入侵检测的困惑 第四代入侵检测技术第四代入侵检测技术 入侵检测的新发展入侵检测的新发展IDSIDS的基本结构的基本结构 IDSIDS系统结构系统结构-探测引擎探测引擎l 采用旁路方式全面侦听网上信息流，实时分采用旁路方式全面侦听网上信息流，实时分析析l 将分析结果与探测器上运行的策略集相匹配将分析结果与探测器上运行的策略集相匹配l 执行报警、阻断、日志等

37、功能。执行报警、阻断、日志等功能。l 完成对控制中心指令的接收和响应工作。完成对控制中心指令的接收和响应工作。l 探测器是由策略驱动的网络监听和分析系统。探测器是由策略驱动的网络监听和分析系统。IDSIDS的基本结构的基本结构 -引擎的功能结构引擎的功能结构提供报警显示提供报警显示提供对预警信息的记录和检索、统计功能提供对预警信息的记录和检索、统计功能制定入侵监测的策略；制定入侵监测的策略；控制探测器系统的运行状态控制探测器系统的运行状态收集来自多台引擎的上报事件，综合进行事件分析，收集来自多台引擎的上报事件，综合进行事件分析，以多种方式对入侵事件作出快速响应。以多种方式对入侵事件作出快速响应

38、。这种分布式结构有助于系统管理员的集中管理，全面搜这种分布式结构有助于系统管理员的集中管理，全面搜集多台探测引擎的信息，进行入侵行为的分析。集多台探测引擎的信息，进行入侵行为的分析。IDSIDS的基本结构的基本结构-控制中心的功能结构控制中心的功能结构网络入侵检测系统的部署方式网络入侵检测系统的部署方式l NIDS的位置必须要看到所有数据包n共享媒介HUBn交换环境n隐蔽模式n千兆网l 分布式结构nSensornConsole HUBIDS SensorMonitored ServersConsole网络入侵检测系统的部署方式网络入侵检测系统的部署方式 SwitchIDS SensorMoni

39、tored ServersConsole网络入侵检测系统的部署方式网络入侵检测系统的部署方式 SwitchIDS SensorMonitored ServersConsole不设不设IP网络入侵检测系统的部署方式网络入侵检测系统的部署方式 IDS SensorsL4或或L7交换设备交换设备网络入侵检测系统的部署方式网络入侵检测系统的部署方式IDSIDS的系统结构的系统结构 单机结构单机结构 ：引擎和控制中心在一个系统之上，不能远距离操作，只能在现场进行操作。优点优点是结构简单，不会因为通讯而影响网络带宽和泄密。分布式结构分布式结构就是引擎和控制中心在2个系统之上，通过网络通讯，可以远距离查看和

40、操作。目前的大多数IDS系统都是分布式的。 优点优点不是必需在现场操作，可以用一个控制中心控制多个引擎，可以统一进行策略编辑和下发，可以统一查看申报的事件，可以通过分开事件显示和查看的功能提高处理速度等等。IDSIDS的系统结构的系统结构-分布式结构图分布式结构图 网络入侵的现状网络入侵的现状 深层防御体系及深层防御体系及IDS的作用的作用 IDS的分类方法学的分类方法学 IDS的结构的结构 入侵检测的困惑入侵检测的困惑 第四代入侵检测技术第四代入侵检测技术 入侵检测的新发展入侵检测的新发展管理人员需要了解网络中正在发生的各种活动管理人员需要在攻击到来之前发现攻击行为管理人员需要识别异常行为需

41、要有效的工具进行针对攻击行为以及异常的实时和事后分析 网络入侵的现状网络入侵的现状 深层防御体系及深层防御体系及IDS的作用的作用 IDS的分类方法学的分类方法学 IDS的结构的结构 入侵检测的困惑入侵检测的困惑 第四代入侵检测技术第四代入侵检测技术 入侵检测的新发展入侵检测的新发展第四代入侵管理技术第四代入侵管理技术 现代入侵攻击技术:新一代主动式恶意代码极短时间内（Flash worms-30s），利用优化扫描的方法，感染近十万个有漏洞的系统,可以确定并记录是否被击中（4-5分钟，感染近百万台系统）。扫描探测 传递复制被感染的机器 有漏洞的机器第四代入侵管理技术第四代入侵管理技术n入侵发展

42、（目标、入侵者攻击能力、传播速度、工具数量、复杂、隐蔽） n利用加密传播恶意代码 n各种技术和策略间的互操作及关联分析 n日益增长的网络流量 第四代入侵管理技术第四代入侵管理技术n入侵检测术语未统一 n入侵检测系统维护非常困难 n在采取不适当的自动响应行为中存在风险 n入侵检测系统可能自己攻击自己 第四代入侵管理技术第四代入侵管理技术n误报漏报使得系统准确性大大折扣 n客观性的测评信息缺乏（如何选择和评价） n高速网络与实时分析 n直观的事件分析报告 第四代入侵管理技术第四代入侵管理技术第四代入侵管理技术第四代入侵管理技术第四代入侵管理技术第四代入侵管理技术第三代：完全协议分析+模式匹配+异常

43、统计优点：误报、漏报、滥报率低，效率高，可管理性强缺点：可视化程度不够，防范及管理功能较弱第四代入侵管理技术第四代入侵管理技术Security =VisibilityControl+Manage+ 网络入侵的现状网络入侵的现状 深层防御体系及深层防御体系及IDS的作用的作用 IDS的分类方法学的分类方法学 IDS的结构的结构 入侵检测的困惑入侵检测的困惑 第四代入侵检测技术第四代入侵检测技术 入侵检测的新发展入侵检测的新发展数据库数据库电子传真电子传真防火墙防火墙OA资源分享从不知到有知从被动到主动需要系列化入侵检测需要系列化入侵检测内部办公网DMZDBWWWE-MAIL防火墙防火墙从事后到事

44、前从预警到保障NIDSNIDSNIDSDNS需要系列化入侵检测需要系列化入侵检测HIDSHIDS需要系列化入侵检测需要系列化入侵检测不同入侵管理系统不同类型（主机、网络、综合）不同技术（管理、协议分析、模式匹配、异常统计）不同部件（扫描、恶意代码检测、蜜网、结构分析）不同性能（百兆、千兆、2.5G Pos）不同服务（分析、综合）低端入侵检测低端入侵检测清晰的界面只针对网络事件无需多级控制用户审计简便无需了解事件细节（原始报文）简便的设置鲜明的报表（事件库）与防火墙联动与Scanner联动低端入侵检测是无需现场服务的产品高端入侵检测产品高端入侵检测产品综合分析能力全局预警能力动态策略调整功能攻击关联分析功能协同工作能力远程分布式能力 高端入侵检测具有综合分析能力和全局预警能力入侵监测的新发展入侵监测的新发展可扩展性网络规模迅速发展的要求数据获取和分析能力的加强模式匹配算法对数据库技术的应用和网络管理系统的相互融合形成全网监控的管理平台的主要部分远程管理和远程服务可用性的提高和其他技术的相互融合事件响应机制入侵监测的新发展（续）入侵监测的新发展（续）入侵监测数据分析新方向对攻击和威胁进行更加详细的分类最大限度地降低误报和漏报率事件相关性分析时间相关性分析入侵监测专用技术的逐步形成黑客事件的描述语言探测引擎所使用的实时OS芯片技术