入侵检测技术与网络入侵检测系统产品.ppt

《入侵检测技术与网络入侵检测系统产品.ppt》由会员分享，可在线阅读，更多相关《入侵检测技术与网络入侵检测系统产品.ppt（53页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全技术信息安全技术第第 5 5 讲讲 安全检测技术安全检测技术l l5.1 5.1 入侵检测技术与网络入侵检测系统产品入侵检测技术与网络入侵检测系统产品入侵检测技术与网络入侵检测系统产品入侵检测技术与网络入侵检测系统产品l l5.2 5.2 漏洞检测技术和微软系统漏洞检测工具漏洞检测技术和微软系统漏洞检测工具漏洞检测技术和微软系统漏洞检测工具漏洞检测技术和微软系统漏洞检测工具MBSA MBSA 第第 5 5 讲讲 安全检测技术安全检测技术l l5.1 5.1 入侵检测技术与网络入侵检测系统产品入侵检测技术与网络入侵检测系统产品入侵检测技术与网络入侵检测系统产品入侵检测技术与网络入侵检测系

2、统产品l l传统的操作系统加固技术和防火墙技术等都是静态安传统的操作系统加固技术和防火墙技术等都是静态安传统的操作系统加固技术和防火墙技术等都是静态安传统的操作系统加固技术和防火墙技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏全防御技术，对网络环境下日新月异的攻击手段缺乏全防御技术，对网络环境下日新月异的攻击手段缺乏全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应；而入侵检测技术则是动态安全技术的核主动的反应；而入侵检测技术则是动态安全技术的核主动的反应；而入侵检测技术则是动态安全技术的核主动的反应；而入侵检测技术则是动态安全技术的核心技术之一，可以作为防火墙的合理补充

3、，帮助系统心技术之一，可以作为防火墙的合理补充，帮助系统心技术之一，可以作为防火墙的合理补充，帮助系统心技术之一，可以作为防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力对付网络攻击，扩展系统管理员的安全管理能力对付网络攻击，扩展系统管理员的安全管理能力对付网络攻击，扩展系统管理员的安全管理能力 (包括包括包括包括安全审计、安全检测、入侵识别、入侵取证和响应等安全审计、安全检测、入侵识别、入侵取证和响应等安全审计、安全检测、入侵识别、入侵取证和响应等安全审计、安全检测、入侵识别、入侵取证和响应等)，提高了信息安全基础结构的完整性。，提高了信息安全基础结构的完整性。，提高了信

4、息安全基础结构的完整性。，提高了信息安全基础结构的完整性。第第 5 5 讲讲 安全检测技术安全检测技术l l入侵检测系统入侵检测系统入侵检测系统入侵检测系统 (Intrusion Detection System(Intrusion Detection System，IDS)IDS)是一类专门面向网络入侵的安全监测系统，它从是一类专门面向网络入侵的安全监测系统，它从是一类专门面向网络入侵的安全监测系统，它从是一类专门面向网络入侵的安全监测系统，它从计算机网络系统中的若干关键点收集信息，并分计算机网络系统中的若干关键点收集信息，并分计算机网络系统中的若干关键点收集信息，并分计算机网络系统中的若干

5、关键点收集信息，并分析这些信息，查看网络中是否有违反安全策略的析这些信息，查看网络中是否有违反安全策略的析这些信息，查看网络中是否有违反安全策略的析这些信息，查看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火行为和遭到袭击的迹象。入侵检测被认为是防火行为和遭到袭击的迹象。入侵检测被认为是防火行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全防线，在不影响网络性能的墙之后的第二道安全防线，在不影响网络性能的墙之后的第二道安全防线，在不影响网络性能的墙之后的第二道安全防线，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、情况下能对网络进行监测，从而提供

6、对内部攻击、情况下能对网络进行监测，从而提供对内部攻击、情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。外部攻击和误操作的实时保护。外部攻击和误操作的实时保护。外部攻击和误操作的实时保护。第第 5 5 讲讲 安全检测技术安全检测技术l l入侵检测系统主要执行以下任务：入侵检测系统主要执行以下任务：入侵检测系统主要执行以下任务：入侵检测系统主要执行以下任务：l l1)1)监视、分析用户及系统活动。监视、分析用户及系统活动。监视、分析用户及系统活动。监视、分析用户及系统活动。l l2)2)系统构造和弱点的审计。系统构造和弱点的审计。系统构造和弱点的审计。系统构造和弱点的审计

7、。l l3)3)识别反映已知进攻的活动模式并报警。识别反映已知进攻的活动模式并报警。识别反映已知进攻的活动模式并报警。识别反映已知进攻的活动模式并报警。l l4)4)异常行为模式的统计分析。异常行为模式的统计分析。异常行为模式的统计分析。异常行为模式的统计分析。l l5)5)评估重要系统和数据文件的完整性。评估重要系统和数据文件的完整性。评估重要系统和数据文件的完整性。评估重要系统和数据文件的完整性。l l6)6)对操作系统的审计追踪管理，并识别用户违反安全对操作系统的审计追踪管理，并识别用户违反安全对操作系统的审计追踪管理，并识别用户违反安全对操作系统的审计追踪管理，并识别用户违反安全策略的

8、行为。策略的行为。策略的行为。策略的行为。第第 5 5 讲讲 安全检测技术安全检测技术l l一个成功的入侵检测系统，不但可使系统管理员一个成功的入侵检测系统，不但可使系统管理员一个成功的入侵检测系统，不但可使系统管理员一个成功的入侵检测系统，不但可使系统管理员时刻了解网络系统时刻了解网络系统时刻了解网络系统时刻了解网络系统 (包括程序、文件和硬件设备包括程序、文件和硬件设备包括程序、文件和硬件设备包括程序、文件和硬件设备等等等等)的任何变更，还能给网络安全策略的制订提的任何变更，还能给网络安全策略的制订提的任何变更，还能给网络安全策略的制订提的任何变更，还能给网络安全策略的制订提供指南。同时，

9、它应该是管理和配置简单，使非供指南。同时，它应该是管理和配置简单，使非供指南。同时，它应该是管理和配置简单，使非供指南。同时，它应该是管理和配置简单，使非专业人员能容易地获得网络安全。当然，入侵检专业人员能容易地获得网络安全。当然，入侵检专业人员能容易地获得网络安全。当然，入侵检专业人员能容易地获得网络安全。当然，入侵检测的规模还应根据网络威胁、系统构造和安全需测的规模还应根据网络威胁、系统构造和安全需测的规模还应根据网络威胁、系统构造和安全需测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，求的改变而改变。入侵检测系统在发现入侵后，求的改变而改变。入侵检测系

10、统在发现入侵后，求的改变而改变。入侵检测系统在发现入侵后，应及时做出响应，包括切断网络连接、记录事件应及时做出响应，包括切断网络连接、记录事件应及时做出响应，包括切断网络连接、记录事件应及时做出响应，包括切断网络连接、记录事件和报警等。和报警等。和报警等。和报警等。第第 5 5 讲讲 安全检测技术安全检测技术l l目前，入侵检测系统主要以模式匹配技术为主，目前，入侵检测系统主要以模式匹配技术为主，目前，入侵检测系统主要以模式匹配技术为主，目前，入侵检测系统主要以模式匹配技术为主，并结合异常匹配技术。从实现方式上一般分为两并结合异常匹配技术。从实现方式上一般分为两并结合异常匹配技术。从实现方式上

11、一般分为两并结合异常匹配技术。从实现方式上一般分为两种：基于主机和基于网络，而一个完备的入侵检种：基于主机和基于网络，而一个完备的入侵检种：基于主机和基于网络，而一个完备的入侵检种：基于主机和基于网络，而一个完备的入侵检测系统则一定是基于主机和基于网络这两种方式测系统则一定是基于主机和基于网络这两种方式测系统则一定是基于主机和基于网络这两种方式测系统则一定是基于主机和基于网络这两种方式兼备的分布式系统。另外，能够识别的入侵手段兼备的分布式系统。另外，能够识别的入侵手段兼备的分布式系统。另外，能够识别的入侵手段兼备的分布式系统。另外，能够识别的入侵手段数量的多少、最新入侵手段的更新是否及时也是数

12、量的多少、最新入侵手段的更新是否及时也是数量的多少、最新入侵手段的更新是否及时也是数量的多少、最新入侵手段的更新是否及时也是评价入侵检测系统的关键指标。评价入侵检测系统的关键指标。评价入侵检测系统的关键指标。评价入侵检测系统的关键指标。第第 5 5 讲讲 安全检测技术安全检测技术l l利用最新的可适应网络安全技术和利用最新的可适应网络安全技术和利用最新的可适应网络安全技术和利用最新的可适应网络安全技术和P2DR(PolicyP2DR(Policy，ProtectionProtection，DetectionDetection，ResponseResponse，即策略、，即策略、，即策略、，即策

13、略、保护、探测、反应保护、探测、反应保护、探测、反应保护、探测、反应)安全模型，已经可以深入研安全模型，已经可以深入研安全模型，已经可以深入研安全模型，已经可以深入研究入侵事件、入侵手段本身及被入侵目标的漏洞究入侵事件、入侵手段本身及被入侵目标的漏洞究入侵事件、入侵手段本身及被入侵目标的漏洞究入侵事件、入侵手段本身及被入侵目标的漏洞等。随着等。随着等。随着等。随着P2DRP2DR安全模型被广泛认同，入侵检测安全模型被广泛认同，入侵检测安全模型被广泛认同，入侵检测安全模型被广泛认同，入侵检测系统在信息系统安全中占据越来越重要的地位。系统在信息系统安全中占据越来越重要的地位。系统在信息系统安全中占

14、据越来越重要的地位。系统在信息系统安全中占据越来越重要的地位。第第 5 5 讲讲 安全检测技术安全检测技术l l1.IDS1.IDS分类分类分类分类l l根据检测方法不同分类根据检测方法不同分类根据检测方法不同分类根据检测方法不同分类l l根据数据源不同分类根据数据源不同分类根据数据源不同分类根据数据源不同分类第第 5 5 讲讲 安全检测技术安全检测技术l l(1)(1)根据检测方法不同分类根据检测方法不同分类根据检测方法不同分类根据检测方法不同分类l l按具体的检测方法，可将入侵检测系统分为基于行按具体的检测方法，可将入侵检测系统分为基于行按具体的检测方法，可将入侵检测系统分为基于行按具体的

15、检测方法，可将入侵检测系统分为基于行为和基于知识两类。为和基于知识两类。为和基于知识两类。为和基于知识两类。第第 5 5 讲讲 安全检测技术安全检测技术l l1)1)基于行为的检测，也称为异常检测。基于行为的检测，也称为异常检测。基于行为的检测，也称为异常检测。基于行为的检测，也称为异常检测。l l是指根据使用者的行为或资源使用状况的正常程度是指根据使用者的行为或资源使用状况的正常程度是指根据使用者的行为或资源使用状况的正常程度是指根据使用者的行为或资源使用状况的正常程度来判断是否发生入侵，而不依赖具体行为是否出现，来判断是否发生入侵，而不依赖具体行为是否出现，来判断是否发生入侵，而不依赖具体

16、行为是否出现，来判断是否发生入侵，而不依赖具体行为是否出现，即建立被检测系统正常行为的参考库，并通过与当即建立被检测系统正常行为的参考库，并通过与当即建立被检测系统正常行为的参考库，并通过与当即建立被检测系统正常行为的参考库，并通过与当前行为进行比较来寻找偏离参考库的异常行为。对前行为进行比较来寻找偏离参考库的异常行为。对前行为进行比较来寻找偏离参考库的异常行为。对前行为进行比较来寻找偏离参考库的异常行为。对于异常阈值与特征的选择是异常发现技术的关键。于异常阈值与特征的选择是异常发现技术的关键。于异常阈值与特征的选择是异常发现技术的关键。于异常阈值与特征的选择是异常发现技术的关键。例如，通过流

17、量统计分析将异常时间的异常网络流例如，通过流量统计分析将异常时间的异常网络流例如，通过流量统计分析将异常时间的异常网络流例如，通过流量统计分析将异常时间的异常网络流量视为可疑。量视为可疑。量视为可疑。量视为可疑。第第 5 5 讲讲 安全检测技术安全检测技术l l异常发现技术的局限是，并非所有的入侵都表现为异常发现技术的局限是，并非所有的入侵都表现为异常发现技术的局限是，并非所有的入侵都表现为异常发现技术的局限是，并非所有的入侵都表现为异常，而且系统的轨迹也难以计算和更新。例如，异常，而且系统的轨迹也难以计算和更新。例如，异常，而且系统的轨迹也难以计算和更新。例如，异常，而且系统的轨迹也难以计算

18、和更新。例如，一般在白天使用计算机的某用户，如果他突然在午一般在白天使用计算机的某用户，如果他突然在午一般在白天使用计算机的某用户，如果他突然在午一般在白天使用计算机的某用户，如果他突然在午夜注册登记，则有可能被认为是入侵者在使用。夜注册登记，则有可能被认为是入侵者在使用。夜注册登记，则有可能被认为是入侵者在使用。夜注册登记，则有可能被认为是入侵者在使用。第第 5 5 讲讲 安全检测技术安全检测技术l l2)2)基于知识的检测，也被称为误用检测。基于知识的检测，也被称为误用检测。基于知识的检测，也被称为误用检测。基于知识的检测，也被称为误用检测。l l是指运用已知攻击方法，根据已定义好的入侵模

19、式，是指运用已知攻击方法，根据已定义好的入侵模式，是指运用已知攻击方法，根据已定义好的入侵模式，是指运用已知攻击方法，根据已定义好的入侵模式，通过与这些入侵模式是否匹配来判断入侵。入侵模通过与这些入侵模式是否匹配来判断入侵。入侵模通过与这些入侵模式是否匹配来判断入侵。入侵模通过与这些入侵模式是否匹配来判断入侵。入侵模式是入侵过程的特征、条件、排列以及事件间的关式是入侵过程的特征、条件、排列以及事件间的关式是入侵过程的特征、条件、排列以及事件间的关式是入侵过程的特征、条件、排列以及事件间的关系，即具体入侵行为的迹象。这些迹象不仅对分析系，即具体入侵行为的迹象。这些迹象不仅对分析系，即具体入侵行为

20、的迹象。这些迹象不仅对分析系，即具体入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助，而且对即将发生的入已经发生的入侵行为有帮助，而且对即将发生的入已经发生的入侵行为有帮助，而且对即将发生的入已经发生的入侵行为有帮助，而且对即将发生的入侵也有警戒作用，因为只要部分满足这些入侵迹象侵也有警戒作用，因为只要部分满足这些入侵迹象侵也有警戒作用，因为只要部分满足这些入侵迹象侵也有警戒作用，因为只要部分满足这些入侵迹象就意味着可能有入侵发生。就意味着可能有入侵发生。就意味着可能有入侵发生。就意味着可能有入侵发生。第第 5 5 讲讲 安全检测技术安全检测技术l l入侵模式匹配的关键是如何表达入侵

21、的模式，把入入侵模式匹配的关键是如何表达入侵的模式，把入入侵模式匹配的关键是如何表达入侵的模式，把入入侵模式匹配的关键是如何表达入侵的模式，把入侵与正常行为区分开来。入侵模式匹配的优点是误侵与正常行为区分开来。入侵模式匹配的优点是误侵与正常行为区分开来。入侵模式匹配的优点是误侵与正常行为区分开来。入侵模式匹配的优点是误报少，局限是它只能发现已知的攻击，对未知的攻报少，局限是它只能发现已知的攻击，对未知的攻报少，局限是它只能发现已知的攻击，对未知的攻报少，局限是它只能发现已知的攻击，对未知的攻击无能为力。击无能为力。击无能为力。击无能为力。第第 5 5 讲讲 安全检测技术安全检测技术l l(2)

22、(2)根据数据源不同分类根据数据源不同分类根据数据源不同分类根据数据源不同分类l l根据检测系统所依据分析的原始数据不同，可将入根据检测系统所依据分析的原始数据不同，可将入根据检测系统所依据分析的原始数据不同，可将入根据检测系统所依据分析的原始数据不同，可将入侵检测分为来自系统日志和网络数据包两种。侵检测分为来自系统日志和网络数据包两种。侵检测分为来自系统日志和网络数据包两种。侵检测分为来自系统日志和网络数据包两种。l l入侵检测的早期研究主要集中在对主机系统日志文入侵检测的早期研究主要集中在对主机系统日志文入侵检测的早期研究主要集中在对主机系统日志文入侵检测的早期研究主要集中在对主机系统日志

23、文件的分析上，因为当时的用户对象局限于本地用户。件的分析上，因为当时的用户对象局限于本地用户。件的分析上，因为当时的用户对象局限于本地用户。件的分析上，因为当时的用户对象局限于本地用户。操作系统的日志文件中包含了详细的用户信息和系操作系统的日志文件中包含了详细的用户信息和系操作系统的日志文件中包含了详细的用户信息和系操作系统的日志文件中包含了详细的用户信息和系统调用数据，从中可以分析系统是否被侵入以及侵统调用数据，从中可以分析系统是否被侵入以及侵统调用数据，从中可以分析系统是否被侵入以及侵统调用数据，从中可以分析系统是否被侵入以及侵入者留下的痕迹等审计信息。入者留下的痕迹等审计信息。入者留下的

24、痕迹等审计信息。入者留下的痕迹等审计信息。第第 5 5 讲讲 安全检测技术安全检测技术l l随着因特网的普及，用户可随机地从不同客户机上随着因特网的普及，用户可随机地从不同客户机上随着因特网的普及，用户可随机地从不同客户机上随着因特网的普及，用户可随机地从不同客户机上登录，主机间也经常需要交换信息，网络数据包中登录，主机间也经常需要交换信息，网络数据包中登录，主机间也经常需要交换信息，网络数据包中登录，主机间也经常需要交换信息，网络数据包中同样也含有用户信息。这样，就使入侵检测的对象同样也含有用户信息。这样，就使入侵检测的对象同样也含有用户信息。这样，就使入侵检测的对象同样也含有用户信息。这样

25、，就使入侵检测的对象范围扩大至整个网络。范围扩大至整个网络。范围扩大至整个网络。范围扩大至整个网络。l l此外，还可根据系统运行特性分为实时检测和周期此外，还可根据系统运行特性分为实时检测和周期此外，还可根据系统运行特性分为实时检测和周期此外，还可根据系统运行特性分为实时检测和周期性检测，以及根据检测到入侵行为后是否采取相应性检测，以及根据检测到入侵行为后是否采取相应性检测，以及根据检测到入侵行为后是否采取相应性检测，以及根据检测到入侵行为后是否采取相应措施而分为主动型和被动型等。措施而分为主动型和被动型等。措施而分为主动型和被动型等。措施而分为主动型和被动型等。图图图图5.1 5.1 两类检

26、测的关系两类检测的关系两类检测的关系两类检测的关系第第 5 5 讲讲 安全检测技术安全检测技术l l2.IDS2.IDS的基本原理的基本原理的基本原理的基本原理l l由于对安全事件的检测通常包括了大量复杂的由于对安全事件的检测通常包括了大量复杂的由于对安全事件的检测通常包括了大量复杂的由于对安全事件的检测通常包括了大量复杂的步骤，涉及到很多方面，任何单一技术都很难步骤，涉及到很多方面，任何单一技术都很难步骤，涉及到很多方面，任何单一技术都很难步骤，涉及到很多方面，任何单一技术都很难提供完备的检测能力，需要综合多个检测系统提供完备的检测能力，需要综合多个检测系统提供完备的检测能力，需要综合多个检

27、测系统提供完备的检测能力，需要综合多个检测系统以达到尽量完备的检测能力。在根据安全事件以达到尽量完备的检测能力。在根据安全事件以达到尽量完备的检测能力。在根据安全事件以达到尽量完备的检测能力。在根据安全事件报警的标准格式所定义的安全模型中，对一些报警的标准格式所定义的安全模型中，对一些报警的标准格式所定义的安全模型中，对一些报警的标准格式所定义的安全模型中，对一些入侵检测术语进行了规范，包括：入侵检测术语进行了规范，包括：入侵检测术语进行了规范，包括：入侵检测术语进行了规范，包括：第第 5 5 讲讲 安全检测技术安全检测技术l l1)1)数据源数据源数据源数据源 (Data source)(D

28、ata source)：入侵检测系统用来检测非授：入侵检测系统用来检测非授：入侵检测系统用来检测非授：入侵检测系统用来检测非授权或不希望的活动的原始信息。通常的数据源包括权或不希望的活动的原始信息。通常的数据源包括权或不希望的活动的原始信息。通常的数据源包括权或不希望的活动的原始信息。通常的数据源包括 (但但但但不限于不限于不限于不限于)原始的网络包、操作系统审计日志、应用程序原始的网络包、操作系统审计日志、应用程序原始的网络包、操作系统审计日志、应用程序原始的网络包、操作系统审计日志、应用程序日志以及系统生成的校验和数据等。日志以及系统生成的校验和数据等。日志以及系统生成的校验和数据等。日志

29、以及系统生成的校验和数据等。l l2)2)活动活动活动活动 (Activity)(Activity)：由传感器或分析器识别出的数据源：由传感器或分析器识别出的数据源：由传感器或分析器识别出的数据源：由传感器或分析器识别出的数据源的实例。例如，网络会话、用户活动和应用事件等。的实例。例如，网络会话、用户活动和应用事件等。的实例。例如，网络会话、用户活动和应用事件等。的实例。例如，网络会话、用户活动和应用事件等。活动既包括极其严重的事件活动既包括极其严重的事件活动既包括极其严重的事件活动既包括极其严重的事件 (例如明显的恶意攻击例如明显的恶意攻击例如明显的恶意攻击例如明显的恶意攻击)，也包括不太严

30、重的事件也包括不太严重的事件也包括不太严重的事件也包括不太严重的事件 (如值得进一步深究的异常用户如值得进一步深究的异常用户如值得进一步深究的异常用户如值得进一步深究的异常用户活动活动活动活动)。第第 5 5 讲讲 安全检测技术安全检测技术l l3)3)传感器传感器传感器传感器 (Sensor)(Sensor)：从数据源搜集数据的入侵检测构：从数据源搜集数据的入侵检测构：从数据源搜集数据的入侵检测构：从数据源搜集数据的入侵检测构件或模块。数据搜集的频率由具体提供的入侵检测系件或模块。数据搜集的频率由具体提供的入侵检测系件或模块。数据搜集的频率由具体提供的入侵检测系件或模块。数据搜集的频率由具体

31、提供的入侵检测系统决定。统决定。统决定。统决定。l l4)4)事件事件事件事件 (Event)(Event)：在数据源中发生且被分析器检测到的，：在数据源中发生且被分析器检测到的，：在数据源中发生且被分析器检测到的，：在数据源中发生且被分析器检测到的，可能导致警报传输的行为。例如，可能导致警报传输的行为。例如，可能导致警报传输的行为。例如，可能导致警报传输的行为。例如，10s10s内的内的内的内的3 3次失败登录次失败登录次失败登录次失败登录，可能表示强行登录尝试攻击。，可能表示强行登录尝试攻击。，可能表示强行登录尝试攻击。，可能表示强行登录尝试攻击。第第 5 5 讲讲 安全检测技术安全检测技

32、术l l5)5)分析器分析器分析器分析器 (Analyzer)(Analyzer)：入侵检测的构件或进程，它分：入侵检测的构件或进程，它分：入侵检测的构件或进程，它分：入侵检测的构件或进程，它分析传感器搜集的数据，这些数据反映了一些非授权的析传感器搜集的数据，这些数据反映了一些非授权的析传感器搜集的数据，这些数据反映了一些非授权的析传感器搜集的数据，这些数据反映了一些非授权的或不希望的活动，以及安全管理员感兴趣的安全事件或不希望的活动，以及安全管理员感兴趣的安全事件或不希望的活动，以及安全管理员感兴趣的安全事件或不希望的活动，以及安全管理员感兴趣的安全事件的迹象。在很多现有的入侵检测系统中，将

33、传感器和的迹象。在很多现有的入侵检测系统中，将传感器和的迹象。在很多现有的入侵检测系统中，将传感器和的迹象。在很多现有的入侵检测系统中，将传感器和分析器作为同一构件的不同部分。分析器作为同一构件的不同部分。分析器作为同一构件的不同部分。分析器作为同一构件的不同部分。l l6)6)安全策略安全策略安全策略安全策略 (Security policy)(Security policy)：预定义的正式文档声明，：预定义的正式文档声明，：预定义的正式文档声明，：预定义的正式文档声明，定义哪些服务可以通过被监控的网段，还包括定义哪些服务可以通过被监控的网段，还包括定义哪些服务可以通过被监控的网段，还包括定

34、义哪些服务可以通过被监控的网段，还包括 (但不限但不限但不限但不限于于于于)哪些主机不允许外部网络访问，从而支持组织的安哪些主机不允许外部网络访问，从而支持组织的安哪些主机不允许外部网络访问，从而支持组织的安哪些主机不允许外部网络访问，从而支持组织的安全需求。全需求。全需求。全需求。第第 5 5 讲讲 安全检测技术安全检测技术l l7)7)报警报警报警报警 (Alert)(Alert)：由分析器发给管理器的消息，表明一：由分析器发给管理器的消息，表明一：由分析器发给管理器的消息，表明一：由分析器发给管理器的消息，表明一个事件被检测到。报警通常包含被检测到的异常活动个事件被检测到。报警通常包含被

35、检测到的异常活动个事件被检测到。报警通常包含被检测到的异常活动个事件被检测到。报警通常包含被检测到的异常活动的有关信息和事件细节。的有关信息和事件细节。的有关信息和事件细节。的有关信息和事件细节。l l当一个入侵正在发生或者试图发生时，当一个入侵正在发生或者试图发生时，当一个入侵正在发生或者试图发生时，当一个入侵正在发生或者试图发生时，IDSIDS系统将发布系统将发布系统将发布系统将发布一个一个一个一个AlertAlert信息通知系统管理员。如果控制台与信息通知系统管理员。如果控制台与信息通知系统管理员。如果控制台与信息通知系统管理员。如果控制台与IDSIDS系统系统系统系统同在一台机器，同在

36、一台机器，同在一台机器，同在一台机器，AlertAlert信息将显示在监视器上，也可能信息将显示在监视器上，也可能信息将显示在监视器上，也可能信息将显示在监视器上，也可能伴随着声音提示。如果是远程控制台，那么伴随着声音提示。如果是远程控制台，那么伴随着声音提示。如果是远程控制台，那么伴随着声音提示。如果是远程控制台，那么AlertAlert将通将通将通将通过过过过IDSIDS系统内置方法系统内置方法系统内置方法系统内置方法 (通常是加密的通常是加密的通常是加密的通常是加密的)、SNMP(SNMP(简单网简单网简单网简单网络管理协议，通常不加密络管理协议，通常不加密络管理协议，通常不加密络管理协

37、议，通常不加密)、E-mailE-mail、SMS(SMS(短信息短信息短信息短信息)或或或或者以上几种方法的混合方式传递给管理员。者以上几种方法的混合方式传递给管理员。者以上几种方法的混合方式传递给管理员。者以上几种方法的混合方式传递给管理员。第第 5 5 讲讲 安全检测技术安全检测技术l l8)8)管理器管理器管理器管理器 (Manager)(Manager)：入侵检测的构件或进程，操作：入侵检测的构件或进程，操作：入侵检测的构件或进程，操作：入侵检测的构件或进程，操作员通过它可以管理入侵检测系统的各种构件。典型管员通过它可以管理入侵检测系统的各种构件。典型管员通过它可以管理入侵检测系统的

38、各种构件。典型管员通过它可以管理入侵检测系统的各种构件。典型管理功能通常包括：传感器配置、分析器配置、事件通理功能通常包括：传感器配置、分析器配置、事件通理功能通常包括：传感器配置、分析器配置、事件通理功能通常包括：传感器配置、分析器配置、事件通告管理、数据合并及报告等。告管理、数据合并及报告等。告管理、数据合并及报告等。告管理、数据合并及报告等。l l9)9)通告通告通告通告 (Notification)(Notification)：入侵检测系统管理器用来使操：入侵检测系统管理器用来使操：入侵检测系统管理器用来使操：入侵检测系统管理器用来使操作员知晓事件发生的方法。在很多入侵检测系统中，作员

39、知晓事件发生的方法。在很多入侵检测系统中，作员知晓事件发生的方法。在很多入侵检测系统中，作员知晓事件发生的方法。在很多入侵检测系统中，尽管有许多其他的通告技术可以采用，但通常是通过尽管有许多其他的通告技术可以采用，但通常是通过尽管有许多其他的通告技术可以采用，但通常是通过尽管有许多其他的通告技术可以采用，但通常是通过在入侵检测系统管理器屏幕上显示一个彩色图标、发在入侵检测系统管理器屏幕上显示一个彩色图标、发在入侵检测系统管理器屏幕上显示一个彩色图标、发在入侵检测系统管理器屏幕上显示一个彩色图标、发送电子邮件或寻呼机消息，或者发送送电子邮件或寻呼机消息，或者发送送电子邮件或寻呼机消息，或者发送送

40、电子邮件或寻呼机消息，或者发送SNMPSNMP的陷门来实的陷门来实的陷门来实的陷门来实现。现。现。现。第第 5 5 讲讲 安全检测技术安全检测技术l l10)10)管理员管理员管理员管理员 (Administrator)(Administrator)：负责维护和管理一个组织：负责维护和管理一个组织：负责维护和管理一个组织：负责维护和管理一个组织机构的网络信息系统安全的人员。管理员与负责安装机构的网络信息系统安全的人员。管理员与负责安装机构的网络信息系统安全的人员。管理员与负责安装机构的网络信息系统安全的人员。管理员与负责安装配置入侵检测系统及监视入侵检测系统输出的人员，配置入侵检测系统及监视入

41、侵检测系统输出的人员，配置入侵检测系统及监视入侵检测系统输出的人员，配置入侵检测系统及监视入侵检测系统输出的人员，可能是一人也可能是多人；他可能属于网络可能是一人也可能是多人；他可能属于网络可能是一人也可能是多人；他可能属于网络可能是一人也可能是多人；他可能属于网络/系统管理系统管理系统管理系统管理组，也可能是一个单独的职位。组，也可能是一个单独的职位。组，也可能是一个单独的职位。组，也可能是一个单独的职位。l l11)11)操作员操作员操作员操作员 (Operator)(Operator)：入侵检测系统管理器的主要使：入侵检测系统管理器的主要使：入侵检测系统管理器的主要使：入侵检测系统管理器

42、的主要使用者。操作员监视入侵检测系统的输出，并负责发起用者。操作员监视入侵检测系统的输出，并负责发起用者。操作员监视入侵检测系统的输出，并负责发起用者。操作员监视入侵检测系统的输出，并负责发起或建议进一步的行动。或建议进一步的行动。或建议进一步的行动。或建议进一步的行动。第第 5 5 讲讲 安全检测技术安全检测技术l l12)12)响应响应响应响应 (Response)(Response)：对一个事件所采取的响应动作。：对一个事件所采取的响应动作。：对一个事件所采取的响应动作。：对一个事件所采取的响应动作。响应可以由入侵检测系统体系结构中的一些实体自动响应可以由入侵检测系统体系结构中的一些实体

43、自动响应可以由入侵检测系统体系结构中的一些实体自动响应可以由入侵检测系统体系结构中的一些实体自动执行，也可由人工发起。基本的响应包括：向操作员执行，也可由人工发起。基本的响应包括：向操作员执行，也可由人工发起。基本的响应包括：向操作员执行，也可由人工发起。基本的响应包括：向操作员发送通告、将活动记入日志、记录描述事件特征的原发送通告、将活动记入日志、记录描述事件特征的原发送通告、将活动记入日志、记录描述事件特征的原发送通告、将活动记入日志、记录描述事件特征的原始数据、中断网络连接或用户应用程序会话过程，或始数据、中断网络连接或用户应用程序会话过程，或始数据、中断网络连接或用户应用程序会话过程，

44、或始数据、中断网络连接或用户应用程序会话过程，或者改变网络或系统的访问控制等。者改变网络或系统的访问控制等。者改变网络或系统的访问控制等。者改变网络或系统的访问控制等。l l13)13)特征表示特征表示特征表示特征表示 (Signature)(Signature)：分析器用于标识安全管理员：分析器用于标识安全管理员：分析器用于标识安全管理员：分析器用于标识安全管理员感兴趣的活动的规则。表示符代表了入侵检测系统的感兴趣的活动的规则。表示符代表了入侵检测系统的感兴趣的活动的规则。表示符代表了入侵检测系统的感兴趣的活动的规则。表示符代表了入侵检测系统的检测机制。检测机制。检测机制。检测机制。第第 5

45、 5 讲讲 安全检测技术安全检测技术l l14)14)入侵检测系统入侵检测系统入侵检测系统入侵检测系统 (IDS)(IDS)：由一个或多个传感器、分析：由一个或多个传感器、分析：由一个或多个传感器、分析：由一个或多个传感器、分析器、管理器组成，可自动分析系统活动，是检测安全器、管理器组成，可自动分析系统活动，是检测安全器、管理器组成，可自动分析系统活动，是检测安全器、管理器组成，可自动分析系统活动，是检测安全事件的工具或系统。事件的工具或系统。事件的工具或系统。事件的工具或系统。第第 5 5 讲讲 安全检测技术安全检测技术l l一个简单的入侵检测系统的示意图如图一个简单的入侵检测系统的示意图如

46、图一个简单的入侵检测系统的示意图如图一个简单的入侵检测系统的示意图如图5.25.2所示。所示。所示。所示。图图图图5.2 5.2 简单的入侵检测系统示意图简单的入侵检测系统示意图简单的入侵检测系统示意图简单的入侵检测系统示意图第第 5 5 讲讲 安全检测技术安全检测技术l l系统可以分成数据采集、入侵分析引擎、管理配系统可以分成数据采集、入侵分析引擎、管理配系统可以分成数据采集、入侵分析引擎、管理配系统可以分成数据采集、入侵分析引擎、管理配置、响应处理和相关的辅助模块等。置、响应处理和相关的辅助模块等。置、响应处理和相关的辅助模块等。置、响应处理和相关的辅助模块等。l l1)1)数据采集模块：

47、为入侵分析引擎模块提供分析用的数据采集模块：为入侵分析引擎模块提供分析用的数据采集模块：为入侵分析引擎模块提供分析用的数据采集模块：为入侵分析引擎模块提供分析用的数据。一股有操作系统的审计日志、应用程序日志、数据。一股有操作系统的审计日志、应用程序日志、数据。一股有操作系统的审计日志、应用程序日志、数据。一股有操作系统的审计日志、应用程序日志、系统生成的校验和数据，以及网络数据包等。系统生成的校验和数据，以及网络数据包等。系统生成的校验和数据，以及网络数据包等。系统生成的校验和数据，以及网络数据包等。l l2)2)入侵分析引擎模块：依据辅助模块提供的信息入侵分析引擎模块：依据辅助模块提供的信息

48、入侵分析引擎模块：依据辅助模块提供的信息入侵分析引擎模块：依据辅助模块提供的信息 (如攻如攻如攻如攻击模式击模式击模式击模式)，按照一定的算法对收集到的数据进行分析，按照一定的算法对收集到的数据进行分析，按照一定的算法对收集到的数据进行分析，按照一定的算法对收集到的数据进行分析，从中判断是否有入侵行为出现并产生入侵报警。该模从中判断是否有入侵行为出现并产生入侵报警。该模从中判断是否有入侵行为出现并产生入侵报警。该模从中判断是否有入侵行为出现并产生入侵报警。该模块是入侵检测系统的核心模块。块是入侵检测系统的核心模块。块是入侵检测系统的核心模块。块是入侵检测系统的核心模块。第第 5 5 讲讲 安全

49、检测技术安全检测技术l l3)3)管理配置模块：它的功能是为其他模块提供配置服管理配置模块：它的功能是为其他模块提供配置服管理配置模块：它的功能是为其他模块提供配置服管理配置模块：它的功能是为其他模块提供配置服务，是入侵检测系统中模块与用户的接口。务，是入侵检测系统中模块与用户的接口。务，是入侵检测系统中模块与用户的接口。务，是入侵检测系统中模块与用户的接口。l l4)4)响应处理模块：当发生入侵后，预先为系统提供紧响应处理模块：当发生入侵后，预先为系统提供紧响应处理模块：当发生入侵后，预先为系统提供紧响应处理模块：当发生入侵后，预先为系统提供紧急的措施，如关闭网络服务、中断网络连接及启动备急

50、的措施，如关闭网络服务、中断网络连接及启动备急的措施，如关闭网络服务、中断网络连接及启动备急的措施，如关闭网络服务、中断网络连接及启动备份系统等。份系统等。份系统等。份系统等。l l5)5)辅助模块：协助入侵分析引擎模块工作，为它提供辅助模块：协助入侵分析引擎模块工作，为它提供辅助模块：协助入侵分析引擎模块工作，为它提供辅助模块：协助入侵分析引擎模块工作，为它提供相应的信息，如攻击模式库、系统配置库和安全控制相应的信息，如攻击模式库、系统配置库和安全控制相应的信息，如攻击模式库、系统配置库和安全控制相应的信息，如攻击模式库、系统配置库和安全控制策略等。策略等。策略等。策略等。第第 5 5 讲讲