第7章 入侵检测技术精选文档.ppt

《第7章 入侵检测技术精选文档.ppt》由会员分享，可在线阅读，更多相关《第7章 入侵检测技术精选文档.ppt（19页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第7章 入侵检测技术本讲稿第一页，共十九页目录o7.1 入侵检测的基本概念 o7.2 PPDR模型及入侵检测系统 o7.3 入侵检测的技术模型 o7.4 常用入侵检测系统介绍 o7.5 入侵检测技术的存在的问题与发展趋势 本讲稿第二页，共十九页7.1 入侵检测的基本概念入侵检测的基本概念o网络入侵行为网络入侵行为n1、外部渗透n2、内部渗透n3、不法使用o常见的网络入侵的手段常见的网络入侵的手段 n电子欺骗攻击n嗅探器Sniffern端口扫描与漏洞扫描本讲稿第三页，共十九页7.1 入侵检测的基本概念入侵检测的基本概念n口令破解 n特洛伊木马n缓冲区溢出攻击n拒绝服务攻击（DoS攻击）n利用系统

2、或软件的漏洞进行攻击n电子欺骗攻击 o入侵检测的发展入侵检测的发展 n业界将James P.Anderson在1980年发布的那篇Computer Security Threat Monitoring and Surveillance作为入侵检测概念的最早起源本讲稿第四页，共十九页7.1 入侵检测的基本概念入侵检测的基本概念n1986年Dorothy Denning等人才在其论文An Intrusion Detection Model中给出了一个入侵检测的抽象模型IDES（入侵检测专家系统），并在1988年开发出一个IDES系统。图7.1 IDES系统模型本讲稿第五页，共十九页7.1 入侵检测

3、的基本概念入侵检测的基本概念n1990年Herberlein等人开发出了第一个真正意义上的入侵检测系统NSM（Network Security Monitor）。n上世纪90年代中期，商业入侵检测产品初现端倪，1994年出现了第一台入侵检测产品：ASIM。n1997年，Cisco将网络入侵检测集成到其路由器设备，入侵检测系统正式进入主流网络安全产品阶段。n20012003年之间，防火墙是无法控制和发现蠕虫传播的，反倒是入侵检测产品可以对这些蠕虫病毒所利用的攻击代码进行检测，一时间入侵检测名声大振。n2003年GARTNER的一篇入侵检测已死的文章，带来了一个新的概念：入侵防御。本讲稿第六页，共

4、十九页7.2 PPDR模型及入侵检测系统模型及入侵检测系统o网络安全模型网络安全模型n针对网络安全问题，人们提出了各种网络安全模型，其中具有代表性的是PDR模型。PDR模型有很多变种。人们普遍接受的一个模型是PPDR模型模型图7.2 PPDR模型本讲稿第七页，共十九页7.2 PPDR模型及入侵检测系统模型及入侵检测系统o入侵检测系统的功能要求入侵检测系统的功能要求:n实时性要求 n可扩展性要求 n适应性要求 n安全性与可用性要求 n有效性要求 本讲稿第八页，共十九页7.2 PPDR模型及入侵检测系统模型及入侵检测系统o入侵检测系统的基本结构入侵检测系统的基本结构 n图7.3给出了一个通用的入侵

5、检测系统结构。很多入侵检测系统还包括界面处理，配置管理等模块。图7.3 通用入侵检测系统的基本结构图本讲稿第九页，共十九页7.2 PPDR模型及入侵检测系统模型及入侵检测系统o入侵检测系统的分类入侵检测系统的分类 n基于主机的入侵检测系统（基于主机的入侵检测系统（HIDS）o安装在需要重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。n基于网络的入侵检测系统（基于网络的入侵检测系统（NIDS）o利用网络侦听技术，通过对网络上的数据流进行捕捉、分析，以判断是否存在入侵。它以网络上传输的信息包为主要研究对象，保护网络的运行。本讲稿第十页，共十九页7.2 PPDR模

6、型及入侵检测系统模型及入侵检测系统o基于网络的IDS成本低，只需要在网络的关键点进行部署即可，其次对那些基于协议入侵的行为有很好的防范作用，并且对攻击进行实时响应，而与主机操作系统无关。n分布式入侵检测系统（分布式入侵检测系统（DIDS）o典型的DIDS是管理端/传感器结构。NIDS作为传感器放置在网络的各个地方，并向中央管理平台汇报情况。o对DIDS来说，传感器可以使用NIDS、HIDS，或者同时使用，而且传感器有的工作在混杂模式，有的工作在非混杂模式。本讲稿第十一页，共十九页7.3 入侵检测的技术模型入侵检测的技术模型o入侵检测的技术模型入侵检测的技术模型n最早的入侵检测模型由Doroth

7、y Denning在1986年提出。这个模型与具体系统和具体输入无关，对此后的大部分实用系统都很有借鉴价值。事件产生器事件产生器行为特征模块行为特征模块规则模块规则模块审计记录审计记录/网络数据包等网络数据包等特征表更新特征表更新规则更新规则更新图7.4 入侵检测模型本讲稿第十二页，共十九页7.3 入侵检测的技术模型入侵检测的技术模型o基于异常检测的入侵检测基于异常检测的入侵检测 n任何一种入侵和滥用行为通常与正常的行为存在严重的差异，通过检查出这些差异就可以检查出入侵。n这种方法主要是建立计算机系统中正常行为的模式库，然后根据收集到的信息数据，通过某种方法，看是否存在重大偏差，如果偏差在规定

8、范围之外，则认为发生了入侵行为，否则视为正常。n异常检测的一个很大的优点是不需要保存各种攻击特征的数据库，随着统计数据的增加，检测的准确性会越来越高，可能还会检测到一些未知的攻击。但由于用户的行为有很大的不确定性，很难对其行为确定正常范围，因此门限值的确定也比较困难，出错的概率比较大。同时，它只能说明系统发生了异常的情况，并不能指出系统遭受了什么样的攻击，这给系统管理员采取应对措施带来了一定困难。本讲稿第十三页，共十九页7.3 入侵检测的技术模型入侵检测的技术模型n异常检测中常用的方法有：量化分析、统计分析和神经网络。o基于误用的入侵检测基于误用的入侵检测 n收集非正常操作的行为特征，建立相关

9、的特征库，也就是所谓的专家知识库。通过监测用户的或系统行为，将收集到的数据与预先确定的特征知一识库里的各种攻击模式进行比较，如果能够匹配，则判断有攻击，系统就认为这种行为是入侵。n误用检测能迅速发现已知的攻击，并指出攻击的类型，便于采取应对措施；同时用户可以根据自身情况选择所要监控的事件类型和数量；并且误用检测没有浮点运算，效率较高。但其缺点也是显而易见的：由于依赖误用模式库，它只能检测数据库中己有的攻击，对未知的攻击无能为力。n误用检测中常用的方法有:简单的模式匹配、专家系统和状态转移法。简单的模式匹配、专家系统和状态转移法。本讲稿第十四页，共十九页7.4 常用入侵检测系统介绍常用入侵检测系

10、统介绍oSnortnSnort系统是一个以开放源代码（Open Source）形式发行的网络入侵检测系统，由Martin Roesch编写，并由遍布世界各地的众多程序员共同维护和升级。nSnort系统具有系统尺寸小、易于安装、便于配置、功能强大、使用灵活等优点。nSnort的工作模式的工作模式o网络嗅探分析仪（Sniffer）oIP包日志记录器 o网络入侵检测系统 本讲稿第十五页，共十九页7.4 常用入侵检测系统介绍常用入侵检测系统介绍nSnort的模块结构的模块结构oSnort在逻辑上可以分成多个模块，这些模块共同工作，来检测特定的攻击，并产生符合特定要求的输出格式。图7.5 Snort模块

11、的组成及其相互关系本讲稿第十六页，共十九页7.4 常用入侵检测系统介绍常用入侵检测系统介绍oOSSEC HIDS：一个基于主机的开源入侵检测系统 oFragroute/Fragrouter：一个能够逃避网络入侵检测的工具箱 oBASE：又称基本的分析和安全引擎，BAS是一个基于PHP的分析引擎oSguil：一款被称为网络安全专家监视网络活动的控制台工具 本讲稿第十七页，共十九页7.5 入侵检测技术的存在的问题与发展趋势入侵检测技术的存在的问题与发展趋势o入侵检测系统目前存在的问题入侵检测系统目前存在的问题 n误报和漏报的矛盾误报和漏报的矛盾 n隐私和安全的矛盾隐私和安全的矛盾 n被动分析与主动

12、发现的矛盾被动分析与主动发现的矛盾 n海量信息与分析代价的矛盾海量信息与分析代价的矛盾 n功能性和可管理性的矛盾功能性和可管理性的矛盾 n单一的产品与复杂的网络应用的矛盾单一的产品与复杂的网络应用的矛盾 本讲稿第十八页，共十九页7.5 入侵检测技术的存在的问题与发展趋势入侵检测技术的存在的问题与发展趋势o入侵检测系统的发展趋势入侵检测系统的发展趋势 n分析技术的改进分析技术的改进n内容恢复和网络审计功能的引入内容恢复和网络审计功能的引入n集成网络分析和管理功能集成网络分析和管理功能n安全性和易用性的提高安全性和易用性的提高 n改进对大数据量网络的处理方法改进对大数据量网络的处理方法n防火墙联动功能防火墙联动功能本讲稿第十九页，共十九页