第13章-入侵检测技术-网络攻防原理与实践课件.ppt

《第13章-入侵检测技术-网络攻防原理与实践课件.ppt》由会员分享，可在线阅读，更多相关《第13章-入侵检测技术-网络攻防原理与实践课件.ppt（28页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第1313章章 入侵检测技术入侵检测技术高等教育出版社本章要点 2.2.入侵检测技术系统分类入侵检测技术系统分类 1.1.入侵检测技术概述入侵检测技术概述 3.3.入侵检测技术入侵检测技术 4.4.入侵检测系统的发展趋势入侵检测系统的发展趋势 5 5.入侵防御系统入侵防御系统网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社入侵检测的概念v入侵检测入侵检测(Intrusion Detection)(Intrusion Detection)就是通过从计算就是通过从计算机网络或计算机系统中若干关键点收集信息并对机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是

2、否有违反其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象，同时做出响安全策略的行为和遭到攻击的迹象，同时做出响应。应。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社入侵检测的一般过程v入侵检测的一般过程是：信息收集、信息入侵检测的一般过程是：信息收集、信息(数据数据)预处理、数据的检测分析、根据安全策略做出响预处理、数据的检测分析、根据安全策略做出响应，如图应，如图13.113.1所示。所示。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社入侵检测系统v入侵检测系统作为安全防御体系的一个重要组成入侵检测系统作为安全防御体系的一个重要组成部分，它

3、的作用发挥的充分与否将在很大程度上部分，它的作用发挥的充分与否将在很大程度上影响整个安全策略的成败。其主要功能有：影响整个安全策略的成败。其主要功能有：n用户和系统行为的监测和分析；n系统配置和漏洞的审计检查；n重要的系统和数据文件的完整性评估；n已知的攻击行为模式的识别；n异常行为模式的统计分析；n操作系统的审计跟踪管理及违反安全策略的用户行为的识别。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社入侵检测系统分类v1.1.根据入侵检测系统的输入数据来源的分类根据入侵检测系统的输入数据来源的分类n基于主机的(Host-Based)入侵检测系统(HIDS)n通常以系统日志、应用程序

4、日志等审计记录文件作为数据源。n通过比较审计记录与攻击签名以发现它们是否匹配。如果匹配，就向系统管理员发出入侵报警并采取相应的行动。n基于网络的(Network-Based)入侵检测系统(NIDS)n以原始的网络数据包作为数据源，利用网络适配器实时地监视并分析通过网络进行传输的所有通信业务。n识别攻击签名的常用技术有：模式、表达式或字节码的匹配；频率或阈值的比较；事件相关性处理；异常统计检测。n分布式入侵检测系统（DIDS）n采用分布式智能代理结构，由一个或多个中央智能代理和大量分布在网络各处的本地代理组成。n本地代理负责处理本地事件，中央代理负责统一调控各个本地代理的工作以及从整体上完成对网

5、络事件进行综合分析的工作。检测工作通过全部代理互相协作共同完成。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社入侵检测系统分类v2.2.根据入侵检测系统所采用技术的分类。根据入侵检测系统所采用技术的分类。n1）异常检测技术(Anomaly Detection)n异常检测技术也称为基于行为的检测技术，指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。图13.2是典型的异常检测系统示意图。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社异常检测技术分类 v异常检测技术的核心问题是建立行为模型异常检测技术的核心问题是建立行为模型v目前主要分类：目前主要分类：n统计分

6、析异常检测 n贝叶斯推理异常检测 n神经网络异常检测n模式预测异常检测n数据挖掘异常检测n机器学习异常检测网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社误用检测技术分类 v误用检测技术主要分为：误用检测技术主要分为：n条件概率误用检测n特征分析误用检测n模型推理误用检测n专家系统误用检测网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社入侵检测系统模型入侵检测系统模型v1.1.入侵检测系统的入侵检测系统的CIDFCIDF模型模型nCIDF模型是由工作组提出的,模型如图13.4所示。nCIDF将入侵检测系统需要分析的数据统称为事件，事件可以是网络中的数据包，也可以是从系统

7、日志等其他途径得到的信息。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社入侵检测系统模型入侵检测系统模型v2.Denning2.Denning的通用入侵检测系统模型的通用入侵检测系统模型nDorothy E.Denning于1987年提出了一个通用的入侵检测模型，如下图所示：网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社入侵检测方法入侵检测方法v1.1.基于模式匹配技术的入侵检测基于模式匹配技术的入侵检测n模式匹配是将收集到的信息与己知的网络入侵和系统误用数据库进行比较，从而发现违背安全策略的行为。v2.2.基于数据挖掘技术的入侵检测基于数据挖掘技术的入侵检测n数据

8、挖掘是一个从大量数据中抽取挖掘出未知的、有价值的模式或规律等知识的复杂过程。与入侵检测相关的数据挖掘算法包括分类算法、关联分析算法和序列分析算法。v3.3.基于数据融合技术的入侵检测基于数据融合技术的入侵检测n将数据融合技术应用到入侵检测中，对来自多个不同入侵检测系统的报告结果进行融合，以获得对攻击或攻击者的一致性解释或描述，提高检测率，降低误报率和漏报率，并对将来可能发生的攻击进行预警。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社入侵检测系统的发展趋势入侵检测系统的发展趋势v大规模分布式入侵检测技术大规模分布式入侵检测技术n基于网络的入侵检测技术虽然采用的是分布式的检测方式，

9、但是还需要一个中心模块进行管理，具有单失效点的固有缺陷。这些问题决定了目前的入侵检测技术难于适合普遍存在的大规模异构网络的安全需求。v实时入侵检测实时入侵检测n目前的入侵检测系统是一种被动的系统，不能作为系统行为的主动参与者融合进操作过程中去，只能通过截获系统中的数据进行判断、分析。这些截获、分析、判断及响应等操作的延迟使得入侵检测系统无法立刻介入系统的行为过程。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社入侵防御系统的概念入侵防御系统的概念 v入侵防御系统（入侵防御系统（IPSIPS）是一种智能化的入侵检测和）是一种智能化的入侵检测和防御产品，它不但能检测入侵的发生，而且能通

10、防御产品，它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生过一定的响应方式，实时地中止入侵行为的发生和发展，实时的保护信息系统不受实质性的攻击。和发展，实时的保护信息系统不受实质性的攻击。v可以简单的认为入侵防御系统是防火墙加上入侵可以简单的认为入侵防御系统是防火墙加上入侵检测系统，但并不能说入侵防御系统可以代替防检测系统，但并不能说入侵防御系统可以代替防火墙和入侵检测系统。火墙和入侵检测系统。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社入侵防御系统的原理入侵防御系统的原理v入侵防御系统倾向于提供主动防护，其设计宗旨入侵防御系统倾向于提供主动防护，其设

11、计宗旨是预先对入侵活动和攻击性网络流量进行拦截，是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。时或传送后才发出警报。vIPSIPS通过一个网络端口接收来自外部系统的流量，通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。再通过另外一个端口将它传送到内部系统中。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社入侵防御系统的原理入侵防御系统的原理v入侵防御系统的工作原理

12、入侵防御系统的工作原理网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社入侵防御系统的的分类入侵防御系统的的分类v基于主机的入侵防御基于主机的入侵防御(HIPS)(HIPS)n通过在主机/服务器上安装软件代理程序，防止网络攻击入侵操作系统以及应用程序,保护系统安全弱点不被不法分子所利用。nHIPS可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。n在技术上，HIPS采用独特的服务器保护途径，利用由包过滤、状态包检测和实时入侵检测组成分层防护体系。v基于网络的入侵防御基于网络的入侵防御(NIPS)(NIPS)nNIPS通过检测流经的网络流量，提供对网络系统的安

13、全保护。nNIPS必须基于特定的硬件平台，才能实现千兆级网络流量的深度数据包检测和阻断功能。n在技术上，NIPS吸取了目前NIDS所有的成熟技术，包括特征匹配、协议分析和异常检测。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社入侵防御系统的技术特征入侵防御系统的技术特征v嵌入式运行：只有以嵌入模式运行的嵌入式运行：只有以嵌入模式运行的 IPS IPS 设备设备才能够实现实时的安全防护。才能够实现实时的安全防护。v深入分析和控制：深入分析和控制：IPSIPS必须具有深入分析能力，必须具有深入分析能力，根据攻击类型、策略等来确定哪些流量应该被拦根据攻击类型、策略等来确定哪些流量应该被

14、拦截。截。v入侵特征库：入侵特征库是入侵特征库：入侵特征库是IPSIPS高效运行的必要高效运行的必要条件，条件，IPSIPS应该定期升级入侵特征库。应该定期升级入侵特征库。v高效处理能力：高效处理能力：IPSIPS必须具有高效处理数据包的必须具有高效处理数据包的能力，对整个网络性能的影响保持在最低水平。能力，对整个网络性能的影响保持在最低水平。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社入侵防御系统面临的挑战入侵防御系统面临的挑战v单点故障单点故障n设计要求IPS必须以嵌入模式工作在网络中，这就可能造成单点故障。嵌入式的IPS设备出现问题，会严重影响网络的正常运转。v性能瓶颈性

15、能瓶颈nIPS存在一个潜在的网络瓶颈，不仅会增加滞后时间，而且会降低网络的效率。绝大多数高端 IPS 产品供应商都通过使用自定义硬件来提高IPS的运行效率。v误报和漏报误报和漏报 n如果入侵特征编写得不是十分完善，那么“误报”就有了可乘之机，导致合法流量也有可能被意外拦截。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社IPS与与IDS的区别的区别v到底什么情况下该选择入侵检测产品，什么时候到底什么情况下该选择入侵检测产品，什么时候该选择入侵防御产品呢该选择入侵防御产品呢?n从产品价值角度讲n入侵检测系统注重的是网络安全状况的监管。入侵防御系统关注的是对入侵行为的控制。n从产品应用

16、角度来讲n为了达到可以全面检测网络安全状况的目的，入侵检测系统需要部署在网络内部的中心点，需要能够观察到所有网络数据。n而为了实现对外部攻击的防御，入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统，入侵防御系统即可实时分析网络数据。网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社本章要点 2.2.入侵检测技术系统分类入侵检测技术系统分类 1.1.入侵检测技术概述入侵检测技术概述 3.3.入侵检测技术入侵检测技术 4.4.入侵检测系统的发展趋势入侵检测系统的发展趋势 5 5.入侵防御系统入侵防御系统网网络攻防原理攻防原理与与实践践高等教育出版社高等教育出版社