入侵检测技术课件.pptx

《入侵检测技术课件.pptx》由会员分享，可在线阅读，更多相关《入侵检测技术课件.pptx（51页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1本章目标本章目标l掌握入侵检测技术实现的过程掌握入侵检测技术实现的过程l掌握两种入侵检测技术及其各自的优缺点掌握两种入侵检测技术及其各自的优缺点l了解入侵检测的概念和作用了解入侵检测的概念和作用l说明入侵检测的两种基本的检测技术说明入侵检测的两种基本的检测技术l明确在一个实际的网络中入侵检测的具体部署明确在一个实际的网络中入侵检测的具体部署本章重点本章重点IDS的主要功能和类型、的主要功能和类型、IDS存在的问题、存在的问题、IDS的应用案例的应用案例2网络安全问题日渐严重网络安全问题日渐严重l网络安全是一个国际化的问题网络安全是一个国际化的问题l安全损失越来越大安全损失越来越大3安全事件报

2、告安全事件报告0 010000100002000020000300003000040000400005000050000600006000019881988199019901992199219941994199619961998199820002000CCERT incident ReportCCERT incident Report4安全问题起因安全问题起因l网络管理是平面型网络管理是平面型l80%以上的入侵来自于网络内部以上的入侵来自于网络内部l网络资源滥用网络资源滥用l入侵越来越频繁入侵越来越频繁56.1 IDS概念概念lIDS是防火墙的合理补充是防火墙的合理补充lIDS定义定义对系统的

3、运行状态进行监视，发现各种攻击企图、攻击行对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可为或者攻击结果，以保证系统资源的机密性、完整性和可用性用性IDS66.1 IDS概念概念(续续)lIDS扩充安全管理能力扩充安全管理能力lIDS提高安全的完整性提高安全的完整性l第二道安全闸门第二道安全闸门76.1 IDS概念概念(续续)IDS的任务的任务l监视、分析用户及系统活动监视、分析用户及系统活动l系统构造和弱点的审计系统构造和弱点的审计l识别反映已知进攻的活动模式并向相关人士报识别反映已知进攻的活动模式并向相关人士报警警l异常行为模式的统计分析

4、异常行为模式的统计分析l评估重要系统和数据文件的完整性评估重要系统和数据文件的完整性l操作系统的审计跟踪管理，并识别用户违反安操作系统的审计跟踪管理，并识别用户违反安全策略的行为全策略的行为86.1 IDS概念概念(续续)IDS应该具有的特点应该具有的特点l使网管了解网络系统的变更使网管了解网络系统的变更l提供网络安全策略的制订指南提供网络安全策略的制订指南 l规模灵活可变规模灵活可变l及时响应入侵及时响应入侵96.1.1 信息收集信息收集l入侵检测第一步入侵检测第一步l收集状态和行为收集状态和行为系统系统网络网络数据数据用户活动用户活动l检测范围要大检测范围要大106.1.1 信息收集信息收

5、集(续续)信息来源信息来源l系统和网络日志文件系统和网络日志文件l目录和文件中的不期望的改变目录和文件中的不期望的改变l程序执行中的不期望行为程序执行中的不期望行为l物理形式的入侵信息物理形式的入侵信息11系统和网络日志文件l黑客经常在系统日志文件中留下他们的踪迹，因此，黑客经常在系统日志文件中留下他们的踪迹，因此，充分利用系统和网络日志文件信息是检测入侵的必要充分利用系统和网络日志文件信息是检测入侵的必要条件。日志中包含发生在系统和网络上的不寻常和不条件。日志中包含发生在系统和网络上的不寻常和不期望活动的证据这些证据，可以指出有人正在入侵或期望活动的证据这些证据，可以指出有人正在入侵或已成功

6、入侵了系统。通过查看日志文件，能够发现成已成功入侵了系统。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应。功的入侵或入侵企图，并很快地启动相应的应急响应。程序日志文件中记录了各种行为类型，每种类型又包程序日志文件中记录了各种行为类型，每种类型又包含不同的信息，例如记录含不同的信息，例如记录“用户活动用户活动”类型的日志就类型的日志就包含登录用户包含登录用户IDID，改变用户对文件的访问授权和认证，改变用户对文件的访问授权和认证信息等内容。显然对用户活动来讲不正常的或不期望信息等内容。显然对用户活动来讲不正常的或不期望的行为，就是重复登录失败登录到不期望的位置以及的行

7、为，就是重复登录失败登录到不期望的位置以及非授权的企图访问重要文件等等。非授权的企图访问重要文件等等。12目录和文件中的不期望的改变l网络环境中的文件系统包含很多软件和数据文网络环境中的文件系统包含很多软件和数据文件，包含重要信息的文件和私有数据文件经常件，包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不是黑客修改或破坏的目标。目录和文件中的不期望的改变包括修改创建和删除，特别是那些期望的改变包括修改创建和删除，特别是那些正常情况下限制访问的，很可能就是一种入侵正常情况下限制访问的，很可能就是一种入侵产生的指示和信号。入侵者经常替换修改和破产生的指示和信号。入侵者经

8、常替换修改和破坏他们获得访问权的系统上的文件，同时为了坏他们获得访问权的系统上的文件，同时为了隐藏系统中他们的表现及活动痕迹，都会尽力隐藏系统中他们的表现及活动痕迹，都会尽力去替换系统程序或修改系统日志文件。去替换系统程序或修改系统日志文件。13程序执行中的不期望行为l网络系统上的程序执行一般包括操作系统、网络服务、用网络系统上的程序执行一般包括操作系统、网络服务、用户起动的程序和特定目的的应用，例如数据库服务器。每户起动的程序和特定目的的应用，例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中，这

9、种环境控制着进程可访执行在具有不同权限的环境中，这种环境控制着进程可访问的系统资源程序和数据文件等。一个进程的执行行为由问的系统资源程序和数据文件等。一个进程的执行行为由它运行时执行的操作来表现，操作执行的方式不同，它利它运行时执行的操作来表现，操作执行的方式不同，它利用的系统资源也就不同。操作包括计算、文件传输设备和用的系统资源也就不同。操作包括计算、文件传输设备和其它进程以及与网络间其它进程的通讯。一个进程出现了其它进程以及与网络间其它进程的通讯。一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解，从而

10、导致它失败或者是以非会将程序或服务的运行分解，从而导致它失败或者是以非用户或管理员意图的方式操作。用户或管理员意图的方式操作。14物理形式的入侵信息l物理入侵包括两个方面的内容：一是未授权的对网络硬件连接，二是对物理资源的未授权访问。黑客会想方设法去突破网络的周边防卫，如果他们能够在物理上访问内部网，就能安装他们自己的设备和软件，依此黑客就可以知道网上的由用户加上去的不安全未授权设备，然后利用这些设备访问网络，例如用户在家里可能安装Modem以访问远程办公室，与此同时黑客正在利用自动工具来识别在公共电话线上的Modem，如果一拨号访问流量经过了这些自动工具，那么这一拨号访问就成为了威胁网络安全

11、的后门，黑客就会利用这个后门来访问内部网，从而越过了内部网络原有的防护措施，然后捕获网络流量进而攻击其它系统并偷取敏感的私有信息等等156.1.2 信号分析信号分析l对信息的分析技对信息的分析技术术模式匹配模式匹配统计分析统计分析完整性分析完整性分析实时的入侵检测分析实时的入侵检测分析事后分析事后分析166.1.2 信号分析信号分析(续续)模式匹配l比较收集到的信息与已知的网络入侵和系统误用比较收集到的信息与已知的网络入侵和系统误用模式数据库模式数据库l攻击模式可以用一个过程或一个输出来表示攻击模式可以用一个过程或一个输出来表示通过字符串匹配以寻找一个简单的条目或指令通过字符串匹配以寻找一个简

12、单的条目或指令利用正规的数学表达式来表示安全状态的变化利用正规的数学表达式来表示安全状态的变化176.1.2 信号分析信号分析(续续)统计分析统计分析l首先对系统对象创建一个统计描述首先对系统对象创建一个统计描述l统计正常使用时的一些测量属性统计正常使用时的一些测量属性l测量属性的平均值和偏差被用来与网络、系统的测量属性的平均值和偏差被用来与网络、系统的行为进行比较行为进行比较l观察值在正常值范围之外时，就认为有入侵发生观察值在正常值范围之外时，就认为有入侵发生186.1.2 信号分析信号分析(续续)完整性分析完整性分析l关注某个文件或对象是否被更改关注某个文件或对象是否被更改l包括文件和目录

13、的内容及属性包括文件和目录的内容及属性l对于发现被更改的、被安装木马的应用程序对于发现被更改的、被安装木马的应用程序方面特别有效方面特别有效l利用加密机制利用加密机制196.2 IDS类型类型lIDS组成部分组成部分传感器（传感器（Sensor）控制台（控制台（Console）传感器（传感器（Sensor）控制台（控制台（Console）206.2 IDS类型类型(续续)lIDS分类分类基于主机的基于主机的IDS基于网络的基于网络的IDS混合混合IDS216.2.1 基于主机的基于主机的IDSlHIDS安装在被重点检测的主机之上安装在被重点检测的主机之上lHIDS对主机的网络实时连接以及系统审

14、计日对主机的网络实时连接以及系统审计日志进行智能分析和判断志进行智能分析和判断l发现主机出现可疑行为，发现主机出现可疑行为，HIDS采取措施采取措施226.2.1 基于主机的基于主机的IDS(续续)HIDS示意图示意图InternetDesktopsDesktopsWeb ServersWeb Servers远程连接远程连接远程连接远程连接顾客顾客顾客顾客ServersServersNetworkNetwork分公司分公司分公司分公司合作伙伴合作伙伴合作伙伴合作伙伴HackerHackerHost-based IDSHost-based IDS236.2.1 基于主机的基于主机的IDS(续续)

15、HIDS的优点的优点l对分析对分析“可能的攻击行为可能的攻击行为”非常有用非常有用l得到的信息详尽得到的信息详尽l误报率低误报率低24l必须安装在要保护的设备上，出现安全风险必须安装在要保护的设备上，出现安全风险l依赖服务器固有的日志与监视能力依赖服务器固有的日志与监视能力l部署代价大，易出现盲点部署代价大，易出现盲点l不能检测网络行为不能检测网络行为6.2.1 基于主机的基于主机的IDS(续续)HIDS的弱点的弱点256.2.2 基于网络的基于网络的IDSlNIDS放置在网段内，监视网络数据包放置在网段内，监视网络数据包l发现问题可以切断网络发现问题可以切断网络l目前目前IDS大多数是大多数

16、是NIDS266.2.1 基于网络的基于网络的IDS(续续)NIDS示意图示意图InternetDesktopsDesktopsWeb ServersWeb Servers远程连接远程连接远程连接远程连接顾客顾客顾客顾客ServersServersNetworkNetwork分公司分公司分公司分公司合作伙伴合作伙伴合作伙伴合作伙伴Network-based IDSNetwork-based IDSNetwork-based IDSNetwork-based IDSNetwork-based IDSNetwork-based IDS27l不需要改变服务器的配置不需要改变服务器的配置l不影响业务系

17、统的性能不影响业务系统的性能l部署风险小部署风险小l具有专门设备具有专门设备6.2.1 基于网络的基于网络的IDS(续续)NIDS的优点的优点28l检测范围有限检测范围有限l很难检测复杂攻击很难检测复杂攻击l传感器协同工作能力较弱传感器协同工作能力较弱 l处理加密的会话过程较困难处理加密的会话过程较困难6.2.1 基于网络的基于网络的IDS(续续)NIDS的弱点的弱点296.2.3 混合入侵检测混合入侵检测lHIDS和和NIDS各有不足各有不足l单一产品防范不全面单一产品防范不全面l结合结合HIDS和和NIDS306.2.4 文件完整性检查文件完整性检查l定义：定义：检查计算机中自上次检查后文

18、件变化情况检查计算机中自上次检查后文件变化情况l保存有每个文件的数字摘要保存有每个文件的数字摘要l检查过程检查过程计算新的数字摘要计算新的数字摘要与数据库中的数字摘要进行比较与数据库中的数字摘要进行比较lTripwire软件（软件（WWW.tripwire.org）316.2.4 文件完整性检查文件完整性检查(续续)优点优点l文件完整性检查系统安全文件完整性检查系统安全时间上和空间上不可能攻破时间上和空间上不可能攻破l灵活性强灵活性强32l本地的数字摘要数据库不安全本地的数字摘要数据库不安全l耗时长耗时长6.2.4 文件完整性检查文件完整性检查(续续)弱点弱点336.3 IDS检测技术检测技术

19、l基于规则检测基于规则检测 l基于异常情况检测基于异常情况检测 346.3.1 基于规则检测基于规则检测lSignature-Based Detection（特征检测（特征检测)l假设入侵者活动可以用一种模式表示假设入侵者活动可以用一种模式表示l目标是检测主体活动是否符合这些模式目标是检测主体活动是否符合这些模式l对新的入侵方法无能为力对新的入侵方法无能为力l难点在于如何设计模式既能够表达入侵现象又难点在于如何设计模式既能够表达入侵现象又不会将正常的活动包含进来不会将正常的活动包含进来l准确率较高准确率较高 356.3.1 基于规则检测基于规则检测(续续)示意图示意图入侵模式入侵模式检测到检测

20、到的事件的事件比较、匹配比较、匹配入侵入侵366.3.2 基于异常情况检测基于异常情况检测lAnomaly Detection(异常检测异常检测)l假设入侵者活动异常于正常主体的活动假设入侵者活动异常于正常主体的活动l制订主体正常活动的制订主体正常活动的“活动阀值活动阀值”l检测到的活动与检测到的活动与“活动阀值活动阀值”相比较相比较是否违反统计规律是否违反统计规律l难题在于如何建立难题在于如何建立“活动阀值活动阀值”以及如何设计以及如何设计统计算法统计算法376.3.2 基于异常情况检测基于异常情况检测(续续)示意图示意图事件事件度量度量入侵概率入侵概率正常行为正常行为异常行为异常行为010

21、2030405060708090评价指标评价指标38l操作模型操作模型l方差方差l多元模型多元模型l马尔柯夫过程模型马尔柯夫过程模型l时间序列分析时间序列分析6.3.2 基于异常情况检测基于异常情况检测(续续)统计模型统计模型396.4 IDS存在问题存在问题lNIDS具有网络局限性具有网络局限性lNIDS的检测方法都有一定的局限性的检测方法都有一定的局限性lNIDS不能处理加密后的数据不能处理加密后的数据lNIDS存在着资源和处理能力的局限性存在着资源和处理能力的局限性lNIDS受内存和硬盘的限制受内存和硬盘的限制406.5 案例分析案例分析 l三个数据区三个数据区防火墙防火墙PIX525

22、DMZ区区核心数据区核心数据区政府政府DMZ区区l三个区都部署三个区都部署NIDS416.5 案例分析案例分析(续续)426.6 当前主流产品介绍当前主流产品介绍 lCisco公司公司NetRangerIDSlInternet Security System公司公司RealSecurelIntrusion Detection公司公司Kane Security MonitorlAxent Technologies公司公司OmniGuard/Intruder Alert436.6 当前主流产品介绍当前主流产品介绍(续续)lComputer Associates公司公司Sessi onWall-3/

23、eTrust Intrusion DetectionlNFR公司公司Intrusion Detection Appliance 4.0l中科网威中科网威“天眼天眼”入侵检测系统入侵检测系统l启明星辰启明星辰SkyBell（天阗）（天阗）44本章总结本章总结l入侵检测系统被认为是防火墙的有效补充，在防火墙之入侵检测系统被认为是防火墙的有效补充，在防火墙之后提供了一道防御线。本章详细介绍了入侵检测系统的后提供了一道防御线。本章详细介绍了入侵检测系统的概念及其实现的功能。概念及其实现的功能。l按照实现的位置不同，入侵检测系统可以分成基于主机按照实现的位置不同，入侵检测系统可以分成基于主机的入侵检测系

24、统和基于主机的入侵检测系统，两种入侵的入侵检测系统和基于主机的入侵检测系统，两种入侵检测系统都有各自的优缺点。在具体的实现中，可以根检测系统都有各自的优缺点。在具体的实现中，可以根据用户的需求来决定需要部署哪一种入侵检测系统。据用户的需求来决定需要部署哪一种入侵检测系统。l入侵检测系统在实现过程中通过规则和入侵检测系统在实现过程中通过规则和/或异常情况来检或异常情况来检测网络上可能的或者正在进行的攻击行为。用户可以根测网络上可能的或者正在进行的攻击行为。用户可以根据自己网络的实际情况，通过对网络信息的分析，定义据自己网络的实际情况，通过对网络信息的分析，定义自己的规则和相应的统计信息，来建立自

25、己的入侵检测自己的规则和相应的统计信息，来建立自己的入侵检测过程。过程。45本章实验本章实验l1X-SCAN 软件扫描局域网软件扫描局域网l2BlackICE server入侵软件安装配置入侵软件安装配置l3Sniffer侦听敏感信息并分析网络性能侦听敏感信息并分析网络性能l4eTrust Intrusion Detection 企业入侵检测企业入侵检测 46课堂练习课堂练习l1、在安全审计的风险评估阶段，通常是按什么顺序来、在安全审计的风险评估阶段，通常是按什么顺序来进行的：进行的：A、侦查阶段、渗透阶段、控制阶段、侦查阶段、渗透阶段、控制阶段 B、渗透阶段、侦查阶段、控制阶段、渗透阶段、侦

26、查阶段、控制阶段 C、控制阶段、侦查阶段、渗透阶段、控制阶段、侦查阶段、渗透阶段 D、侦查阶段、控制阶段、渗透阶段、侦查阶段、控制阶段、渗透阶段l2、黑客利用、黑客利用IP地址进行攻击的方法有：（地址进行攻击的方法有：（）A.IP欺骗欺骗 B.解密解密 C.窃取口令窃取口令 D.发送病毒发送病毒47课堂练习（续）课堂练习（续）l3、以下哪一项不属于入侵检测系统的功能：以下哪一项不属于入侵检测系统的功能：A、监视网络上的通信数据流、监视网络上的通信数据流 B、捕捉可疑的网络活动、捕捉可疑的网络活动 C、提供安全审计报告、提供安全审计报告 D、过滤非法的数据包、过滤非法的数据包l 4、入侵检测系统

27、的第一步是：（、入侵检测系统的第一步是：（）A、信号分析、信号分析 B、信息收集、信息收集 C、数据包过滤、数据包过滤 D、数据包检查、数据包检查48课堂练习（续）课堂练习（续）l5、以下哪一项不是入侵检测系统利用的信息：（、以下哪一项不是入侵检测系统利用的信息：（）A、系统和网络日志文件、系统和网络日志文件 B、目录和文件中的不期望的改变、目录和文件中的不期望的改变 C、数据包头信息、数据包头信息 D、程序执行中的不期望行为、程序执行中的不期望行为 E、物理形式的入侵信息、物理形式的入侵信息l6、入侵检测系统在进行信号分析时，一般通过三种常用的技术手段，、入侵检测系统在进行信号分析时，一般通

28、过三种常用的技术手段，以下哪一种不属于通常的三种技术手段：（以下哪一种不属于通常的三种技术手段：（）A、模式匹配、模式匹配 B、统计分析、统计分析 C、完整性分析、完整性分析 D、密文分析、密文分析49课堂练习（续）课堂练习（续）l7、以下哪一种方式是入侵检测系统所通常采用的：（、以下哪一种方式是入侵检测系统所通常采用的：（）A、基于网络的入侵检测、基于网络的入侵检测 B、基于、基于IP的入侵检测的入侵检测 C、基于服务的入侵检测、基于服务的入侵检测 D、基于域名的入侵检测、基于域名的入侵检测l8、以下哪一项属于基于主机的入侵检测方式的优势：（、以下哪一项属于基于主机的入侵检测方式的优势：（）

29、A、监视整个网段的通信、监视整个网段的通信 B、不要求在大量的主机上安装和管理软件、不要求在大量的主机上安装和管理软件 C、适应交换和加密、适应交换和加密 D、具有更好的实时性、具有更好的实时性50课堂练习（续）课堂练习（续）l9、审计管理指：（、审计管理指：（）A、保证数据接收方收到的信息与发送方发送的信息完全一致、保证数据接收方收到的信息与发送方发送的信息完全一致 B、防止因数据被截获而造成的泄密、防止因数据被截获而造成的泄密 C、对用户和程序使用资源的情况进行记录和审查、对用户和程序使用资源的情况进行记录和审查 D、保证信息使用者都可有得到相应授权的全部服务、保证信息使用者都可有得到相应

30、授权的全部服务l10、对状态检查技术的优缺点描述有误的是：、对状态检查技术的优缺点描述有误的是：A采用检测模块监测状态信息。采用检测模块监测状态信息。B支持多种协议和应用。支持多种协议和应用。C不支持监测不支持监测RPC和和UDP的端口信息。的端口信息。D配置复杂会降低网络的速度。配置复杂会降低网络的速度。51课堂练习（续）课堂练习（续）l11、能够在网络通信中寻找符合网络入侵模式的数据包而发现攻击特、能够在网络通信中寻找符合网络入侵模式的数据包而发现攻击特征的入侵检测方式是：征的入侵检测方式是：A基于网络的入侵检测方式基于网络的入侵检测方式B基于文件的入侵检测方式基于文件的入侵检测方式C基于主机的入侵检测方式基于主机的入侵检测方式D基于系统的入侵检测方式基于系统的入侵检测方式l12、网络入侵者使用、网络入侵者使用sniffer对网络进行侦听，在防火墙实现认证的对网络进行侦听，在防火墙实现认证的方法中，下列身份认证可能会造成不安全后果的是：方法中，下列身份认证可能会造成不安全后果的是：APassword-Based AuthenticationBAddress-Based AuthenticationCCryptographic AuthenticationDNone of Above.