Ch08入侵檢測技術(shù)ppt課件

1、網(wǎng)絡與信息安全網(wǎng)絡與信息安全Ch08 入侵檢測技術(shù)1本章學習目的本章學習目的o掌握入侵檢測系統(tǒng)的原理掌握入侵檢測系統(tǒng)的原理o掌握入侵檢測系統(tǒng)的核心技術(shù)掌握入侵檢測系統(tǒng)的核心技術(shù)o了解入侵檢測系統(tǒng)的作用了解入侵檢測系統(tǒng)的作用o了解入侵檢測技術(shù)的發(fā)展趨勢了解入侵檢測技術(shù)的發(fā)展趨勢o掌握入侵檢測系統(tǒng)在網(wǎng)絡安全中的地位掌握入侵檢測系統(tǒng)在網(wǎng)絡安全中的地位o掌握評價入侵檢測系統(tǒng)的性能指標掌握評價入侵檢測系統(tǒng)的性能指標2入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)概述 防火墻是所有保護網(wǎng)絡的方法中最能普遍接受的方法，防火墻是所有保護網(wǎng)絡的方法中最能普遍接受的方法，能阻擋外部入侵者，但對內(nèi)部攻擊無能為力；同時，防火墻能阻擋外

2、部入侵者，但對內(nèi)部攻擊無能為力；同時，防火墻絕對不是堅不可摧的，即使是某些防火墻本身也會引起一些絕對不是堅不可摧的，即使是某些防火墻本身也會引起一些安全問題。防火墻不能防止通向站點的后門，不提供對內(nèi)部安全問題。防火墻不能防止通向站點的后門，不提供對內(nèi)部的保護，無法防范數(shù)據(jù)驅(qū)動型的攻擊，不能防止用戶由的保護，無法防范數(shù)據(jù)驅(qū)動型的攻擊，不能防止用戶由InternetInternet上下載被病毒感染的計算機程序或?qū)⒃擃惓绦蚋皆谏舷螺d被病毒感染的計算機程序或?qū)⒃擃惓绦蚋皆陔娮余]件上傳輸。電子郵件上傳輸。 入侵檢測是防火墻的合理補充，它幫助系統(tǒng)對付網(wǎng)絡攻擊，入侵檢測是防火墻的合理補充，它幫助系統(tǒng)對付網(wǎng)絡

3、攻擊，擴展了系統(tǒng)管理員的安全管理能力擴展了系統(tǒng)管理員的安全管理能力( (安全審計、監(jiān)視、進攻安全審計、監(jiān)視、進攻識別和響應識別和響應) )，提高了信息安全基礎結(jié)構(gòu)的完整性。，提高了信息安全基礎結(jié)構(gòu)的完整性。 3誤報o沒有一個入侵檢測能無敵于誤報，因為沒有一個應用系統(tǒng)不會發(fā)生錯誤，原因主要有四個方面。o1、缺乏共享數(shù)據(jù)的機制 o2、缺乏集中協(xié)調(diào)的機制o3、缺乏揣摩數(shù)據(jù)在一段時間內(nèi)變化的能力o4、缺乏有效的跟蹤分析4入侵檢測系統(tǒng)面臨的挑戰(zhàn)o一個有效的入侵檢測系統(tǒng)應限制誤報出現(xiàn)的次數(shù)，但同時又能有效截擊。o誤報是指被入侵檢測系統(tǒng)測報警的是正常及合法使用受保護網(wǎng)絡和計算機的訪問。o誤報是入侵檢測系統(tǒng)最

4、頭疼的問題，攻擊者可以而且往往是利用包的結(jié)構(gòu)偽造無威脅的“正常假警報，而誘導沒有警覺性的管理員人把入侵檢測系統(tǒng)關(guān)掉。5入侵檢測系統(tǒng)的概念o入侵檢測是指“通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其它網(wǎng)絡上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖”（參見國標GB/T18336）。o入侵檢測是檢測和響應計算機誤用的學科，其作用包括威懾、檢測、響應、損失情況評估、攻擊預測和起訴支持。6入侵檢測系統(tǒng)的概念o入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術(shù)。o進行入侵檢測的軟件與硬件的組合便是入侵檢

5、測系統(tǒng)IntrusionDetectionSystem，簡稱IDS）。o入侵檢測系統(tǒng)IDSIntrusion Detection System指的是一種硬件或者軟件系統(tǒng)，該系統(tǒng)對系統(tǒng)資源的非授權(quán)使用能夠做出及時的判斷、記錄和報警。7相關(guān)術(shù)語相關(guān)術(shù)語攻擊攻擊攻擊者利用工具，出于某種動機，對目標系統(tǒng)采取的行動，攻擊者利用工具，出于某種動機，對目標系統(tǒng)采取的行動，其后果是獲取其后果是獲取/ /破壞破壞/ /篡改目標系統(tǒng)的數(shù)據(jù)或訪問權(quán)限篡改目標系統(tǒng)的數(shù)據(jù)或訪問權(quán)限事件事件在攻擊過程中發(fā)生的可以識別的行動或行動造成的后果；在在攻擊過程中發(fā)生的可以識別的行動或行動造成的后果；在入侵檢測系統(tǒng)中，事件常常具有

6、一系列屬性和詳細的描述信入侵檢測系統(tǒng)中，事件常常具有一系列屬性和詳細的描述信息可供用戶查看。息可供用戶查看。 CIDF CIDF 將入侵檢測系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件將入侵檢測系統(tǒng)需要分析的數(shù)據(jù)統(tǒng)稱為事件eventevent）8入侵入侵對信息系統(tǒng)的非授權(quán)訪問及或未經(jīng)許可在信息系統(tǒng)中進對信息系統(tǒng)的非授權(quán)訪問及或未經(jīng)許可在信息系統(tǒng)中進行操作行操作入侵檢測入侵檢測對企圖入侵、正在進行的入侵或已經(jīng)發(fā)生的入侵進行識別的對企圖入侵、正在進行的入侵或已經(jīng)發(fā)生的入侵進行識別的過程過程入侵檢測系統(tǒng)入侵檢測系統(tǒng)IDSIDS）用于輔助進行入侵檢測或者獨立進行入侵檢測的自動化工具用于輔助進行入侵檢測或者獨立進行入侵

7、檢測的自動化工具相關(guān)術(shù)語相關(guān)術(shù)語9 入侵檢測入侵檢測Intrusion DetectionIntrusion Detection技術(shù)是一種動態(tài)的網(wǎng)技術(shù)是一種動態(tài)的網(wǎng)絡檢測技術(shù)，主要用于識別對計算機和網(wǎng)絡資源的惡意使用絡檢測技術(shù)，主要用于識別對計算機和網(wǎng)絡資源的惡意使用行為，包括來自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)行為，包括來自外部用戶的入侵行為和內(nèi)部用戶的未經(jīng)授權(quán)活動。一旦發(fā)現(xiàn)網(wǎng)絡入侵現(xiàn)象，則應當做出適當?shù)姆磻??；顒?。一旦發(fā)現(xiàn)網(wǎng)絡入侵現(xiàn)象，則應當做出適當?shù)姆磻?。對于正在進行的網(wǎng)絡攻擊，則采取適當?shù)姆椒▉碜钄喙襞c對于正在進行的網(wǎng)絡攻擊，則采取適當?shù)姆椒▉碜钄喙襞c防火墻聯(lián)動）。防火墻聯(lián)動

8、）。對于已經(jīng)發(fā)生的網(wǎng)絡攻擊，則應通過分析日志記錄找到發(fā)生攻對于已經(jīng)發(fā)生的網(wǎng)絡攻擊，則應通過分析日志記錄找到發(fā)生攻擊的原因和入侵者的蹤跡，作為增強網(wǎng)絡系統(tǒng)安全性和追究擊的原因和入侵者的蹤跡，作為增強網(wǎng)絡系統(tǒng)安全性和追究入侵者法律責任的依據(jù)。入侵者法律責任的依據(jù)。它從計算機網(wǎng)絡系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信它從計算機網(wǎng)絡系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡息，看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。象。 入侵檢測技術(shù)入侵檢測技術(shù)10入侵檢測系統(tǒng)入侵檢測系統(tǒng) 入侵檢測系統(tǒng)入侵檢測系統(tǒng)IDSIDS由入侵檢測的軟件與硬件組合而

9、由入侵檢測的軟件與硬件組合而成，被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡成，被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，提供對內(nèi)部攻擊、外部攻性能的情況下能對網(wǎng)絡進行監(jiān)測，提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。擊和誤操作的實時保護。IDSIDS執(zhí)行以下任務來實現(xiàn)：執(zhí)行以下任務來實現(xiàn)： 1 1監(jiān)視、分析用戶及系統(tǒng)活動。監(jiān)視、分析用戶及系統(tǒng)活動。 2 2系統(tǒng)構(gòu)造和弱點的審計。系統(tǒng)構(gòu)造和弱點的審計。 3 3識別反映已知進攻的活動模式并向相關(guān)人士報警。識別反映已知進攻的活動模式并向相關(guān)人士報警。 4 4異常行為模式的統(tǒng)計分析。異常行為模式的統(tǒng)計分析。 5

10、 5評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。評估重要系統(tǒng)和數(shù)據(jù)文件的完整性。 6 6操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。略的行為。 11入侵的方法和手段n端口掃描與漏洞攻擊n密碼攻擊n網(wǎng)絡監(jiān)聽n拒絕服務攻擊n緩沖區(qū)溢出攻擊n欺騙攻擊12入侵檢測的發(fā)展歷程入侵檢測的發(fā)展歷程 n 19801980年，概念的誕生年，概念的誕生n 1984198419861986年，主機年，主機IDS IDS n 19901990年，形成網(wǎng)絡年，形成網(wǎng)絡IDSIDSn 九十年代后至今，集成主機九十年代后至今，集成主機IDSIDS和網(wǎng)絡和網(wǎng)絡IDS,IDS,分布式入

11、分布式入侵檢測系統(tǒng)侵檢測系統(tǒng)DIDSDIDS13入侵檢測的實現(xiàn)方式入侵檢測的實現(xiàn)方式 入侵檢測系統(tǒng)根據(jù)數(shù)據(jù)包來源的不同，采用不用的實入侵檢測系統(tǒng)根據(jù)數(shù)據(jù)包來源的不同，采用不用的實現(xiàn)方式，一般地可分為網(wǎng)絡型、主機型，也可是這兩種類現(xiàn)方式，一般地可分為網(wǎng)絡型、主機型，也可是這兩種類型的混合應用。型的混合應用?；谥鳈C的入侵檢測系統(tǒng)HIDS）基于網(wǎng)絡的入侵檢測系統(tǒng)NIDS）混合型入侵檢測系統(tǒng)Hybrid IDS）14入侵檢測的實現(xiàn)方式入侵檢測的實現(xiàn)方式 1 1、主機、主機IDSIDS： 運行于被檢測的主機之上，通過查詢、監(jiān)聽當前系統(tǒng)運行于被檢測的主機之上，通過查詢、監(jiān)聽當前系統(tǒng)的各種資源的使用運行狀

12、態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用和的各種資源的使用運行狀態(tài)，發(fā)現(xiàn)系統(tǒng)資源被非法使用和修改的事件，進行上報和處理。修改的事件，進行上報和處理。 安裝于被保護的主機中 主要分析主機內(nèi)部活動 占用一定的系統(tǒng)資源15基于主機的入侵檢測系統(tǒng)n基于主機的入侵檢測系統(tǒng)：主要用于保護運行關(guān)鍵應用的服務器。它通過監(jiān)視與分析土機的審計記錄和日志文件：來檢測入侵。日志中包含發(fā)生在系統(tǒng)上的不尋常和不期望活動的證據(jù)，這些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動相應的應急響應程序。16主機主機IDSIDS優(yōu)勢優(yōu)勢(1) 精確地判斷攻擊行為是否成功。精確地判斷攻擊行

13、為是否成功。(2) 監(jiān)控主機上特定用戶活動、系統(tǒng)運行情況監(jiān)控主機上特定用戶活動、系統(tǒng)運行情況(3) 能夠檢測到能夠檢測到NIDS無法檢測的攻擊無法檢測的攻擊(4) 適用加密的和交換的環(huán)境。適用加密的和交換的環(huán)境。(5) 不需要額外的硬件設備。不需要額外的硬件設備。17主機主機IDSIDS的劣勢的劣勢(1) 對被保護主機的影響。對被保護主機的影響。(2) 安全性受到宿主操作系統(tǒng)的限制。安全性受到宿主操作系統(tǒng)的限制。(3) 數(shù)據(jù)源受到審計系統(tǒng)限制。數(shù)據(jù)源受到審計系統(tǒng)限制。(4) 被木馬化的系統(tǒng)內(nèi)核能夠騙過被木馬化的系統(tǒng)內(nèi)核能夠騙過HIDS。(5) 維護維護/升級不方便。升級不方便。18入侵檢測的實

14、現(xiàn)方式入侵檢測的實現(xiàn)方式 2 2、網(wǎng)絡、網(wǎng)絡IDSIDS： 網(wǎng)絡網(wǎng)絡IDSIDS是網(wǎng)絡上的一個監(jiān)聽設備是網(wǎng)絡上的一個監(jiān)聽設備( (或一個專用主機或一個專用主機) )，通過監(jiān)聽網(wǎng)絡上的所有報文，根據(jù)協(xié)議進行分析，并報告通過監(jiān)聽網(wǎng)絡上的所有報文，根據(jù)協(xié)議進行分析，并報告網(wǎng)絡中的非法使用者信息。網(wǎng)絡中的非法使用者信息。 安裝在被保護的網(wǎng)段中分析網(wǎng)段中所有的數(shù)據(jù)包實時檢測和響應19基于網(wǎng)絡的入侵檢測系統(tǒng)o基于網(wǎng)絡的入侵檢測系統(tǒng)：主要用于實時監(jiān)控網(wǎng)絡關(guān)鍵路徑的信息，它監(jiān)聽網(wǎng)絡上的所有分組來采集數(shù)據(jù)，分析可疑現(xiàn)象。20網(wǎng)絡網(wǎng)絡IDSIDS工作模型工作模型 21網(wǎng)絡網(wǎng)絡IDSIDS優(yōu)勢優(yōu)勢(1) 實時分析網(wǎng)

15、絡數(shù)據(jù)，檢測網(wǎng)絡系統(tǒng)的非法行為；實時分析網(wǎng)絡數(shù)據(jù)，檢測網(wǎng)絡系統(tǒng)的非法行為；(2) 網(wǎng)絡網(wǎng)絡IDS系統(tǒng)單獨架設，不占用其它計算機系統(tǒng)的任何資系統(tǒng)單獨架設，不占用其它計算機系統(tǒng)的任何資源；源；(3) 網(wǎng)絡網(wǎng)絡IDS系統(tǒng)是一個獨立的網(wǎng)絡設備，可以做到對黑客透系統(tǒng)是一個獨立的網(wǎng)絡設備，可以做到對黑客透明，因此其本身的安全性高；明，因此其本身的安全性高；(4) 既可以用于實時監(jiān)測系統(tǒng)，也是記錄審計系統(tǒng)，可以做到既可以用于實時監(jiān)測系統(tǒng)，也是記錄審計系統(tǒng)，可以做到實時保護，事后分析取證；實時保護，事后分析取證；(5) 通過與防火墻的聯(lián)動，不但可以對攻擊預警，還可以更有通過與防火墻的聯(lián)動，不但可以對攻擊預警，

16、還可以更有效地阻止非法入侵和破壞。效地阻止非法入侵和破壞。(6)不會增加網(wǎng)絡中主機的負擔。不會增加網(wǎng)絡中主機的負擔。22網(wǎng)絡網(wǎng)絡IDSIDS的劣勢的劣勢(1)不適合交換環(huán)境和高速環(huán)境不適合交換環(huán)境和高速環(huán)境(2)不能處理加密數(shù)據(jù)不能處理加密數(shù)據(jù)(3) 資源及處理能力局限資源及處理能力局限(4) 系統(tǒng)相關(guān)的脆弱性系統(tǒng)相關(guān)的脆弱性233 3、兩種實現(xiàn)方式的比較：、兩種實現(xiàn)方式的比較： 1)1)如果攻擊不經(jīng)過網(wǎng)絡則如果攻擊不經(jīng)過網(wǎng)絡則NIDSNIDS無法檢測到，只能通過無法檢測到，只能通過HIDSHIDS來檢測；來檢測； 2)2)基于基于NIDSNIDS通過檢查所有的包頭來進行檢測，而通過檢查所有的

17、包頭來進行檢測，而HIDSHIDS并不查看包頭。并不查看包頭。HIDSHIDS往往不能識別基于往往不能識別基于IPIP的拒絕服務攻擊的拒絕服務攻擊和碎片攻擊；和碎片攻擊； 3)NIDS3)NIDS可以研究數(shù)據(jù)包的內(nèi)容，查找特定攻擊中使用可以研究數(shù)據(jù)包的內(nèi)容，查找特定攻擊中使用的命令或語法，這類攻擊可以被實時檢查包序列的的命令或語法，這類攻擊可以被實時檢查包序列的IDSIDS迅速迅速識別；而識別；而HIDSHIDS無法看到負載，因此也無法識別嵌入式的數(shù)無法看到負載，因此也無法識別嵌入式的數(shù)據(jù)包攻擊。據(jù)包攻擊。244 4、混合型入侵檢測系統(tǒng)、混合型入侵檢測系統(tǒng)Hybrid IDSHybrid ID

18、S） 在新一代的入侵檢測系統(tǒng)中將把現(xiàn)在的基于網(wǎng)絡和基在新一代的入侵檢測系統(tǒng)中將把現(xiàn)在的基于網(wǎng)絡和基于主機這兩種檢測技術(shù)很好地集成起來，提供集成化的攻于主機這兩種檢測技術(shù)很好地集成起來，提供集成化的攻擊簽名檢測報告和事件關(guān)聯(lián)功能。擊簽名檢測報告和事件關(guān)聯(lián)功能。 可以深入地研究入侵事件入侵手段本身及被入侵目標可以深入地研究入侵事件入侵手段本身及被入侵目標的漏洞等。的漏洞等。25入侵檢測的方法 o目前入侵檢測方法有三種分類依據(jù)：o1、根據(jù)物理位置進行分類。o2、根據(jù)建模方法進行分類。o3、根據(jù)時間分析進行分類。o常用的方法有三種：靜態(tài)配置分析、異常性檢測方法和基于行為的檢測方法。26靜態(tài)配置分析 o

19、靜態(tài)配置分析通過檢查系統(tǒng)的配置，諸如系統(tǒng)文件的內(nèi)容，來檢查系統(tǒng)是否已經(jīng)或者可能會遭到破壞。靜態(tài)是指檢查系統(tǒng)的靜態(tài)特征比如，系統(tǒng)配置信息）。o采用靜態(tài)分析方法主要有以下幾方面的原因：入侵者對系統(tǒng)攻擊時可能會留下痕跡，可通過檢查系統(tǒng)的狀態(tài)檢測出來。27利用fport檢測與端口關(guān)聯(lián)的應用程序o網(wǎng)絡入侵者都會連接到主機的某個非法端口，通過檢查出與端口關(guān)聯(lián)應用程序，可以進行入侵檢測，這種方法屬于靜態(tài)配置分析。o利用工具軟件fport.exe檢查與每一端口關(guān)聯(lián)的應用程序，如下圖。28異常性檢測方法 o異常性檢測技術(shù)是一種在不需要操作系統(tǒng)及其安全性缺陷的專門知識的情況下，就可以檢測入侵者的方法，同時它也是檢

20、測冒充合法用戶的入侵者的有效方法。但是。在許多環(huán)境中，為用戶建立正常行為模式的特征輪廓以及對用戶活動的異常性進行報警的門限值的確定都是比較困難的事。因為并不是所有入侵者的行為都能夠產(chǎn)生明顯的異常性，所以在入侵檢測系統(tǒng)中，僅使用異常性檢測技術(shù)不可能檢測出所有的入侵行為。而且，有經(jīng)驗的入侵者還可以通過緩慢地改變他的行為，來改變?nèi)肭謾z測系統(tǒng)中的用戶正常行為模式，使其入侵行為逐步變?yōu)楹戏?，這樣就可以避開使用異常性檢測技術(shù)的入侵檢測系統(tǒng)的檢測。29基于行為的檢測方法 o基于行為的檢測方法通過檢測用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或者是間接地違背系統(tǒng)安全規(guī)則的行為，來檢

21、測系統(tǒng)中的入侵活動。o基于入侵行為的入侵檢測技術(shù)的優(yōu)勢：如果檢測器的入侵特征模式庫中包含一個已知入侵行為的特征模式，就可以保證系統(tǒng)在受到這種入侵行為攻擊時能夠把它檢測出來。但是，目前主要是從已知的入侵行為以及已知的系統(tǒng)缺陷來提取入侵行為的特征模式，加入到檢測器入侵行為特征模式庫中，來避免系統(tǒng)以后再遭受同樣的入侵攻擊。30入侵檢測的步驟 o入侵檢測系統(tǒng)的作用是實時地監(jiān)控計算機系統(tǒng)的活動，發(fā)現(xiàn)可疑的攻擊行為，以避免攻擊的發(fā)生，或減少攻擊造成的危害。由此也劃分了入侵檢測的三個基本步驟：o信息收集o數(shù)據(jù)分析o響應31信息收集 o入侵檢測的第一步就是信息收集，收集的內(nèi)容包括整個計算機網(wǎng)絡中系統(tǒng)、網(wǎng)絡、數(shù)

22、據(jù)及用戶活動的狀態(tài)和行為。o入侵檢測在很大程度上依賴于收集信息的可靠性、正確性和完備性。因而，要確保采集、報告這些信息的軟件工具的可靠性，這些軟件本身應具有相當強的堅固性，能夠防止被篡改而收集到錯誤的信息。否則，黑客對系統(tǒng)的修改可能使入侵檢測系統(tǒng)功能失常但看起來卻跟正常的系統(tǒng)一樣。32數(shù)據(jù)分析o數(shù)據(jù)分析Analysis Schemes是入侵檢測系統(tǒng)的核心，它的效率高低直接決定了整個入侵檢測系統(tǒng)的性能。根據(jù)數(shù)據(jù)分析的不同方式可將入侵檢測系統(tǒng)分為異常入侵檢測與誤用入侵檢測兩類： 33響應 o數(shù)據(jù)分析發(fā)現(xiàn)入侵跡象后，入侵檢測系統(tǒng)的下一步工作就是響應。而響應并不局限于對可疑的攻擊者。目前的入侵檢測系統(tǒng)

23、一般采取下列響應。o將分析結(jié)果記錄在日志文件中，并產(chǎn)生相應的報告。o觸發(fā)警報：如在系統(tǒng)管理員的桌面上產(chǎn)生一個告警標志位，向系統(tǒng)管理員發(fā)送傳呼或電子郵件等等。o修改入侵檢測系統(tǒng)或目標系統(tǒng)，如終止進程、切斷攻擊者的網(wǎng)絡連接，或更改防火墻配置等。34入侵檢測的一般過程信息源信息采集數(shù)據(jù)預處理檢測模型安全策略響應處理35通用入侵檢測系統(tǒng)36入侵檢測系統(tǒng)的基本工作模式o從系統(tǒng)的不同環(huán)節(jié)收集信息o分析該信息，試圖尋找入侵活動的特征o自動對檢測到的行為作出響應o記錄并報告檢測過程的結(jié)果37入侵檢測方法o特征檢測o統(tǒng)計檢測o操作模型o方差模型o多元模型o馬爾可夫過程模型o時間序列分析模型o專家系統(tǒng)38入侵檢測

24、的分類o按系統(tǒng)分析的數(shù)據(jù)源分類o基于主機、基于網(wǎng)絡、混合式o按體系結(jié)構(gòu)分類o集中式、層次式、分布式o按分析方法分類o異常、誤用(漏報率?，誤報率? )o按響應方式分類o主動的、被動的39oCIDF模型模型(Common Intrusion Detection Framework，公共入侵檢測框架，公共入侵檢測框架 )o事件產(chǎn)生器：這是入侵檢測系統(tǒng)中負責原始數(shù)據(jù)采集的事件產(chǎn)生器：這是入侵檢測系統(tǒng)中負責原始數(shù)據(jù)采集的部分，它對數(shù)據(jù)流、日志文件等進行追蹤，然后將搜集部分，它對數(shù)據(jù)流、日志文件等進行追蹤，然后將搜集到的原始數(shù)據(jù)轉(zhuǎn)換為事件，并向系統(tǒng)的其他部分提供此到的原始數(shù)據(jù)轉(zhuǎn)換為事件，并向系統(tǒng)的其他部

25、分提供此事件；事件；o事件分析器：事件分析器接收事件信息，然后對它們進事件分析器：事件分析器接收事件信息，然后對它們進行分析，判斷是否是入侵行為或異常現(xiàn)象，最后將判斷行分析，判斷是否是入侵行為或異常現(xiàn)象，最后將判斷的結(jié)果轉(zhuǎn)變?yōu)榫嫘畔?；的結(jié)果轉(zhuǎn)變?yōu)榫嫘畔ⅲ籵事件數(shù)據(jù)庫：事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的事件數(shù)據(jù)庫：事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方。它從事件產(chǎn)生器或事件分析器接收數(shù)據(jù)，一般會地方。它從事件產(chǎn)生器或事件分析器接收數(shù)據(jù)，一般會將數(shù)據(jù)進行較長時間的保存。它可以是復雜的數(shù)據(jù)庫，將數(shù)據(jù)進行較長時間的保存。它可以是復雜的數(shù)據(jù)庫，也可以是簡單的文本文件；也可以是簡單的文本文件；o響

26、應單元：響應單元根據(jù)警告信息作出反應，它可以做響應單元：響應單元根據(jù)警告信息作出反應，它可以做出切斷連接、改變文件屬性等強烈反應，也可以只是簡出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警，它是入侵檢測系統(tǒng)中的主動武器單的報警，它是入侵檢測系統(tǒng)中的主動武器40CIDF模型oCIDF闡述了一個入侵檢測系統(tǒng)IDS的通用模型。它將一個入侵檢測系統(tǒng)分為以下組件：o事件產(chǎn)生器Eventgenerators），用E盒表示；o事件分析器Eventanalyzers），用A盒表示；o響應單元Responseunits），用R盒表示；o事件數(shù)據(jù)庫Eventdatabases），用D盒表示。 41CID

27、F的體系結(jié)構(gòu)圖42CIDF工作流程o1、E盒通過傳感器收集事件數(shù)據(jù)，并將信息傳送給A盒，A盒檢測誤用模式；o2、D盒存儲來自A、E盒的數(shù)據(jù)，并為額外的分析提供信息；o3、R盒從A、E盒中提取數(shù)據(jù)，D盒啟動適當?shù)捻憫?。A、E、D及R盒之間的通信都基于GIDOgeneralizedIntrusiondetectionobjects，通用入侵檢測對象和CISLcommonintrusionspecificationlanguage，通用入侵規(guī)范語言）。o如果想在不同種類的A、E、D及R盒之間實現(xiàn)互操作，需要對GIDO實現(xiàn)標準化并使用CISL。 43入侵檢測技術(shù)的發(fā)展趨勢 o對分析技術(shù)加以改進：采用當

28、前的分析技術(shù)和模型，會產(chǎn)生大量的誤報和漏報，難以確定真正的入侵行為。采用協(xié)議分析和行為分析等新的分析技術(shù)后，可極大地提高檢測效率和準確性，從而對真正的攻擊做出反應。 o增進對大流量網(wǎng)絡的處理能力：隨著網(wǎng)絡流量的不斷增長，對獲得的數(shù)據(jù)進行實時分析的難度加大，這導致對所在入侵檢測系統(tǒng)的要求越來越高。入侵檢測產(chǎn)品能否高效處理網(wǎng)絡中的數(shù)據(jù)是衡量入侵檢測產(chǎn)品的重要依據(jù)。o向高度可集成性發(fā)展：集成網(wǎng)絡監(jiān)控和網(wǎng)絡管理的相關(guān)功能。入侵檢測可以檢測網(wǎng)絡中的數(shù)據(jù)包，當發(fā)現(xiàn)某臺設備出現(xiàn)問題時，可立即對該設備進行相應的管理。未來的入侵檢測系統(tǒng)將會結(jié)合其它網(wǎng)絡管理軟件，形成入侵檢測、網(wǎng)絡管理、網(wǎng)絡監(jiān)控三位一體的工具。44蜜網(wǎng)陷阱蜜網(wǎng)陷阱Honeynet Honeynet Honeynet是一個網(wǎng)絡系統(tǒng)，并非某臺單一主機，這一網(wǎng)絡系統(tǒng)隱藏在防火墻的后面，所有進出的數(shù)據(jù)都受到關(guān)注、捕獲及控制。這些被捕獲的數(shù)據(jù)用來研究分析入侵者們使用的工具、方法及動機。在一個Honeynet中，可以使用各種不同的操作系統(tǒng)及設備，如Solaris、Linux、Windows NT、Cisco Switch等。 這樣，建立的網(wǎng)絡環(huán)境看上去會更加真實可信，同時還有不同的系統(tǒng)平臺上面運行著不同的服務，比如Linux的DNS Server、WindowsNT的WebServer或者一個Solaris的FTP Server，可以