单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,入侵检测系统IDS,黑客攻击日益猖獗,防范问题日趋严峻,政府、军事、邮电和金融网络是黑客攻击的主要目标。即便已经拥有高性能防火墙等安全产品，照旧抵抗不住这些黑客对网络和系统的破坏。据统计，几乎每20秒全球就有一起黑客大事发生，仅美国每年所造成的经济损失就超过100亿美元。,网络入侵的特点,网络入侵的特点,没有地域和时间的限制；,通过网络的攻击往往混杂在大量正常的网络活动之间，隐蔽性强；,入侵手段更加隐蔽和简单。,为什么需要IDS？,单一防护产品的弱点,防范方法和防范策略的有限性,动态多变的网络环境,来自外部和内部的威逼,为什么需要IDS？,关于防火墙,网络边界的设备，只能抵抗外部來的入侵行为,自身存在弱点，也可能被攻破,对某些攻击爱护很弱,即使透过防火墙的爱护，合法的使用者仍会非法地使用系统，甚至提升自己的权限,仅能拒绝非法的连接請求，但是对于入侵者的攻击行为仍一无所知,为什么需要IDS？,入侵很简洁,入侵教程随处可见,各种工具唾手可得,入侵检测的概念,入侵检测Intrusion Detection：通过从计算机网络或计算机系统的关键点收集信息并进展分析，从中觉察网络或系统中是否有违反安全策略的行为和被攻击的迹象。,入侵检测系统IDS：入侵检测系统是软件与硬件的组合，是防火墙的合理补充，是防火墙之后的其次道安全闸门。,入侵检测的内容：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。,入侵检测的职责,IDS系统主要有两大职责：实时检测和安全审计，具体包含4个方面的内容,识别黑客常用入侵与攻击,监控网络特别通信,鉴别对系统漏洞和后门的利用,完善网络安全治理,入侵检测系统的功能,监控用户和系统的活动,查找非法用户和合法用户的越权操作,检测系统配置的正确性和安全漏洞,评估关键系统和数据的完整性,识别攻击的活动模式并向网管人员报警,对用户的非正常活动进展统计分析，觉察入侵行为的规律,操作系统审计跟踪治理，识别违反政策的用户活动,检查系统程序和数据的全都性与正确性,入侵检测系统模型(Denning),入侵检测系统模型(CIDF),入侵检测系统的组成特点,入侵检测系统一般是由两局部组成：掌握中心和探测引擎。掌握中心为一台装有掌握软件的主机，负责制定入侵监测的策略，收集来自多个探测引擎的上报大事，综合进展大事分析，以多种方式对入侵大事作出快速响应。探测引擎负责收集数据，作处理后，上报掌握中心。掌握中心和探测引擎是通过网络进展通讯的，这些通讯的数据一般经过数据加密。,入侵检测的工作过程,信息收集,检测引擎从信息源收集系统、网络、状态和行为信息。,信息分析,从信息中查找和分析表征入侵的特别和可疑信息。,告警与响应,依据入侵性质和类型，做出相应的告警和响应。,信息收集,入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为,需要在计算机网络系统中的假设干不同关键点不同网段和不同主机收集信息，这样做的理由就是从一个来源的信息有可能看不出疑点，但从几个来源的信息的不全都性却是可疑行为或入侵的最好标识。,信息收集,入侵检测的效果很大程度上依靠于收集信息的牢靠性和正确性,要保证用来检测网络系统的软件的完整性,特殊是入侵检测系统软件本身应具有相当强的牢固性，防止被篡改而收集到错误的信息,信息收集,系统和网络日志文件,名目和文件中的不期望的转变,程序执行中的不期望行为,物理形式的入侵信息,信息分析,模式匹配-误用检测Misuse Detection,维护一个入侵特征学问库,准确性高,统计分析-特别检测Anomaly Detection,统计模型,误报、漏报较多,完整性分析,关注某个文件或对象是否被更改,事后分析,17,模式匹配,模式匹配就是将收集到的信息与的网络入侵和系统误用模式数据库进展比较，从而觉察违反安全策略的行为,一般来讲，一种攻击模式可以用一个过程如执行一条指令或一个输出如获得权限来表示。该过程可以很简洁如通过字符串匹配以查找一个简洁的条目或指令，也可以很简单如利用正规的数学表达式来表示安全状态的变化,统计分析,统计分析方法首先给系统对象如用户、文件、名目和设备等创立一个统计描述，统计正常使用时的一些测量属性如访问次数、操作失败次数和延时等,测量属性的平均值和偏差被用来与网络、系统的行为进展比较，任何观看值在正常值范围之外时，就认为有入侵发生,完整性分析,完整性分析主要关注某个文件或对象是否被更改,包括文件和名目的内容及属性,在觉察被更改的、被安装木马的应用程序方面特殊有效,响应动作,主动响应,被动响应,入侵检测性能关键参数,误报(false positive)：假设系统错误地将特别活动定义为入侵,漏报(false negative)：假设系统未能检测出真正的入侵行为,入侵检测系统分类一,依据分析方法检测方法,特别检测模型Anomaly Detection):首先总结正常操作应当具有的特征用户轮廓，当用户活动与正常行为有重大偏离时即被认为是入侵,误用检测模型Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵,23,特别检测模型,假设系统错误地将特别活动定义为入侵，称为误报(false positive)；假设系统未能检测出真正的入侵行为则称为漏报(false negative)。,特点：特别检测系统的效率取决于用户轮廓的完备性和监控的频率。由于不需要对每种入侵行为进展定义，因此能有效检测未知的入侵。同时系统能针对用户行为的转变进展自我调整和优化，但随着检测模型的逐步准确，特别检测会消耗更多的系统资源。,误用检测模型,假设入侵特征与正常的用户行为能匹配，则系统会发生误报；假设没有特征能与某种新的攻击行为匹配，则系统会发生漏报。,特点：承受特征匹配，误用检测能明显降低错报率，但漏报率随之增加。攻击特征的微小变化，会使得误用检测无能为力。,入侵检测系统分类二,依据检测对象分类,基于主机的IDSHost-Based IDS,HIDS一般主要使用操作系统的审计日志作为主要数据源输入，试图从日志推断滥用和入侵大事的线索。,基于网络的IDSNetwork-Based IDS,NIDS在计算机网络中的关键点被动地监听网络上传输的原始流量，对猎取的网络数据进展分析处理，从中猎取有用的信息，以识别、判定攻击大事。,混合型IDS,基于网络的IDSNIDS,是网络上的一个监听设备,通过网络适配器捕获数据包并分析数据包,依据推断方法分为基于学问的数据模式推断和基于行为的行为推断方法,能够检测超过授权的非法访问,IDS发生故障不会影响正常业务的运行,配置简洁,基于主机的IDSHIDS,HIDS是配置在被爱护的主机上的，用来检测针对主机的入侵和攻击,主要分析的数据包括主机的网络连接状态、审计日志、系统日志。,实现原理,配置审计信息,系统对审计数据进展分析(日志文件),NIDS和HIDS比较,入侵检测的分类(混合IDS),基于网络的入侵检测产品和基于主机的入侵检测产品都有缺乏之处，单纯使用一类产品会造成主动防范体系不全面。但是，它们的缺憾是互补的。假设这两类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防范体系，综合了基于网络和基于主机两种构造特点的入侵检测系统，既可觉察网络中的攻击信息，也可从系统日志中觉察特别状况。,入侵检测系统分类三,依据系统工作方式来分：,在线入侵检测(IPS)，一旦觉察入侵迹象马上断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进展的。,离线入侵检测，依据计算机系统对用户操作所做的历史审计记录推断用户是否具有入侵行为，假设有就断开连接，并记录入侵证据和进展数据恢复。,入侵检测的部署,IDS的部署模式：,共享媒介HUB,交换环境,隐蔽模式,Tap模式,In-line模式,入侵检测的部署,检测器部署位置,放在边界防火墙之内,放在边界防火墙之外,放在主要的网络中枢,放在一些安全级别需求高的子网,入侵检测的部署,部署一,Internet,部署二,部署三,部署四,入侵检测的部署,检测器放置于防火墙的DMZ区域,可以查看受爱护区域主机被攻击状态,可以看出防火墙系统的策略是否合理,可以看出DMZ区域被黑客攻击的重点,入侵检测的部署,检测器放置于路由器和边界防火墙之间,可以审计全部来自Internet上面对爱护网络的攻击数目,可以审计全部来自Internet上面对爱护网络的攻击类型,入侵检测的部署,检测器放在主要的网络中枢,监控大量的网络数据，可提高检测黑客攻击的可能性,可通过授权用户的权利周界来觉察未授权用户的行为,当前主流产品介绍,Computer Associates,公司,SessionWall-3/eTrust Intrusion Detection,Cisco,公司,NetRanger,IDS,Intrusion Detection,公司,Kane Security Monitor,Axent Technologies,公司,OmniGuard/Intruder Alert,当前主流产品介绍,Internet Security System公司,RealSecure,NFR公司,Intrusion Detection Applicance 4.0,中科网威,“天眼”入侵检测系统,启明星辰,SkyBell(天阗,免费开源软件,snort,入侵测系统的优点,入侵检测系统能够增加网络的安全性，它的优点：,能够使现有的安防体系更完善；,能够更好地把握系统的状况；,能够追踪攻击者的攻击线路；,界面友好，便于建立安防体系；,能够抓住肇事者。,入侵检测系统的缺乏,入侵检测系统不是万能的，它同样存在很多缺乏之处：,不能够在没有用户参与的状况下对攻击行为开放调查；,不能够在没有用户参与的状况下阻挡攻击行为的发生；,不能抑制网络协议方面的缺陷；,不能抑制设计原理方面的缺陷；,响应不够准时，签名数据库更新得不够快。常常是事后才检测到，适时性不好。,入侵检测技术的进展趋势,大规模分布式入侵检测，传统的入侵检测技术一般只局限于单一的主机或网络框架，明显不能适应大规模网络的监测，不同的入侵检测系统之间也不能协同工作。因此，必需进展大规模的分布式入侵检测技术。,宽带高速网络的实时入侵检测技术，大量高速网络的不断涌现，各种宽带接入手段层出不穷，如何实现高速网络下的实时入侵检测成为一个现实的问题。,入侵检测技术的进展趋势,入侵检测的数据融合技术，目前的IDS还存在着很多缺陷。首先，目前的技术还不能应付训练有素的黑客的简单的攻击。其次，系统的虚警率太高。最终，系统对大量的数据处理，非但无助于解决问题，还降低了处理力量。数据融合技术是解决这一系列问题的好方法。,与网络安全技术相结合，结合防火墙，病毒防护以及电子商务技术，供给完整的网络安全保障。,