入侵檢測課件

1、入侵檢測1 入侵檢測概述2 入侵檢測系統(tǒng)分類3 入侵檢測系統(tǒng)的分析方式4 入侵檢測系統(tǒng)的設(shè)置5 入侵檢測系統(tǒng)的部署6 入侵檢測系統(tǒng)的有點與局限性入侵檢測是從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點搜集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種機制。入侵檢測系統(tǒng)的英文縮寫是IDS（Intrusion Detection System），它使用入侵檢測技術(shù)對網(wǎng)絡(luò)與其上的系統(tǒng)進行監(jiān)視，并根據(jù)監(jiān)視結(jié)果進行不同的安全動作，最大限度地降低可能的入侵危害。1 入侵檢測系統(tǒng)概述 1.1 入侵檢測的概念CIDF(Common Intrusion Detection Fra

2、mework，網(wǎng)址http：/）闡述了一個入侵檢測系統(tǒng)的通用模型。1.2 入侵檢測系統(tǒng)的基本結(jié)構(gòu)圖1 CIDF模型 根據(jù)入侵檢測系統(tǒng)的檢測對象和工作方式的不同，入侵檢測系統(tǒng)主要分為兩大類：基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。2 入侵檢測系統(tǒng)概分類 基于主機的入侵檢測系統(tǒng)用于保護單臺主機不受網(wǎng)絡(luò)攻擊行為的侵害，需要安裝在被保護的主機上。 按照檢測對象的不同，基于主機的入侵檢測系統(tǒng)可以分為兩類：網(wǎng)絡(luò)連接檢測和主機文件檢測。2.1 基于主機的入侵檢測系統(tǒng)2.主機文件檢測通常入侵行為會在主機的各種相關(guān)文件中留下痕跡，主機文件檢測能夠幫助系統(tǒng)管理員發(fā)現(xiàn)入侵行為或入侵企圖，及時采取補救措施。主

3、機文件檢測的檢測對象主要包括以下幾種：（1）系統(tǒng)日志（2）文件系統(tǒng)（3）進程記錄（4）系統(tǒng)運行控制基于主機的入侵檢測系統(tǒng)具有以下優(yōu)點：檢測準(zhǔn)確度較高；可以檢測到?jīng)]有明顯行為特征的入侵；能夠?qū)Σ煌牟僮飨到y(tǒng)進行有針對性的檢測；成本較低；不會因網(wǎng)絡(luò)流量影響性能；適于加密和交換環(huán)境?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)通常是作為一個獨立的個體放置于被保護的網(wǎng)絡(luò)上，它使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進行攻擊分析的數(shù)據(jù)源，一般利用一個網(wǎng)絡(luò)適配器來實時監(jiān)視和分析所有通過網(wǎng)絡(luò)進行傳輸?shù)耐ㄐ拧Ｒ坏z測到攻擊，入侵檢測系統(tǒng)應(yīng)答模塊通過通知、報警以及中斷連接等方式來對攻擊做出反應(yīng)。2.2 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測系

4、統(tǒng)的發(fā)展階段：1.包嗅探器和網(wǎng)絡(luò)監(jiān)視器（1） 對包進行統(tǒng)計；（2） 詳細地檢查包；2.基于網(wǎng)絡(luò)的入侵檢測（1） 檢測端口掃描；（2） 檢測常見的攻擊行為；（3） 識別各種各樣可能的IP欺騙攻擊；（4） 當(dāng)檢測到一個不希望的活動時，基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)將采取行動；基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)有以下優(yōu)點：可以提供實時的網(wǎng)絡(luò)行為檢測；可以同時保護多臺網(wǎng)絡(luò)主機；具有良好的隱蔽性；有效保護入侵證據(jù)；不影響被保護主機的性能。入侵防護系統(tǒng)（Intrusion Protection System, IPS）是網(wǎng)絡(luò)入侵檢測系統(tǒng)的一種特殊形式。它是網(wǎng)絡(luò)高層應(yīng)用防護設(shè)備，是安全防護產(chǎn)品的進一步拓展。2.3 入侵防護系統(tǒng)

5、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機的入侵檢測系統(tǒng)都有各自的優(yōu)勢和不足，這兩種方式各自都能發(fā)現(xiàn)對方無法檢測到的一些網(wǎng)絡(luò)入侵行為，如果同時使用互相彌補不足，會起到良好的檢測效果。2.4 兩種入侵檢測系統(tǒng)的結(jié)合運用此外，在大型網(wǎng)絡(luò)中，網(wǎng)絡(luò)的不同部分可能分別采用不同的入侵檢測系統(tǒng)，各個入侵檢測系統(tǒng)之間通常不能互相協(xié)作，不僅不利于檢測工作，甚至還會產(chǎn)生新的安全漏洞。對于上述問題，采用分布式結(jié)構(gòu)的入侵檢測模式是解決方案之一，也是目前入侵檢測技術(shù)的一個研究方向。這種模式的系統(tǒng)采用分布式智能代理的結(jié)構(gòu)，由一個或者多個中央智能代理和大量分布在網(wǎng)絡(luò)各處的本地代理組成。其中本地代理負(fù)責(zé)處理本地事件，中央代理負(fù)責(zé)統(tǒng)一調(diào)

6、控各個本地代理的工作以及從整體上完成對網(wǎng)絡(luò)事件進行綜合分析的工作。檢測工作通過全部代理互相協(xié)作共同完成。入侵檢測系統(tǒng)的檢測分析技術(shù)主要分為兩大類：異常檢測和誤用檢測。3 入侵檢測系統(tǒng)的分析方式1. 異常檢測技術(shù)的基本原理異常檢測技術(shù)（Anomaly Detection）也稱為基于行為的檢測技術(shù)，是指根據(jù)用戶的行為和系統(tǒng)資源的使用狀況判斷是否存在網(wǎng)絡(luò)入侵。異常檢測技術(shù)首先假設(shè)網(wǎng)絡(luò)攻擊行為是不常見的或是異常的，區(qū)別于所有的正常行為。如果能夠為用戶和系統(tǒng)的所有正常行為總結(jié)活動規(guī)律并建立行為模型，那么入侵檢測系統(tǒng)可以將當(dāng)前捕獲到的網(wǎng)絡(luò)行為與行為模型相對比，若入侵行為偏離了正常的行為軌跡，就可以被檢測出

7、來。3.1 異常檢測技術(shù)基于行為的檢測2. 異常檢測技術(shù)的評價異常檢測技術(shù)有以下優(yōu)點：能夠檢測出新的網(wǎng)絡(luò)入侵方法的攻擊；較少依賴于特定的主機操作系統(tǒng)；對于內(nèi)部合法用戶的越權(quán)違法行為的檢測能力較強。異常檢測技術(shù)有以下不足：誤報率高；行為模型建立困難；難以對入侵行為進行分類和命名。3. 異常檢測技術(shù)分類異常檢測技術(shù)的核心問題是建立行為模型，目前主要有以下幾種方法。（1） 統(tǒng)計分析異常檢測（2） 貝葉斯推理異常檢測（3） 神經(jīng)網(wǎng)絡(luò)異常檢測（4） 模式預(yù)測異常檢測（5） 數(shù)據(jù)采掘異常檢測（6） 機器學(xué)習(xí)異常檢測1. 誤用檢測技術(shù)入侵檢測系統(tǒng)的基本原理誤用檢測技術(shù)（Misuse Detection）也稱

8、為基于知識的檢測技術(shù)或者模式匹配檢測技術(shù)。它的前提是假設(shè)所有的網(wǎng)絡(luò)攻擊行為和方法都具有一定的模式或特征，如果把以往發(fā)現(xiàn)的所有網(wǎng)絡(luò)攻擊的特征總結(jié)出來并建立一個入侵信息庫，那么入侵檢測系統(tǒng)可以將當(dāng)前捕獲到的網(wǎng)絡(luò)行為特征與入侵信息庫中的特征信息相比較，如果匹配，則當(dāng)前行為就被認(rèn)定為入侵行為。3.2 誤用檢測技術(shù)基于知識的檢測3. 誤用檢測技術(shù)的分類誤用檢測技術(shù)主要可分為以下幾種。（1） 專家系統(tǒng)誤用檢測（2） 特征分析誤用檢測（3） 模型推理誤用檢測（4） 條件概率誤用檢測（5） 鍵盤監(jiān)控誤用檢測無論哪種入侵檢測技術(shù)都需要搜集總結(jié)有關(guān)網(wǎng)絡(luò)入侵行為的各種知識，或者系統(tǒng)及其用戶的各種行為的知識?；诋惓?/p>

9、檢測技術(shù)的入侵檢測系統(tǒng)如果想檢測到所有的網(wǎng)絡(luò)入侵行為，必須掌握被保護系統(tǒng)已知行為和預(yù)期行為的所有信息，這一點實際上無法做到，因此入侵檢測系統(tǒng)必須不斷地學(xué)習(xí)并更新已有的行為輪廓。3.3 異常檢測技術(shù)和誤用檢測技術(shù)的比較網(wǎng)絡(luò)安全需要各個安全設(shè)備的協(xié)同工作和正確的設(shè)置，因此，入侵檢測系統(tǒng)在設(shè)置時需要對整個網(wǎng)絡(luò)有一個全面的了解，保證自身環(huán)境的正確性和安全性。網(wǎng)絡(luò)安全的實際需求對于入侵檢測的工作方式和檢測位置都有十分重要的影響，只有在了解和掌握這些實際需求的情況下，才能正確地設(shè)計入侵檢測系統(tǒng)的網(wǎng)絡(luò)拓?fù)洌θ肭謾z測系統(tǒng)進行正確的配置。4 入侵檢測系統(tǒng)的設(shè)置入侵檢測系統(tǒng)的設(shè)置主要分為以下幾個基本的步驟：

10、確定入侵檢測需求。 設(shè)計入侵檢測系統(tǒng)在網(wǎng)絡(luò)中的拓?fù)湮恢谩?配置入侵檢測系統(tǒng)。 入侵檢測系統(tǒng)磨合。 入侵檢測系統(tǒng)的使用及自調(diào)節(jié)。這些步驟的操作流程如圖2所示。圖2 入侵檢測系統(tǒng)設(shè)置流程圖入侵檢測系統(tǒng)有不同的部署方式和特點。根據(jù)所掌握的網(wǎng)絡(luò)檢測和安全需求，選取各種類型的入侵檢測系統(tǒng)。將多種入侵檢測系統(tǒng)按照預(yù)定的計劃進行部署，確保每個入侵檢測系統(tǒng)都能夠在相應(yīng)部署點上發(fā)揮作用，共同防護，保障網(wǎng)絡(luò)的安全運行。部署工作包括對網(wǎng)絡(luò)入侵檢測和主機入侵檢測等類型入侵檢測系統(tǒng)的部署規(guī)劃。同時，根據(jù)主動防御網(wǎng)絡(luò)的需求，還需要對入侵檢測系統(tǒng)的報警方式進行部署和規(guī)劃。5 入侵檢測系統(tǒng)的部署基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以在網(wǎng)

11、絡(luò)的多個位置進行部署。這里的部署主要指對網(wǎng)絡(luò)入侵檢測器的部署。根據(jù)檢測器部署位置的不同，入侵檢測系統(tǒng)具有不同的工作特點。用戶需要根據(jù)自己的網(wǎng)絡(luò)環(huán)境以及安全需求進行網(wǎng)絡(luò)部署，以達到預(yù)定的網(wǎng)絡(luò)安全需求。總體來說，入侵檢測的部署點可以劃分為4個位置： DMZ區(qū)、外網(wǎng)入口、內(nèi)網(wǎng)主干、關(guān)鍵子網(wǎng),如圖3所示。5.1 基于網(wǎng)絡(luò)入侵檢測系統(tǒng)的部署圖3 入侵檢測系統(tǒng)部署位置圖在基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)部署并配置完成后，基于主機的入侵檢測系統(tǒng)的部署可以給系統(tǒng)提供高級別的保護。但是，將基于主機的入侵檢測系統(tǒng)安裝在企業(yè)中的每一個主機上是一種相當(dāng)大的時間和資金的浪費，同時每一臺主機都需要根據(jù)自身的情況進行特別的安裝和設(shè)置

12、，相關(guān)的日志和升級維護是巨大的。5.2 基于主機入侵檢測系統(tǒng)的部署入侵檢測系統(tǒng)在檢測到入侵行為的時候，需要報警并進行相應(yīng)的反應(yīng)。如何報警和選取什么樣的報警，需要根據(jù)整個網(wǎng)絡(luò)的環(huán)境和安全的需求進行確定。5.3 報警策略入侵檢測系統(tǒng)是企業(yè)安全防御系統(tǒng)中的重要部件，但入侵檢測系統(tǒng)并不是萬能的。入侵檢測對于部分事件可以處理得很好，但對于另一些情況則無能為力。只有充分了解入侵檢測系統(tǒng)的優(yōu)點和局限性，才能對入侵檢測系統(tǒng)有一個準(zhǔn)確的定位，以便將入侵檢測系統(tǒng)有效地應(yīng)用在安全防御系統(tǒng)中，最大限度地發(fā)揮它的安全防御功能。6 入侵檢測系統(tǒng)的優(yōu)點與局限性入侵檢測系統(tǒng)作為一個迅速崛起并受到廣泛承認(rèn)的安全組件，有著很多方

13、面的安全優(yōu)勢：可以檢測和分析系統(tǒng)事件以及用戶的行為；可以測試系統(tǒng)設(shè)置的安全狀態(tài)；以系統(tǒng)的安全狀態(tài)為基礎(chǔ)，跟蹤任何對系統(tǒng)安全的修改操作；通過模式識別等技術(shù)從通信行為中檢測出已知的攻擊行為；6.1 入侵檢測系統(tǒng)的優(yōu)點可以對網(wǎng)絡(luò)通信行為進行統(tǒng)計，并進行檢測分析；管理操作系統(tǒng)認(rèn)證和日志機制并對產(chǎn)生的數(shù)據(jù)進行分析處理；在檢測到攻擊的時候，通過適當(dāng)?shù)姆绞竭M行適當(dāng)?shù)膱缶幚?；通過對分析引擎的配置對網(wǎng)絡(luò)的安全進行評估和監(jiān)督；允許非安全領(lǐng)域的管理人員對重要的安全事件進行有效的處理。入侵檢測系統(tǒng)只能對網(wǎng)絡(luò)行為進行安全審計，從入侵檢測系統(tǒng)的定位可以看出，入侵檢測系統(tǒng)存在以下缺陷:（1） 入侵檢測系統(tǒng)無法彌補安全防御系統(tǒng)中的安全缺陷和漏洞。（2） 對于高負(fù)載的網(wǎng)絡(luò)或主機，很難實現(xiàn)對網(wǎng)絡(luò)入侵的實時檢測、報警和迅速地進行攻擊響應(yīng)。（3） 基于知識的入侵檢測系統(tǒng)很難檢測到未知的攻擊行為。6.2 入侵檢測系統(tǒng)的局限性（4） 入侵檢測系統(tǒng)的主動防御功能和聯(lián)動防御功能會對網(wǎng)絡(luò)的行為產(chǎn)生影響，同樣也會成為攻擊者的目標(biāo)。（5） 入侵檢測系統(tǒng)無法單獨防止攻擊行為的滲透，