網(wǎng)絡(luò)安全-入侵檢測(cè)培訓(xùn)課程課件

網(wǎng)絡(luò)安全入侵檢測(cè)網(wǎng)絡(luò)安全入侵檢測(cè)1網(wǎng)絡(luò)安全的構(gòu)成物理安全性設(shè)備的物理安全：防火、防盜、防破壞等通信網(wǎng)絡(luò)安全性防止入侵和信息泄露系統(tǒng)安全性計(jì)算機(jī)系統(tǒng)不被入侵和破壞用戶(hù)訪(fǎng)問(wèn)安全性通過(guò)身份鑒別和訪(fǎng)問(wèn)控制，阻止資源被非法用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)安全性數(shù)據(jù)的完整、可用數(shù)據(jù)保密性信息的加密存儲(chǔ)和傳輸網(wǎng)絡(luò)安全的構(gòu)成物理安全性2安全的分層結(jié)構(gòu)和主要技術(shù)物理安全層網(wǎng)絡(luò)安全層系統(tǒng)安全層用戶(hù)安全層應(yīng)用安全層數(shù)據(jù)安全層加密訪(fǎng)問(wèn)控制授權(quán)用戶(hù)/組管理單機(jī)登錄身份認(rèn)證反病毒風(fēng)險(xiǎn)評(píng)估入侵檢測(cè)審計(jì)分析安全的通信協(xié)議VPN防火墻存儲(chǔ)備份安全的分層結(jié)構(gòu)和主要技術(shù)物理安全層網(wǎng)絡(luò)安全層系統(tǒng)安全層用戶(hù)安3主要的傳統(tǒng)安全技術(shù)加密消息摘要、數(shù)字簽名身份鑒別：口令、鑒別交換協(xié)議、生物特征訪(fǎng)問(wèn)控制安全協(xié)議：IPSec、SSL網(wǎng)絡(luò)安全產(chǎn)品與技術(shù)：防火墻、VPN內(nèi)容控制:防病毒、內(nèi)容過(guò)濾等“預(yù)防（prevention）”和“防護(hù)（protection）”的思想主要的傳統(tǒng)安全技術(shù)加密“預(yù)防（prevention）”和“防4傳統(tǒng)安全技術(shù)的局限性傳統(tǒng)的安全技術(shù)采用嚴(yán)格的訪(fǎng)問(wèn)控制和數(shù)據(jù)加密策略來(lái)防護(hù)在復(fù)雜系統(tǒng)中，這些策略是不充分的這些措施都是以減慢交易為代價(jià)的大部分損失是由內(nèi)部引起的82%的損失是內(nèi)部威脅造成的傳統(tǒng)安全技術(shù)難于防內(nèi)傳統(tǒng)的安全技術(shù)基本上是一種被動(dòng)的防護(hù)，而如今的攻擊和入侵要求我們主動(dòng)地去檢測(cè)、發(fā)現(xiàn)和排除安全隱患傳統(tǒng)安全措施不能滿(mǎn)足這一點(diǎn)傳統(tǒng)安全技術(shù)的局限性傳統(tǒng)的安全技術(shù)采用嚴(yán)格的訪(fǎng)問(wèn)控制和數(shù)據(jù)加5入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述6入侵檢測(cè)系統(tǒng)的定義入侵（Intrusion）企圖進(jìn)入或?yàn)E用計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)的行為可能來(lái)自于網(wǎng)絡(luò)內(nèi)部的合法用戶(hù)入侵檢測(cè)（IntrusionDetection）對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）定義：進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)功能：監(jiān)控計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中發(fā)生的事件，根據(jù)規(guī)則進(jìn)行安全審計(jì)入侵檢測(cè)系統(tǒng)的定義入侵（Intrusion）7為什么需要入侵檢測(cè)系統(tǒng)入侵很容易入侵教程隨處可見(jiàn)各種工具唾手可得防火墻不能保證絕對(duì)的安全網(wǎng)絡(luò)邊界的設(shè)備自身可以被攻破對(duì)某些攻擊保護(hù)很弱不是所有的威脅來(lái)自防火墻外部防火墻是鎖，入侵檢測(cè)系統(tǒng)是監(jiān)視器入侵檢測(cè)系統(tǒng)IDS通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象為什么需要入侵檢測(cè)系統(tǒng)入侵很容易8入侵檢測(cè)的任務(wù)檢測(cè)來(lái)自?xún)?nèi)部的攻擊事件和越權(quán)訪(fǎng)問(wèn)85％以上的攻擊事件來(lái)自于內(nèi)部的攻擊防火墻只能防外，難于防內(nèi)入侵檢測(cè)系統(tǒng)作為傳統(tǒng)安全工具的一個(gè)有效的補(bǔ)充入侵檢測(cè)系統(tǒng)可以有效的防范防火墻開(kāi)放的服務(wù)入侵通過(guò)事先發(fā)現(xiàn)風(fēng)險(xiǎn)來(lái)阻止入侵事件的發(fā)生，提前發(fā)現(xiàn)試圖攻擊或?yàn)E用網(wǎng)絡(luò)系統(tǒng)的人員檢測(cè)其它安全工具沒(méi)有發(fā)現(xiàn)的網(wǎng)絡(luò)工具事件提供有效的審計(jì)信息，詳細(xì)記錄黑客的入侵過(guò)程，從而幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)的脆弱性入侵檢測(cè)的任務(wù)檢測(cè)來(lái)自?xún)?nèi)部的攻擊事件和越權(quán)訪(fǎng)問(wèn)9入侵檢測(cè)相關(guān)術(shù)語(yǔ)IDS(IntrusionDetectionSystems)入侵檢測(cè)系統(tǒng)Promiscuous混雜模式，即IDS網(wǎng)絡(luò)接口可以看到網(wǎng)段中所有的網(wǎng)絡(luò)通信量，不管其來(lái)源或目的地Signatures特征，即攻擊的特征Alerts警告Anomaly異常Console控制臺(tái)Sensor傳感器，即檢測(cè)引擎入侵檢測(cè)相關(guān)術(shù)語(yǔ)IDS(IntrusionDetectio10入侵檢測(cè)系統(tǒng)分類(lèi)-1按照數(shù)據(jù)來(lái)源：基于主機(jī)系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)基于網(wǎng)絡(luò)系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行入侵檢測(cè)系統(tǒng)分類(lèi)-1按照數(shù)據(jù)來(lái)源：11入侵檢測(cè)系統(tǒng)分類(lèi)-2按系統(tǒng)各模塊的運(yùn)行方式集中式系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集分析集中在一臺(tái)主機(jī)上運(yùn)行分布式系統(tǒng)的各個(gè)模塊分布在不同的計(jì)算機(jī)和設(shè)備上根據(jù)時(shí)效性脫機(jī)分析行為發(fā)生后，對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析聯(lián)機(jī)分析在數(shù)據(jù)產(chǎn)生的同時(shí)或者發(fā)生改變時(shí)進(jìn)行分析入侵檢測(cè)系統(tǒng)分類(lèi)-2按系統(tǒng)各模塊的運(yùn)行方式12基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)系統(tǒng):Host-BasedIDS(HIDS)系統(tǒng)安裝在主機(jī)上面，對(duì)本主機(jī)進(jìn)行安全檢測(cè)優(yōu)點(diǎn)審計(jì)內(nèi)容全面，保護(hù)更加周密視野集中適用于加密及交換環(huán)境易于用戶(hù)自定義對(duì)網(wǎng)絡(luò)流量不敏感缺點(diǎn)額外產(chǎn)生的安全問(wèn)題HIDS依賴(lài)性強(qiáng)如果主機(jī)數(shù)目多，代價(jià)過(guò)大不能監(jiān)控網(wǎng)絡(luò)上的情況基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)系統(tǒng):Host-B13基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)：Network-BasedIDS(NIDS)系統(tǒng)安裝在比較重要的網(wǎng)段內(nèi)在共享網(wǎng)段上對(duì)通信數(shù)據(jù)進(jìn)行偵聽(tīng)采集數(shù)據(jù)優(yōu)點(diǎn)檢測(cè)范圍廣，提供對(duì)網(wǎng)絡(luò)通用的保護(hù)無(wú)需改變主機(jī)配置和性能，安裝方便獨(dú)立性，操作系統(tǒng)無(wú)關(guān)性偵測(cè)速度快隱蔽性好較少的監(jiān)測(cè)器，占資源少缺點(diǎn)不能檢測(cè)不同網(wǎng)段的網(wǎng)絡(luò)包很難檢測(cè)復(fù)雜的需要大量計(jì)算的攻擊協(xié)同工作能力弱難以處理加密的會(huì)話(huà)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)：Networ14IDS基本結(jié)構(gòu)入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件信息收集信息分析結(jié)果處理IDS基本結(jié)構(gòu)入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件15信息收集入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶(hù)活動(dòng)的狀態(tài)和行為需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息盡可能擴(kuò)大檢測(cè)范圍從一個(gè)源來(lái)的信息有可能看不出疑點(diǎn)入侵檢測(cè)很大程度上依賴(lài)于收集信息的可靠性和正確性要保證用來(lái)檢測(cè)網(wǎng)絡(luò)系統(tǒng)的軟件的完整性特別是入侵檢測(cè)系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯(cuò)誤的信息信息收集的來(lái)源系統(tǒng)或網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為信息收集入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、16信息分析分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果模式匹配將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為統(tǒng)計(jì)分析首先給系統(tǒng)對(duì)象（如用戶(hù)、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪(fǎng)問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等）。測(cè)量屬性的平均值和偏差將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀(guān)察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生完整性分析事后分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓脑诎l(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效信息分析分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果17結(jié)果處理結(jié)果處理，即對(duì)分析結(jié)果作出反應(yīng)。切斷連接改變文件屬性發(fā)動(dòng)對(duì)攻擊者的反擊報(bào)警……結(jié)果處理結(jié)果處理，即對(duì)分析結(jié)果作出反應(yīng)。18IDS的組成檢測(cè)引擎控制中心HUB檢測(cè)引擎MonitoredServers控制中心IDS的組成檢測(cè)引擎HUB檢測(cè)引擎MonitoredSer19檢測(cè)引擎的部署位置放在邊界防火墻之內(nèi)放在邊界防火墻之外放在主要的網(wǎng)絡(luò)中樞放在一些安全級(jí)別需求高的子網(wǎng)檢測(cè)引擎的部署位置放在邊界防火墻之內(nèi)20檢測(cè)引擎的部署位置示意圖Internet部署二部署一部署三部署四檢測(cè)引擎的部署位置示意圖Internet部署二部署一部署三部21網(wǎng)絡(luò)入侵技術(shù)網(wǎng)絡(luò)入侵技術(shù)22入侵(Intrusion)入侵是指未經(jīng)授權(quán)蓄意嘗試訪(fǎng)問(wèn)信息、篡改信息，使系統(tǒng)不可靠或不能使用的行為破壞計(jì)算機(jī)或網(wǎng)絡(luò)資源的完整性、機(jī)密性、可用性、可控性入侵者可以是一個(gè)手工發(fā)出命令的人，也可是一個(gè)基于入侵腳本或程序的自動(dòng)發(fā)布命令的計(jì)算機(jī)入侵者可以被分為兩類(lèi):外部的:網(wǎng)絡(luò)外面的侵入者內(nèi)部的:合法使用網(wǎng)絡(luò)的侵入者，包括濫用權(quán)力的人和模仿更改權(quán)力的人(比如使用別人的終端)。80%的安全問(wèn)題同內(nèi)部人有關(guān)入侵(Intrusion)入侵是指未經(jīng)授權(quán)蓄意嘗試訪(fǎng)問(wèn)信息23侵入系統(tǒng)的主要途徑物理侵入侵入者對(duì)主機(jī)有物理進(jìn)入權(quán)限方法如移走磁盤(pán)并在另外的機(jī)器讀/寫(xiě)系統(tǒng)侵入侵入者已經(jīng)擁有在系統(tǒng)的較低權(quán)限侵入者可能利用一個(gè)知名漏洞獲得系統(tǒng)管理員權(quán)限的機(jī)會(huì)遠(yuǎn)程侵入入侵者通過(guò)網(wǎng)絡(luò)遠(yuǎn)程進(jìn)入系統(tǒng)，侵入者從無(wú)特權(quán)開(kāi)始入檢測(cè)系統(tǒng)主要關(guān)心遠(yuǎn)程侵入侵入系統(tǒng)的主要途徑物理侵入24網(wǎng)絡(luò)入侵的一般步驟目標(biāo)探測(cè)和信息收集自身隱藏利用漏洞侵入主機(jī)穩(wěn)固和擴(kuò)大戰(zhàn)果清除日志網(wǎng)絡(luò)入侵的一般步驟目標(biāo)探測(cè)和信息收集25目標(biāo)探測(cè)和信息收集利用掃描器軟件掃描端口掃描漏洞掃描常用掃描器軟件：SATAN，流光，Mscan利用snmp了解網(wǎng)絡(luò)結(jié)構(gòu)搜集網(wǎng)絡(luò)管理信息網(wǎng)絡(luò)管理軟件也成為黑客入侵的一直輔助手段目標(biāo)探測(cè)和信息收集利用掃描器軟件掃描26自身隱藏典型的黑客使用如下技術(shù)來(lái)隱藏IP地址通過(guò)telnet在以前攻克的Unix主機(jī)上跳轉(zhuǎn)通過(guò)終端管理器在windows主機(jī)上跳轉(zhuǎn)配置代理服務(wù)器更高級(jí)的黑客，精通利用電話(huà)交換侵入主機(jī)自身隱藏典型的黑客使用如下技術(shù)來(lái)隱藏IP地址27利用漏洞侵入主機(jī)已經(jīng)利用掃描器發(fā)現(xiàn)漏洞例如CGI/IIS漏洞充分掌握系統(tǒng)信息進(jìn)一步入侵利用漏洞侵入主機(jī)已經(jīng)利用掃描器發(fā)現(xiàn)漏洞28穩(wěn)固和擴(kuò)大戰(zhàn)果安裝后門(mén)BO，冰河添加系統(tǒng)賬號(hào)添加管理員賬號(hào)利用LKMLoadableKernelModules動(dòng)態(tài)加載無(wú)需重新編譯內(nèi)核利用信任主機(jī)控制了主機(jī)以后，可以利用該主機(jī)對(duì)其它鄰近和信任主機(jī)進(jìn)行入侵控制了代理服務(wù)器，可以利用該服務(wù)器對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)一步入侵穩(wěn)固和擴(kuò)大戰(zhàn)果安裝后門(mén)29清除日志清除入侵日志W(wǎng)indows清除系統(tǒng)日志清除IIS日志清除FTP日志清除數(shù)據(jù)庫(kù)連接日志Unix登陸信息/var/log/home/user/.bash_historylastlog使管理員無(wú)法發(fā)現(xiàn)系統(tǒng)已被入侵清除日志清除入侵日志30網(wǎng)絡(luò)入侵步驟總覽選中攻擊目標(biāo)獲取普通用戶(hù)權(quán)限擦除入侵痕跡安裝后門(mén)新建帳號(hào)獲取超級(jí)用戶(hù)權(quán)限攻擊其它主機(jī)獲取或修改信息從事其它非法活動(dòng)掃描網(wǎng)絡(luò)利用系統(tǒng)已知的漏洞、通過(guò)輸入?yún)^(qū)向CGI發(fā)送特殊的命令、發(fā)送特別大的數(shù)據(jù)造成緩沖區(qū)溢出、猜測(cè)已知用戶(hù)的口令，從而發(fā)現(xiàn)突破口。網(wǎng)絡(luò)入侵步驟總覽選中攻獲取普通擦除入安裝后門(mén)獲取超級(jí)攻擊其它31IDS工作原理IDS工作原理32入侵檢測(cè)引擎工作流程-1入侵檢測(cè)引擎工作流程-133入侵檢測(cè)引擎工作流程-2監(jiān)聽(tīng)部分網(wǎng)絡(luò)接口混雜模式根據(jù)設(shè)置過(guò)濾一些數(shù)據(jù)包協(xié)議分析IP，IPX，PPP，......數(shù)據(jù)分析根據(jù)相應(yīng)的協(xié)議調(diào)用相應(yīng)的數(shù)據(jù)分析函數(shù)一個(gè)協(xié)議數(shù)據(jù)有多個(gè)數(shù)據(jù)分析函數(shù)處理數(shù)據(jù)分析的方法是入侵檢測(cè)系統(tǒng)的核心引擎管理協(xié)調(diào)和配置給模塊間工作數(shù)據(jù)分析后處理方式AlertLogCallFirewall入侵檢測(cè)引擎工作流程-2監(jiān)聽(tīng)部分34入侵檢測(cè)的分析方式異常檢測(cè)（AnomalyDetection）誤用檢測(cè)（MisuseDetection）完整性分析入侵檢測(cè)的分析方式異常檢測(cè)（AnomalyDetectio35異常檢測(cè)基本原理正常行為的特征輪廓檢查系統(tǒng)的運(yùn)行情況統(tǒng)計(jì)模型優(yōu)點(diǎn)可以檢測(cè)到未知的入侵可以檢測(cè)冒用他人帳號(hào)的行為具有自適應(yīng)，自學(xué)習(xí)功能不需要系統(tǒng)先驗(yàn)知識(shí)缺點(diǎn)漏報(bào)、誤報(bào)率高入侵者可以逐漸改變自己的行為模式來(lái)逃避檢測(cè)合法用戶(hù)正常行為的突然改變也會(huì)造成誤警統(tǒng)計(jì)算法的計(jì)算量龐大，效率很低統(tǒng)計(jì)點(diǎn)的選取和參考庫(kù)的建立比較困難異常檢測(cè)基本原理36誤用檢測(cè)基本原理提前建立已出現(xiàn)的入侵行為特征檢測(cè)當(dāng)前用戶(hù)行為特征模式匹配優(yōu)點(diǎn)算法簡(jiǎn)單系統(tǒng)開(kāi)銷(xiāo)小準(zhǔn)確率高效率高缺點(diǎn)被動(dòng)只能檢測(cè)出已知攻擊新類(lèi)型的攻擊會(huì)對(duì)系統(tǒng)造成很大的威脅模式庫(kù)的建立和維護(hù)難模式庫(kù)要不斷更新知識(shí)依賴(lài)于硬件平臺(tái)、操作系統(tǒng)和系統(tǒng)中運(yùn)行的應(yīng)用程序誤用檢測(cè)基本原理37完整性分析基本原理通過(guò)檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或者系統(tǒng)表，來(lái)檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞優(yōu)點(diǎn)不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn)缺點(diǎn)一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)完整性分析基本原理38入侵檢測(cè)具體方法-1基于統(tǒng)計(jì)方法的入侵檢測(cè)技術(shù)審計(jì)系統(tǒng)實(shí)時(shí)地檢測(cè)用戶(hù)對(duì)系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保持的用戶(hù)行為的概率統(tǒng)計(jì)模型進(jìn)行監(jiān)測(cè)，當(dāng)發(fā)現(xiàn)有可疑的用戶(hù)行為發(fā)生時(shí)，保持跟蹤并監(jiān)測(cè)、記錄該用戶(hù)的行為基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)采用神經(jīng)網(wǎng)絡(luò)技術(shù)，根據(jù)實(shí)時(shí)檢測(cè)到的信息有效地加以處理作出攻擊可能性的判斷基于專(zhuān)家系統(tǒng)的入侵檢測(cè)技術(shù)根據(jù)安全專(zhuān)家對(duì)可疑行為的分析經(jīng)驗(yàn)來(lái)形成一套推理規(guī)則，然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的專(zhuān)家系統(tǒng)，并應(yīng)用于入侵檢測(cè)基于模型推理的入侵檢測(cè)技術(shù)為某些行為建立特定的模型，從而能夠監(jiān)視具有特定行為特征的某些活動(dòng)。根據(jù)假設(shè)的攻擊腳本，這種系統(tǒng)就能檢測(cè)出非法的用戶(hù)行為一般為了準(zhǔn)確判斷，要為不同的攻擊者和不同的系統(tǒng)建立特定的攻擊腳本入侵檢測(cè)具體方法-1基于統(tǒng)計(jì)方法的入侵檢測(cè)技術(shù)39入侵檢測(cè)具體方法-2基于免疫原理的入侵檢測(cè)技術(shù)基于遺傳算法的入侵檢測(cè)技術(shù)基于基于代理檢測(cè)的入侵檢測(cè)技術(shù)基于數(shù)據(jù)挖掘的入侵檢測(cè)技術(shù)入侵檢測(cè)具體方法-2基于免疫原理的入侵檢測(cè)技術(shù)40入侵檢測(cè)響應(yīng)機(jī)制彈出窗口報(bào)警E-mail通知切斷TCP連接執(zhí)行自定義程序與其他安全產(chǎn)品交互FirewallSNMPTrap入侵檢測(cè)響應(yīng)機(jī)制彈出窗口報(bào)警41入侵檢測(cè)標(biāo)準(zhǔn)化入侵檢測(cè)標(biāo)準(zhǔn)化42IDS標(biāo)準(zhǔn)化要求隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)入侵的方式、類(lèi)型、特征各不相同，入侵的活動(dòng)變得復(fù)雜而又難以捉摸某些入侵的活動(dòng)靠單一IDS不能檢測(cè)出來(lái)，如分布式攻擊網(wǎng)絡(luò)管理員常因缺少證據(jù)而無(wú)法追蹤入侵者，入侵者仍然可以進(jìn)行非法的活動(dòng)不同的IDS之間沒(méi)有協(xié)作，結(jié)果造成缺少某種入侵模式而導(dǎo)致IDS不能發(fā)現(xiàn)新的入侵活動(dòng)目前網(wǎng)絡(luò)的安全也要求IDS能夠與訪(fǎng)問(wèn)控制、應(yīng)急、入侵追蹤等系統(tǒng)交換信息，相互協(xié)作，形成一個(gè)整體有效的安全保障系統(tǒng)IDS標(biāo)準(zhǔn)化要求隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)入侵的方式、類(lèi)型、特43CIDFTheCommonIntrusionDetectionFramework,CIDFCIDF是一套規(guī)范，它定義了IDS表達(dá)檢測(cè)信息的標(biāo)準(zhǔn)語(yǔ)言以及IDS組件之間的通信協(xié)議符合CIDF規(guī)范的IDS可以共享檢測(cè)信息，相互通信，協(xié)同工作，還可以與其它系統(tǒng)配合實(shí)施統(tǒng)一的配置響應(yīng)和恢復(fù)策略CIDF的主要作用在于集成各種IDS使之協(xié)同工作，實(shí)現(xiàn)各IDS之間的組件重用，所以CIDF也是構(gòu)建分布式IDS的基礎(chǔ)CIDFTheCommonIntrusionDetec44CIDF規(guī)格文檔體系結(jié)構(gòu)闡述了一個(gè)標(biāo)準(zhǔn)的IDS的通用模型規(guī)范語(yǔ)言定義了一個(gè)用來(lái)描述各種檢測(cè)信息的標(biāo)準(zhǔn)語(yǔ)言?xún)?nèi)部通訊定義了IDS組件之間進(jìn)行通信的標(biāo)準(zhǔn)協(xié)議程序接口提供了一整套標(biāo)準(zhǔn)的應(yīng)用程序接口CIDF規(guī)格文檔體系結(jié)構(gòu)45CIDF的體系結(jié)構(gòu)示意圖CIDF的體系結(jié)構(gòu)示意圖46CIDF的體系結(jié)構(gòu)事件產(chǎn)生器信息收集，即從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件事件分析器信息分析，即分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果響應(yīng)單元結(jié)果處理，即對(duì)分析結(jié)果作出反應(yīng)。切斷連接改變文件屬性發(fā)動(dòng)對(duì)攻擊者的反擊報(bào)警……事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱(chēng)可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件CIDF的體系結(jié)構(gòu)事件產(chǎn)生器47演講完畢，謝謝觀(guān)看！演講完畢，謝謝觀(guān)看！48網(wǎng)絡(luò)安全入侵檢測(cè)網(wǎng)絡(luò)安全入侵檢測(cè)49網(wǎng)絡(luò)安全的構(gòu)成物理安全性設(shè)備的物理安全：防火、防盜、防破壞等通信網(wǎng)絡(luò)安全性防止入侵和信息泄露系統(tǒng)安全性計(jì)算機(jī)系統(tǒng)不被入侵和破壞用戶(hù)訪(fǎng)問(wèn)安全性通過(guò)身份鑒別和訪(fǎng)問(wèn)控制，阻止資源被非法用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)安全性數(shù)據(jù)的完整、可用數(shù)據(jù)保密性信息的加密存儲(chǔ)和傳輸網(wǎng)絡(luò)安全的構(gòu)成物理安全性50安全的分層結(jié)構(gòu)和主要技術(shù)物理安全層網(wǎng)絡(luò)安全層系統(tǒng)安全層用戶(hù)安全層應(yīng)用安全層數(shù)據(jù)安全層加密訪(fǎng)問(wèn)控制授權(quán)用戶(hù)/組管理單機(jī)登錄身份認(rèn)證反病毒風(fēng)險(xiǎn)評(píng)估入侵檢測(cè)審計(jì)分析安全的通信協(xié)議VPN防火墻存儲(chǔ)備份安全的分層結(jié)構(gòu)和主要技術(shù)物理安全層網(wǎng)絡(luò)安全層系統(tǒng)安全層用戶(hù)安51主要的傳統(tǒng)安全技術(shù)加密消息摘要、數(shù)字簽名身份鑒別：口令、鑒別交換協(xié)議、生物特征訪(fǎng)問(wèn)控制安全協(xié)議：IPSec、SSL網(wǎng)絡(luò)安全產(chǎn)品與技術(shù)：防火墻、VPN內(nèi)容控制:防病毒、內(nèi)容過(guò)濾等“預(yù)防（prevention）”和“防護(hù)（protection）”的思想主要的傳統(tǒng)安全技術(shù)加密“預(yù)防（prevention）”和“防52傳統(tǒng)安全技術(shù)的局限性傳統(tǒng)的安全技術(shù)采用嚴(yán)格的訪(fǎng)問(wèn)控制和數(shù)據(jù)加密策略來(lái)防護(hù)在復(fù)雜系統(tǒng)中，這些策略是不充分的這些措施都是以減慢交易為代價(jià)的大部分損失是由內(nèi)部引起的82%的損失是內(nèi)部威脅造成的傳統(tǒng)安全技術(shù)難于防內(nèi)傳統(tǒng)的安全技術(shù)基本上是一種被動(dòng)的防護(hù)，而如今的攻擊和入侵要求我們主動(dòng)地去檢測(cè)、發(fā)現(xiàn)和排除安全隱患傳統(tǒng)安全措施不能滿(mǎn)足這一點(diǎn)傳統(tǒng)安全技術(shù)的局限性傳統(tǒng)的安全技術(shù)采用嚴(yán)格的訪(fǎng)問(wèn)控制和數(shù)據(jù)加53入侵檢測(cè)系統(tǒng)概述入侵檢測(cè)系統(tǒng)概述54入侵檢測(cè)系統(tǒng)的定義入侵（Intrusion）企圖進(jìn)入或?yàn)E用計(jì)算機(jī)或網(wǎng)絡(luò)系統(tǒng)的行為可能來(lái)自于網(wǎng)絡(luò)內(nèi)部的合法用戶(hù)入侵檢測(cè)（IntrusionDetection）對(duì)系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）定義：進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)功能：監(jiān)控計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中發(fā)生的事件，根據(jù)規(guī)則進(jìn)行安全審計(jì)入侵檢測(cè)系統(tǒng)的定義入侵（Intrusion）55為什么需要入侵檢測(cè)系統(tǒng)入侵很容易入侵教程隨處可見(jiàn)各種工具唾手可得防火墻不能保證絕對(duì)的安全網(wǎng)絡(luò)邊界的設(shè)備自身可以被攻破對(duì)某些攻擊保護(hù)很弱不是所有的威脅來(lái)自防火墻外部防火墻是鎖，入侵檢測(cè)系統(tǒng)是監(jiān)視器入侵檢測(cè)系統(tǒng)IDS通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象為什么需要入侵檢測(cè)系統(tǒng)入侵很容易56入侵檢測(cè)的任務(wù)檢測(cè)來(lái)自?xún)?nèi)部的攻擊事件和越權(quán)訪(fǎng)問(wèn)85％以上的攻擊事件來(lái)自于內(nèi)部的攻擊防火墻只能防外，難于防內(nèi)入侵檢測(cè)系統(tǒng)作為傳統(tǒng)安全工具的一個(gè)有效的補(bǔ)充入侵檢測(cè)系統(tǒng)可以有效的防范防火墻開(kāi)放的服務(wù)入侵通過(guò)事先發(fā)現(xiàn)風(fēng)險(xiǎn)來(lái)阻止入侵事件的發(fā)生，提前發(fā)現(xiàn)試圖攻擊或?yàn)E用網(wǎng)絡(luò)系統(tǒng)的人員檢測(cè)其它安全工具沒(méi)有發(fā)現(xiàn)的網(wǎng)絡(luò)工具事件提供有效的審計(jì)信息，詳細(xì)記錄黑客的入侵過(guò)程，從而幫助管理員發(fā)現(xiàn)網(wǎng)絡(luò)的脆弱性入侵檢測(cè)的任務(wù)檢測(cè)來(lái)自?xún)?nèi)部的攻擊事件和越權(quán)訪(fǎng)問(wèn)57入侵檢測(cè)相關(guān)術(shù)語(yǔ)IDS(IntrusionDetectionSystems)入侵檢測(cè)系統(tǒng)Promiscuous混雜模式，即IDS網(wǎng)絡(luò)接口可以看到網(wǎng)段中所有的網(wǎng)絡(luò)通信量，不管其來(lái)源或目的地Signatures特征，即攻擊的特征Alerts警告Anomaly異常Console控制臺(tái)Sensor傳感器，即檢測(cè)引擎入侵檢測(cè)相關(guān)術(shù)語(yǔ)IDS(IntrusionDetectio58入侵檢測(cè)系統(tǒng)分類(lèi)-1按照數(shù)據(jù)來(lái)源：基于主機(jī)系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)基于網(wǎng)絡(luò)系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行入侵檢測(cè)系統(tǒng)分類(lèi)-1按照數(shù)據(jù)來(lái)源：59入侵檢測(cè)系統(tǒng)分類(lèi)-2按系統(tǒng)各模塊的運(yùn)行方式集中式系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集分析集中在一臺(tái)主機(jī)上運(yùn)行分布式系統(tǒng)的各個(gè)模塊分布在不同的計(jì)算機(jī)和設(shè)備上根據(jù)時(shí)效性脫機(jī)分析行為發(fā)生后，對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析聯(lián)機(jī)分析在數(shù)據(jù)產(chǎn)生的同時(shí)或者發(fā)生改變時(shí)進(jìn)行分析入侵檢測(cè)系統(tǒng)分類(lèi)-2按系統(tǒng)各模塊的運(yùn)行方式60基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)系統(tǒng):Host-BasedIDS(HIDS)系統(tǒng)安裝在主機(jī)上面，對(duì)本主機(jī)進(jìn)行安全檢測(cè)優(yōu)點(diǎn)審計(jì)內(nèi)容全面，保護(hù)更加周密視野集中適用于加密及交換環(huán)境易于用戶(hù)自定義對(duì)網(wǎng)絡(luò)流量不敏感缺點(diǎn)額外產(chǎn)生的安全問(wèn)題HIDS依賴(lài)性強(qiáng)如果主機(jī)數(shù)目多，代價(jià)過(guò)大不能監(jiān)控網(wǎng)絡(luò)上的情況基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)系統(tǒng):Host-B61基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)：Network-BasedIDS(NIDS)系統(tǒng)安裝在比較重要的網(wǎng)段內(nèi)在共享網(wǎng)段上對(duì)通信數(shù)據(jù)進(jìn)行偵聽(tīng)采集數(shù)據(jù)優(yōu)點(diǎn)檢測(cè)范圍廣，提供對(duì)網(wǎng)絡(luò)通用的保護(hù)無(wú)需改變主機(jī)配置和性能，安裝方便獨(dú)立性，操作系統(tǒng)無(wú)關(guān)性偵測(cè)速度快隱蔽性好較少的監(jiān)測(cè)器，占資源少缺點(diǎn)不能檢測(cè)不同網(wǎng)段的網(wǎng)絡(luò)包很難檢測(cè)復(fù)雜的需要大量計(jì)算的攻擊協(xié)同工作能力弱難以處理加密的會(huì)話(huà)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)：Networ62IDS基本結(jié)構(gòu)入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件信息收集信息分析結(jié)果處理IDS基本結(jié)構(gòu)入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件63信息收集入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶(hù)活動(dòng)的狀態(tài)和行為需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息盡可能擴(kuò)大檢測(cè)范圍從一個(gè)源來(lái)的信息有可能看不出疑點(diǎn)入侵檢測(cè)很大程度上依賴(lài)于收集信息的可靠性和正確性要保證用來(lái)檢測(cè)網(wǎng)絡(luò)系統(tǒng)的軟件的完整性特別是入侵檢測(cè)系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯(cuò)誤的信息信息收集的來(lái)源系統(tǒng)或網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為信息收集入侵檢測(cè)的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、64信息分析分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果模式匹配將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為統(tǒng)計(jì)分析首先給系統(tǒng)對(duì)象（如用戶(hù)、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪(fǎng)問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等）。測(cè)量屬性的平均值和偏差將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀(guān)察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生完整性分析事后分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓脑诎l(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效信息分析分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果65結(jié)果處理結(jié)果處理，即對(duì)分析結(jié)果作出反應(yīng)。切斷連接改變文件屬性發(fā)動(dòng)對(duì)攻擊者的反擊報(bào)警……結(jié)果處理結(jié)果處理，即對(duì)分析結(jié)果作出反應(yīng)。66IDS的組成檢測(cè)引擎控制中心HUB檢測(cè)引擎MonitoredServers控制中心IDS的組成檢測(cè)引擎HUB檢測(cè)引擎MonitoredSer67檢測(cè)引擎的部署位置放在邊界防火墻之內(nèi)放在邊界防火墻之外放在主要的網(wǎng)絡(luò)中樞放在一些安全級(jí)別需求高的子網(wǎng)檢測(cè)引擎的部署位置放在邊界防火墻之內(nèi)68檢測(cè)引擎的部署位置示意圖Internet部署二部署一部署三部署四檢測(cè)引擎的部署位置示意圖Internet部署二部署一部署三部69網(wǎng)絡(luò)入侵技術(shù)網(wǎng)絡(luò)入侵技術(shù)70入侵(Intrusion)入侵是指未經(jīng)授權(quán)蓄意嘗試訪(fǎng)問(wèn)信息、篡改信息，使系統(tǒng)不可靠或不能使用的行為破壞計(jì)算機(jī)或網(wǎng)絡(luò)資源的完整性、機(jī)密性、可用性、可控性入侵者可以是一個(gè)手工發(fā)出命令的人，也可是一個(gè)基于入侵腳本或程序的自動(dòng)發(fā)布命令的計(jì)算機(jī)入侵者可以被分為兩類(lèi):外部的:網(wǎng)絡(luò)外面的侵入者內(nèi)部的:合法使用網(wǎng)絡(luò)的侵入者，包括濫用權(quán)力的人和模仿更改權(quán)力的人(比如使用別人的終端)。80%的安全問(wèn)題同內(nèi)部人有關(guān)入侵(Intrusion)入侵是指未經(jīng)授權(quán)蓄意嘗試訪(fǎng)問(wèn)信息71侵入系統(tǒng)的主要途徑物理侵入侵入者對(duì)主機(jī)有物理進(jìn)入權(quán)限方法如移走磁盤(pán)并在另外的機(jī)器讀/寫(xiě)系統(tǒng)侵入侵入者已經(jīng)擁有在系統(tǒng)的較低權(quán)限侵入者可能利用一個(gè)知名漏洞獲得系統(tǒng)管理員權(quán)限的機(jī)會(huì)遠(yuǎn)程侵入入侵者通過(guò)網(wǎng)絡(luò)遠(yuǎn)程進(jìn)入系統(tǒng)，侵入者從無(wú)特權(quán)開(kāi)始入檢測(cè)系統(tǒng)主要關(guān)心遠(yuǎn)程侵入侵入系統(tǒng)的主要途徑物理侵入72網(wǎng)絡(luò)入侵的一般步驟目標(biāo)探測(cè)和信息收集自身隱藏利用漏洞侵入主機(jī)穩(wěn)固和擴(kuò)大戰(zhàn)果清除日志網(wǎng)絡(luò)入侵的一般步驟目標(biāo)探測(cè)和信息收集73目標(biāo)探測(cè)和信息收集利用掃描器軟件掃描端口掃描漏洞掃描常用掃描器軟件：SATAN，流光，Mscan利用snmp了解網(wǎng)絡(luò)結(jié)構(gòu)搜集網(wǎng)絡(luò)管理信息網(wǎng)絡(luò)管理軟件也成為黑客入侵的一直輔助手段目標(biāo)探測(cè)和信息收集利用掃描器軟件掃描74自身隱藏典型的黑客使用如下技術(shù)來(lái)隱藏IP地址通過(guò)telnet在以前攻克的Unix主機(jī)上跳轉(zhuǎn)通過(guò)終端管理器在windows主機(jī)上跳轉(zhuǎn)配置代理服務(wù)器更高級(jí)的黑客，精通利用電話(huà)交換侵入主機(jī)自身隱藏典型的黑客使用如下技術(shù)來(lái)隱藏IP地址75利用漏洞侵入主機(jī)已經(jīng)利用掃描器發(fā)現(xiàn)漏洞例如CGI/IIS漏洞充分掌握系統(tǒng)信息進(jìn)一步入侵利用漏洞侵入主機(jī)已經(jīng)利用掃描器發(fā)現(xiàn)漏洞76穩(wěn)固和擴(kuò)大戰(zhàn)果安裝后門(mén)BO，冰河添加系統(tǒng)賬號(hào)添加管理員賬號(hào)利用LKMLoadableKernelModules動(dòng)態(tài)加載無(wú)需重新編譯內(nèi)核利用信任主機(jī)控制了主機(jī)以后，可以利用該主機(jī)對(duì)其它鄰近和信任主機(jī)進(jìn)行入侵控制了代理服務(wù)器，可以利用該服務(wù)器對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)一步入侵穩(wěn)固和擴(kuò)大戰(zhàn)果安裝后門(mén)77清除日志清除入侵日志W(wǎng)indows清除系統(tǒng)日志清除IIS日志清除FTP日志清除數(shù)據(jù)庫(kù)連接日志Unix登陸信息/var/log/home/user/.bash_historylastlog使管理員無(wú)法發(fā)現(xiàn)系統(tǒng)已被入侵清除日志清除入侵日志78網(wǎng)絡(luò)入侵步驟總覽選中攻擊目標(biāo)獲取普通用戶(hù)權(quán)限擦除入侵痕跡安裝后門(mén)新建帳號(hào)獲取超級(jí)用戶(hù)權(quán)限攻擊其它主機(jī)獲取或修改信息從事其它非法活動(dòng)掃描網(wǎng)絡(luò)利用系統(tǒng)已知的漏洞、通過(guò)輸入?yún)^(qū)向CGI發(fā)送特殊的命令、發(fā)送特別大的數(shù)據(jù)造成緩沖區(qū)溢出、猜測(cè)已知用戶(hù)的口令，從而發(fā)現(xiàn)突破口。網(wǎng)絡(luò)入侵步驟總覽選中攻獲取普通擦除入安裝后門(mén)獲取超級(jí)攻擊其它79IDS工作原理IDS工作原理80入侵檢測(cè)引擎工作流程-1入侵檢測(cè)引擎工作流程-181入侵檢測(cè)引擎工作流程-2監(jiān)聽(tīng)部分網(wǎng)絡(luò)接口混雜模式根據(jù)設(shè)置過(guò)濾一些數(shù)據(jù)包協(xié)議分析IP，IPX，PPP，......數(shù)據(jù)分析根據(jù)相應(yīng)的協(xié)議調(diào)用相應(yīng)的數(shù)據(jù)分析函數(shù)一個(gè)協(xié)議數(shù)據(jù)有多個(gè)數(shù)據(jù)分析函數(shù)處理數(shù)據(jù)分析的方法是入侵檢測(cè)系統(tǒng)的核心引擎管理協(xié)調(diào)和配置給模塊間工作數(shù)據(jù)分析后處理方式AlertLogCallFirewall入侵檢測(cè)引擎工作流程-2監(jiān)聽(tīng)部分82入侵檢測(cè)的分析方式異常檢測(cè)（AnomalyDetection）誤用檢測(cè)（MisuseDetection）完整性分析入侵檢測(cè)的分析方式異常檢測(cè)（AnomalyDetectio83異常檢測(cè)基本原理正常行為的特征輪廓檢查系統(tǒng)的運(yùn)行情況統(tǒng)計(jì)模型優(yōu)點(diǎn)可以檢測(cè)到未知的入侵可以檢測(cè)冒用他人帳號(hào)的行為具有自適應(yīng)，自學(xué)習(xí)功能不需要系統(tǒng)先驗(yàn)知識(shí)缺點(diǎn)漏報(bào)、誤報(bào)率高入侵者可以逐漸改變自己的行為模式來(lái)逃避檢測(cè)合法用戶(hù)正常行為的突然改變也會(huì)造成誤警統(tǒng)計(jì)算法的計(jì)算量龐大，效率很低統(tǒng)計(jì)點(diǎn)的選取和參考庫(kù)的建立比較困難異常檢測(cè)基本原理84誤用檢測(cè)基本原理提前建立已出現(xiàn)的入侵行為特征檢測(cè)當(dāng)前用戶(hù)行為特征模式匹配優(yōu)點(diǎn)算法簡(jiǎn)單系統(tǒng)開(kāi)銷(xiāo)小準(zhǔn)確率高效率高缺點(diǎn)被動(dòng)只能檢測(cè)出已知攻擊新類(lèi)型的攻擊會(huì)對(duì)系統(tǒng)造成很大的威脅模式庫(kù)的建立和維護(hù)難模式庫(kù)要不斷更新知識(shí)依賴(lài)于硬件平臺(tái)、操作系統(tǒng)和系統(tǒng)中運(yùn)行的應(yīng)用程序誤用檢測(cè)基本原理85完整性分析基本原理通過(guò)檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或者系統(tǒng)表，來(lái)檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞優(yōu)點(diǎn)不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn)缺點(diǎn)一般以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)完整性分析基本原理86入侵檢測(cè)具體方法-1基于統(tǒng)計(jì)方法的入侵檢測(cè)技術(shù)審計(jì)系統(tǒng)實(shí)時(shí)地檢測(cè)用戶(hù)對(duì)系統(tǒng)的使用情況，根據(jù)系統(tǒng)內(nèi)部保持的用戶(hù)行為的概率統(tǒng)計(jì)模型進(jìn)行監(jiān)測(cè)，當(dāng)發(fā)現(xiàn)有可疑