第講入侵檢測系統(tǒng)

第8章入侵檢測技術(shù)什么是入侵監(jiān)測處于防火墻之后對網(wǎng)絡(luò)活動進行實時檢測入侵監(jiān)測系統(tǒng)與傳統(tǒng)的系統(tǒng)掃描器的區(qū)別對入侵行為的發(fā)覺，通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中得若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象IDS的起源和定義兩個階段安全審計IDS的誕生入侵檢測的定義識別針對計算機或網(wǎng)絡(luò)資源的惡意企圖和行為，并對此作出反應(yīng)的過程IDS一般包括個3部分IDS信息的收集和預(yù)處理入侵分析引擎響應(yīng)和恢復(fù)系統(tǒng)入侵檢測的起源審計技術(shù)：產(chǎn)生、記錄并檢查按時間順序排列的系統(tǒng)事件記錄的過程審計的目標確定和保持系統(tǒng)活動中每個人的責任重建事件評估損失監(jiān)測系統(tǒng)的問題區(qū)提供有效的災(zāi)難恢復(fù)阻止系統(tǒng)的不正當使用入侵監(jiān)測的功能監(jiān)測并分析用戶和系統(tǒng)的活動核查系統(tǒng)配置和漏洞評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性識別已知的攻擊行為統(tǒng)計分析異常行為操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動可以確定事件發(fā)生的位置，幫你記錄下攻擊過程，有助于確定解決方案

利用入侵檢測保護網(wǎng)絡(luò)應(yīng)用DMZ

E-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場部人事部路由Internet中繼外部攻擊警告!記錄攻擊外部攻擊終止連接利用入侵檢測保護網(wǎng)絡(luò)應(yīng)用DMZ

E-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場部人事部路由Internet中繼內(nèi)部攻擊行為警告!啟動事件日志,發(fā)送消息利用入侵檢測保護網(wǎng)絡(luò)應(yīng)用DMZ

E-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場部人事部路由Internet中繼外部攻擊商務(wù)伙伴警告!記錄進攻,發(fā)送消息,終止連接外部攻擊中止連接重新配置路由或防火墻以便隱藏IP地址IDSv.s.FirewallSystem防火墻的弱點防火墻只能抵擋外部來的入侵行為防火墻本身可能也存在弱點，以及其他安全性的設(shè)定錯誤即使透過防火墻的保護，合法的使用者仍會非法地使用系統(tǒng)，甚至提升自己的權(quán)限防火墻僅能拒絕非法的連接請求，但是對于入侵者的攻擊行為仍一無所知IDS的重要性防止防火墻和操作系統(tǒng)與應(yīng)用程序的設(shè)定不當監(jiān)測某些被防火墻認為是正常連接的外部入侵了解和觀察入侵的行為意圖，并收集其入侵方式的資料監(jiān)測內(nèi)部使用者的不當行為及時阻止惡意的網(wǎng)絡(luò)行為IDS的分類根據(jù)資料收集的方式區(qū)分網(wǎng)絡(luò)級IDS Network-BasedIDS主機級IDS Host-BasedIDS混合入侵檢測根據(jù)所使用的監(jiān)測方式區(qū)分誤用監(jiān)測型IDS MisuseIDS異常監(jiān)測型IDS AnomalyIDS網(wǎng)絡(luò)級IDS網(wǎng)絡(luò)級IDS能夠截獲網(wǎng)絡(luò)中的數(shù)據(jù)包，提取其特征并與知識庫中已知的攻擊簽名相比較從而達到檢測的目的會掃描整個網(wǎng)段中所有傳輸?shù)男畔泶_定網(wǎng)絡(luò)中實時的活動同時充當管理者和代理的身份很容易安裝和實施性能網(wǎng)絡(luò)入侵檢測產(chǎn)品的架構(gòu)傳感器(Sensor)傳感器負責采集數(shù)據(jù)(網(wǎng)絡(luò)包、系統(tǒng)日志等)、分析數(shù)據(jù)并生成安全事件控制臺(Console)控制臺主要起到中央管理的作用，商品化的產(chǎn)品通常提供圖形界面的控制臺，這些控制臺基本上都支持WindowsNT平臺利用入侵檢測保護網(wǎng)絡(luò)應(yīng)用DMZ

E-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場部人事部路由Internet中繼外部攻擊警告!記錄攻擊外部攻擊終止連接利用入侵檢測保護網(wǎng)絡(luò)應(yīng)用DMZ

E-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場部人事部路由Internet中繼內(nèi)部攻擊行為警告!啟動事件日志,發(fā)送消息利用技入侵停檢測門保護再網(wǎng)絡(luò)蘆應(yīng)用DM謹ZE-喜Ma暴il案F厲il逆e甘Tr動an峰sf近erHT伍TPIn塌tr拾an惑et企業(yè)僚網(wǎng)絡(luò)生產(chǎn)畫部工程蔑部市場跪部人事后部路由In腥te秒rn莖et中繼外部攻擊商務(wù)伙伴警告!記錄進攻,發(fā)送消息,終止連接外部攻擊中止連接重新配置路由或防火墻以便隱藏IP地址InternetDe箭sk汪to捧psWe府b統(tǒng)Se餃rv植er俯sTe拆le憶co賢mm園ut扒er伴sCu旅st近om株er樸sSe某rv姿er粥sNe諷tw終or絹kBr鳳an云ch嘉O學(xué)ff割ic劃ePa曬rt亮ne飲rsNe辰tw乏or稀k-酒ba好se債d糞ID仗SNe亞tw雜or菊k-標ba請se毒d體ID傘SNe戀tw頌or胃k-里ba屢se眠d渴ID捉SNe旦tw動or未k-如ba湯se腔d入侵檢測In鑼te浮rn綁etNI黃DS網(wǎng)絡(luò)洲服務(wù)要器1數(shù)據(jù)秀包=包頭考信息+有效矮數(shù)據(jù)飼部分客戶焦端網(wǎng)絡(luò)顏服務(wù)鋪器2X檢測諒內(nèi)容楚：包頭隨信息+有效痛數(shù)據(jù)銷部分基于鞭網(wǎng)絡(luò)懸入侵滋檢測生系統(tǒng)晌工作統(tǒng)原理網(wǎng)絡(luò)辭級ID診S的優(yōu)點成本較低可監(jiān)測到主機潑級ID慚S監(jiān)測不到段的活動黑客消樸除入侵除證據(jù)摸較困退難可監(jiān)測到未骨成功犁或惡意的入囑侵攻擊與操挖作系旋統(tǒng)無燃關(guān)網(wǎng)絡(luò)蹲級ID蒼S的缺點若網(wǎng)絡(luò)的規(guī)模歲過大，ID版S往往會丟陪失許多意包，無法完全監(jiān)控扶網(wǎng)絡(luò)上所聯(lián)有的數(shù)據(jù)若要采集大型網(wǎng)絡(luò)上的棒流量并加吉以分析查，往方往需牙要更狹有效質(zhì)率的CP存U處理速度碼，以梁及更擋大的內(nèi)存空間Se踏ss算io綱n麗Wa塞ll主機停級ID頌S分析奶所需都數(shù)據(jù)撒來自歷主機志系統(tǒng)勇，通宮常是遺系統(tǒng)瓣日志元和審流計記釋錄通常喬需要條在受霜保護粥的主萍機上總安裝和專門滔的檢過測代鍬理(A礙ge敬nt劉)特殊窄的考檔慮管理紗者和遣代理榮的比胃例理想麥的代北理布戰(zhàn)局管理沃者和估代理澆的通衫信InternetDe藍sk念to烘psWe榆b含Se客rv尋er晃sTe主le恒co拴mm鉗ut凳er殘sCu訊st沒om奏er獨sSe黨rv脖er洞sNe誰tw脖or覆kBr好an省ch碼O辱ff視ic山ePa梳rt咱ne治rsHa直ck他erHo炮st悼-b樂as否ed馬I再DSHo刮st診-b贊as憲ed粘I仁DSHo卷st撲-b拐as碑ed入侵檢測In很te羊rn賺et網(wǎng)絡(luò)旦服務(wù)抖器1客戶墳端網(wǎng)絡(luò)王服務(wù)啄器2X檢測明內(nèi)容訊：系統(tǒng)辮調(diào)用監(jiān)、端庭口調(diào)婚用、慈系統(tǒng)閘日志搏、安沿全審碰記、壓應(yīng)用要日志HI幸DSXHI夕DS基于督主機權(quán)入侵傷檢測山系統(tǒng)姜工作每原理主機永級ID磨S的優(yōu)點確認駝黑客是鼓否成奔功入降侵監(jiān)測特定在主機系祝統(tǒng)的活動彌補算網(wǎng)絡(luò)魚級ID逢S錯失券監(jiān)測的入納侵事忙件較適臺合有加抱密及交換廈機﹝S從wi哄tc梅h﹞的環(huán)境實時（Ne膏arre目al哲ti償me）的監(jiān)測權(quán)與反攪應(yīng)不需闊另外手增加硬件低設(shè)備主機寬級ID枝S的缺點所有兵的主機可能期安裝溉不同詞版本終或完濾全不擦同的操作且系統(tǒng)，而這些操作椅系統(tǒng)有各種不同頸的審核勁記錄，因泰此必咱須針對各不娃同主機安裝各種HI滾DS入侵稅者可宿能經(jīng)由其迅他的系棋統(tǒng)漏洞飼入侵并得到系統(tǒng)管理員權(quán)牙限，那么將會導(dǎo)致HI襯DS失去訂其效臂用Ho委st陽-b洞as瓦edID道Ss可能會因為de過ni巷al累-o提f-砍se愧rv鬼ic俗e而失銷去作膛用網(wǎng)絡(luò)軟節(jié)點臟入侵近檢(N銀NI娃D(zhuǎn)S魚)也稱強為St訪ac咽k-繳Ba在se勒d占ID鏡S安裝吊在網(wǎng)苗絡(luò)節(jié)假點的主主機你中結(jié)合撇了NI巖DS和HI梨DS的技浩術(shù)適合葛于高貼速交孝換環(huán)飛境和誓加密建數(shù)據(jù)另一燭種分通類方勞法誤用隨檢測梯型(M殲is患us籌e區(qū)De冒te據(jù)ct溪io聚n)通過勺對比五已知傍攻擊欺手段驗及系晚統(tǒng)漏傳洞的息簽名匙特征紐奉來判匆斷系轎統(tǒng)中很是否譯有入顛侵發(fā)忠生。對于江已知弟的攻喬擊類凡型非歐常有上效對攻街擊的地變種澤和新莖的攻伏擊幾侮乎無港能為駁力異常錯檢測漲型(An膽om欺alDe謎te售ct撥io泛n)利用悅統(tǒng)計今的方典法來老檢測抱系統(tǒng)范的異耕常行稠為有效演性與愧誤用痕檢測墻型剛襪好相會反ID榆S的部損署NI茶DS的位斗置必貝須要敢看到承所有儀數(shù)據(jù)棕包共享帥媒介HU歪B交換答環(huán)境隱蔽似模式千兆屑網(wǎng)分布捕式結(jié)賴構(gòu)Se置ns茫orCo端ns突ol浪e共享借網(wǎng)絡(luò)擇中的己部署集線帖器ID熟S航Se移ns炕or受監(jiān)栗控的熄服務(wù)移器控制賀臺交換掏環(huán)境睬中NI銳DS的部謹署交換希機ID譽S目Se越ns母or受監(jiān)名控的浩服務(wù)半器控制覽臺ID誦S在網(wǎng)果絡(luò)中裹的位隔置示瓜例InternetDB區(qū)域1區(qū)域5區(qū)域4區(qū)域3區(qū)域2We創(chuàng)b服務(wù)率器Ma孩il服務(wù)駛器服務(wù)泡器人事挽部研發(fā)當部非信任域信任域ID電S原理頭和配堡置ID謊S的數(shù)梢據(jù)源ID先S模型ID素S技術(shù)夸細節(jié)入侵虜檢測筍技術(shù)心發(fā)展桑方向ID支S存在堡的問舒題ID傻S躲避喘技術(shù)ID孝S的數(shù)儀據(jù)源入侵郊檢測危的第饒一步入侵奶檢測塵利用夏的數(shù)插據(jù)一車般來鈔自以零下幾牲個信臂息源主機語系統(tǒng)剃信息網(wǎng)絡(luò)逆信息其他喘安全便產(chǎn)品入侵策檢測番技術(shù)如發(fā)展沸方向發(fā)展羽與演抱化主體要反盟映:入侵喪或攻垃擊的英綜合顫化與叉復(fù)雜擋化入侵銹主體模對象探的間休接化入侵肆或攻塘擊的過規(guī)模爽擴大入侵剃或攻淚擊技旅術(shù)的溉分布桿化攻擊嫩對象雁的轉(zhuǎn)謙移發(fā)展標傾向分布認式入霜侵檢燈測智能盼化入籮侵檢全面仇的安佩全防狹御方抱案入侵請檢測栽應(yīng)該樂與操模作系爛統(tǒng)綁資定ID博S發(fā)展塌方向?qū)W術(shù)癢界re倡ta相l(xiāng)i誓at迷io注n神經(jīng)歇網(wǎng)絡(luò)數(shù)據(jù)菠挖掘仰（Da掀ta所M脅in智in告g）工業(yè)愧界檢測便算法關(guān)聯(lián)撐性（co膊rr類el權(quán)at滅io讀n）千兆裹網(wǎng)絡(luò)ID秩SID燥S存在躁的問隨題ID額S技術(shù)側(cè)主要桌面臨籠著三液大挑尊戰(zhàn)如何借提高孟入侵攝檢測徐系統(tǒng)這的檢憐測速疤度，犁以適椒應(yīng)網(wǎng)通絡(luò)通壞信的乓要求如何避減少懼入侵泄檢測音系統(tǒng)顛的漏玻報和莖誤報驢，提惕高其湖安全拿性和增準確追度提高歲入侵滔檢測謎系統(tǒng)姓的互圓動性啊能，犁從而涌提高洪整個距系統(tǒng)黎的安童全性念能解析ID門S誤報ID校S誤報里的典濃型情蟻況解決慮誤報貢和誤跪警問書題的腎對策將基思于異裙常的盾技術(shù)屋和傳纖統(tǒng)的轟基于凍特征距的技衰術(shù)相載結(jié)合將協(xié)疏議分治析技顯術(shù)與釘和傳誕統(tǒng)的靈基于儀特征甩的技讀術(shù)相陶結(jié)合強化ID逼S的安骨全管碰理功翅能ID刮S躲避榆技術(shù)字符展串匹掘配的窯弱點多變sh伙el悔l代碼(p蓄ol感ym嘗or境ph賊ic證s徐he議ll火c宴od頑e)會話版拼接(s春es賄si評on訂s賊pl對ic型in榜g)碎片飼攻擊碎片龍覆蓋碎片詠數(shù)據(jù)耳覆蓋碎片割超時拒絕咬服務(wù)入侵節(jié)檢測俊產(chǎn)品Ax丙en要tIn貸tr貝ud饞erAl穩(wěn)er名t(蓮ht朱tp如:/秀/w蔽ww伴.a汽xe挑nt訓(xùn).c灑om/)Ci撈sc住oNe縣tR頌an尺ge變r(滿ht睛tp住:/秩/w祝ww火.c捐is抱co痛.c鄉(xiāng)豐om/)IS咳SRe憲al州Se怠cu仰re模(h禁tt可p:宅//賤ww麻w.壓is伏s.婆ne稅t/)Co也mp匆ut輕er嫂A瘦ss訓(xùn)oc本ia法te齒s’eT蘭ru教stIn匯tr燒us米io成n矮De使te潮ct掘io候n(講fo摘rm擱er幸lySe隙ss味io慮nW召al渣l3)Co繪mp艇u