入侵檢測系統(tǒng)演示文稿

入侵檢測系統(tǒng)演示文稿當前第1頁\共有42頁\編于星期二\2點入侵檢測系統(tǒng)當前第2頁\共有42頁\編于星期二\2點黑客攻擊日益猖獗,防范問題日趨嚴峻政府、軍事、郵電和金融網(wǎng)絡是黑客攻擊的主要目標。即便已經(jīng)擁有高性能防火墻等安全產(chǎn)品，依然抵擋不住這些黑客對網(wǎng)絡和系統(tǒng)的破壞。據(jù)統(tǒng)計，幾乎每20秒全球就有一起黑客事件發(fā)生，僅美國每年所造成的經(jīng)濟損失就超過100億美元。當前第3頁\共有42頁\編于星期二\2點網(wǎng)絡入侵的特點網(wǎng)絡入侵的特點沒有地域和時間的限制；通過網(wǎng)絡的攻擊往往混雜在大量正常的網(wǎng)絡活動之間，隱蔽性強；入侵手段更加隱蔽和復雜。當前第4頁\共有42頁\編于星期二\2點為什么需要IDS？單一防護產(chǎn)品的弱點防御方法和防御策略的有限性動態(tài)多變的網(wǎng)絡環(huán)境來自外部和內(nèi)部的威脅當前第5頁\共有42頁\編于星期二\2點為什么需要IDS？關于防火墻網(wǎng)絡邊界的設備，只能抵擋外部來的入侵行為自身存在弱點，也可能被攻破對某些攻擊保護很弱即使透過防火墻的保護，合法的使用者仍會非法地使用系統(tǒng)，甚至提升自己的權限僅能拒絕非法的連接請求，但是對于入侵者的攻擊行為仍一無所知當前第6頁\共有42頁\編于星期二\2點為什么需要IDS？入侵很容易入侵教程隨處可見各種工具唾手可得當前第7頁\共有42頁\編于星期二\2點入侵檢測的概念入侵檢測（IntrusionDetection）：通過從計算機網(wǎng)絡或計算機系統(tǒng)的關鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測系統(tǒng)（IDS）：入侵檢測系統(tǒng)是軟件與硬件的組合，是防火墻的合理補充，是防火墻之后的第二道安全閘門。入侵檢測的內(nèi)容：試圖闖入、成功闖入、冒充其他用戶、違反安全策略、合法用戶的泄漏、獨占資源以及惡意使用。當前第8頁\共有42頁\編于星期二\2點入侵檢測的職責IDS系統(tǒng)主要有兩大職責：實時檢測和安全審計，具體包含4個方面的內(nèi)容識別黑客常用入侵與攻擊監(jiān)控網(wǎng)絡異常通信鑒別對系統(tǒng)漏洞和后門的利用完善網(wǎng)絡安全管理

當前第9頁\共有42頁\編于星期二\2點入侵檢測系統(tǒng)的功能監(jiān)控用戶和系統(tǒng)的活動查找非法用戶和合法用戶的越權操作檢測系統(tǒng)配置的正確性和安全漏洞評估關鍵系統(tǒng)和數(shù)據(jù)的完整性識別攻擊的活動模式并向網(wǎng)管人員報警對用戶的非正?；顒舆M行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律操作系統(tǒng)審計跟蹤管理，識別違反政策的用戶活動檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性當前第10頁\共有42頁\編于星期二\2點入侵檢測系統(tǒng)模型(Denning)當前第11頁\共有42頁\編于星期二\2點入侵檢測系統(tǒng)模型(CIDF)當前第12頁\共有42頁\編于星期二\2點入侵檢測系統(tǒng)的組成特點入侵檢測系統(tǒng)一般是由兩部分組成：控制中心和探測引擎?？刂浦行臑橐慌_裝有控制軟件的主機，負責制定入侵監(jiān)測的策略，收集來自多個探測引擎的上報事件，綜合進行事件分析，以多種方式對入侵事件作出快速響應。探測引擎負責收集數(shù)據(jù)，作處理后，上報控制中心?？刂浦行暮吞綔y引擎是通過網(wǎng)絡進行通訊的，這些通訊的數(shù)據(jù)一般經(jīng)過數(shù)據(jù)加密。當前第13頁\共有42頁\編于星期二\2點入侵檢測的工作過程信息收集檢測引擎從信息源收集系統(tǒng)、網(wǎng)絡、狀態(tài)和行為信息。信息分析從信息中查找和分析表征入侵的異常和可疑信息。告警與響應根據(jù)入侵性質(zhì)和類型，做出相應的告警和響應。當前第14頁\共有42頁\編于星期二\2點信息收集入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為需要在計算機網(wǎng)絡系統(tǒng)中的若干不同關鍵點（不同網(wǎng)段和不同主機）收集信息，這樣做的理由就是從一個來源的信息有可能看不出疑點，但從幾個來源的信息的不一致性卻是可疑行為或入侵的最好標識。當前第15頁\共有42頁\編于星期二\2點信息收集入侵檢測的效果很大程度上依賴于收集信息的可靠性和正確性要保證用來檢測網(wǎng)絡系統(tǒng)的軟件的完整性特別是入侵檢測系統(tǒng)軟件本身應具有相當強的堅固性，防止被篡改而收集到錯誤的信息當前第16頁\共有42頁\編于星期二\2點信息收集系統(tǒng)和網(wǎng)絡日志文件目錄和文件中的不期望的改變程序執(zhí)行中的不期望行為物理形式的入侵信息當前第17頁\共有42頁\編于星期二\2點信息分析模式匹配----誤用檢測（MisuseDetection）維護一個入侵特征知識庫準確性高統(tǒng)計分析--------異常檢測（AnomalyDetection）統(tǒng)計模型誤報、漏報較多完整性分析關注某個文件或?qū)ο笫欠癖桓氖潞蠓治?8當前第18頁\共有42頁\編于星期二\2點模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為一般來講，一種攻擊模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權限）來表示。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規(guī)的數(shù)學表達式來表示安全狀態(tài)的變化）當前第19頁\共有42頁\編于星期二\2點統(tǒng)計分析統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）測量屬性的平均值和偏差被用來與網(wǎng)絡、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生當前第20頁\共有42頁\編于星期二\2點完整性分析完整性分析主要關注某個文件或?qū)ο笫欠癖桓陌ㄎ募湍夸浀膬?nèi)容及屬性在發(fā)現(xiàn)被更改的、被安裝木馬的應用程序方面特別有效當前第21頁\共有42頁\編于星期二\2點響應動作主動響應被動響應當前第22頁\共有42頁\編于星期二\2點入侵檢測性能關鍵參數(shù)誤報(falsepositive)：如果系統(tǒng)錯誤地將異?；顒佣x為入侵漏報(falsenegative)：如果系統(tǒng)未能檢測出真正的入侵行為當前第23頁\共有42頁\編于星期二\2點入侵檢測系統(tǒng)分類（一）按照分析方法（檢測方法）異常檢測模型（AnomalyDetection):首先總結(jié)正常操作應該具有的特征（用戶輪廓），當用戶活動與正常行為有重大偏離時即被認為是入侵誤用檢測模型（MisuseDetection)：收集非正常操作的行為特征，建立相關的特征庫，當監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認為這種行為是入侵24當前第24頁\共有42頁\編于星期二\2點異常檢測模型如果系統(tǒng)錯誤地將異?；顒佣x為入侵，稱為誤報(falsepositive)；如果系統(tǒng)未能檢測出真正的入侵行為則稱為漏報(falsenegative)。特點：異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率。因為不需要對每種入侵行為進行定義，因此能有效檢測未知的入侵。同時系統(tǒng)能針對用戶行為的改變進行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統(tǒng)資源。當前第25頁\共有42頁\編于星期二\2點誤用檢測模型如果入侵特征與正常的用戶行為能匹配，則系統(tǒng)會發(fā)生誤報；如果沒有特征能與某種新的攻擊行為匹配，則系統(tǒng)會發(fā)生漏報。特點：采用特征匹配，誤用檢測能明顯降低錯報率，但漏報率隨之增加。攻擊特征的細微變化，會使得誤用檢測無能為力。當前第26頁\共有42頁\編于星期二\2點入侵檢測系統(tǒng)分類（二）根據(jù)檢測對象分類基于主機的IDS（Host-BasedIDS）HIDS一般主要使用操作系統(tǒng)的審計日志作為主要數(shù)據(jù)源輸入，試圖從日志判斷濫用和入侵事件的線索?；诰W(wǎng)絡的IDS（Network-BasedIDS）NIDS在計算機網(wǎng)絡中的關鍵點被動地監(jiān)聽網(wǎng)絡上傳輸?shù)脑剂髁?，對獲取的網(wǎng)絡數(shù)據(jù)進行分析處理，從中獲取有用的信息，以識別、判定攻擊事件?；旌闲虸DS當前第27頁\共有42頁\編于星期二\2點基于網(wǎng)絡的IDS（NIDS）是網(wǎng)絡上的一個監(jiān)聽設備通過網(wǎng)絡適配器捕獲數(shù)據(jù)包并分析數(shù)據(jù)包根據(jù)判斷方法分為基于知識的數(shù)據(jù)模式判斷和基于行為的行為判斷方法能夠檢測超過授權的非法訪問IDS發(fā)生故障不會影響正常業(yè)務的運行配置簡單當前第28頁\共有42頁\編于星期二\2點基于主機的IDS（HIDS）HIDS是配置在被保護的主機上的，用來檢測針對主機的入侵和攻擊主要分析的數(shù)據(jù)包括主機的網(wǎng)絡連接狀態(tài)、審計日志、系統(tǒng)日志。實現(xiàn)原理配置審計信息系統(tǒng)對審計數(shù)據(jù)進行分析(日志文件)當前第29頁\共有42頁\編于星期二\2點NIDS和HIDS比較當前第30頁\共有42頁\編于星期二\2點入侵檢測的分類(混合IDS)基于網(wǎng)絡的入侵檢測產(chǎn)品和基于主機的入侵檢測產(chǎn)品都有不足之處，單純使用一類產(chǎn)品會造成主動防御體系不全面。但是，它們的缺憾是互補的。如果這兩類產(chǎn)品能夠無縫結(jié)合起來部署在網(wǎng)絡內(nèi)，則會構架成一套完整立體的主動防御體系，綜合了基于網(wǎng)絡和基于主機兩種結(jié)構特點的入侵檢測系統(tǒng)，既可發(fā)現(xiàn)網(wǎng)絡中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。當前第31頁\共有42頁\編于星期二\2點入侵檢測系統(tǒng)分類（三）根據(jù)系統(tǒng)工作方式來分：在線入侵檢測(IPS)，一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機的連接，并收集證據(jù)和實施數(shù)據(jù)恢復。這個檢測過程是不斷循環(huán)進行的。離線入侵檢測，根據(jù)計算機系統(tǒng)對用戶操作所做的歷史審計記錄判斷用戶是否具有入侵行為，如果有就斷開連接，并記錄入侵證據(jù)和進行數(shù)據(jù)恢復。當前第32頁\共有42頁\編于星期二\2點入侵檢測的部署IDS的部署模式：共享媒介HUB交換環(huán)境隱蔽模式Tap模式In-line模式當前第33頁\共有42頁\編于星期二\2點入侵檢測的部署檢測器部署位置放在邊界防火墻之內(nèi)放在邊界防火墻之外放在主要的網(wǎng)絡中樞放在一些安全級別需求高的子網(wǎng)當前第34頁\共有42頁\編于星期二\2點入侵檢測的部署部署一Internet部署二部署三部署四當前第35頁\共有42頁\編于星期二\2點入侵檢測的部署檢測器放置于防火墻的DMZ區(qū)域可以查看受保護區(qū)域主機被攻擊狀態(tài)可以看出防火墻系統(tǒng)的策略是否合理可以看出DMZ區(qū)域被黑客攻擊的重點當前第36頁\共有42頁\編于星期二\2點入侵檢測的部署檢測器放置于路由器和邊界防火墻之間可以審計所有來自Internet上面對保護網(wǎng)絡的攻擊數(shù)目可以審計所有來自Internet上面對保護網(wǎng)絡的攻擊類型當前第37頁\共有42頁\編于星期二\2點入侵檢測的部署檢測器放在主要的網(wǎng)絡中樞監(jiān)控大量的網(wǎng)絡數(shù)據(jù)，可提高檢測黑客攻擊的可能性可通過授權用戶的權利周界來發(fā)現(xiàn)未授權用戶的行為當前第38頁\共有42頁\編于星期二\2點當前主流產(chǎn)品介紹ComputerAssociates公司SessionWall-3/eTrustIntrusionDetectionCisco公司NetRangerIDSIntrusionDetection公司KaneSecurityMonitorAxentTechnologies公司OmniGuard/IntruderAlert當前第39頁\共有42頁\編于星期二\2點當前主流產(chǎn)品介紹InternetSecuritySystem公司RealSecureNFR公司IntrusionDetectionApplicance4.0中科網(wǎng)威“天眼”入侵檢測系統(tǒng)啟明星辰SkyBell(天闐）免費開源軟件snort當前第40頁\共有42頁\編于星期二\2點入侵測系統(tǒng)的優(yōu)點入侵