第二十三章入侵檢測

第二十三章入侵檢測第1頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測入侵檢測原理入侵檢測技術(shù)分析入侵檢測系統(tǒng)LINUX下的入侵檢測系統(tǒng)基于用戶特征分析的入侵檢測系統(tǒng)入侵檢測發(fā)展方向第2頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測原理原則基本入侵檢測入侵檢測理論模型第3頁，課件共26頁，創(chuàng)作于2023年2月原則一個能夠抵抗入侵的計算機(jī)系統(tǒng)將表現(xiàn)出以下特性：用戶以及應(yīng)用的過程將被限制在一種可以預(yù)知的模式下。當(dāng)用戶運(yùn)行了一個簡單程序后不會使系統(tǒng)進(jìn)入一種維護(hù)狀態(tài)。用戶以及應(yīng)用過程將不允許包含破壞系統(tǒng)安全的命令序列，理論上來說，所有這種序列都應(yīng)該排除。實(shí)際上，只有被列入安全系統(tǒng)的序列才能被檢測到。所有的應(yīng)用過程都必須遵守操作的具體規(guī)范，只有系統(tǒng)允許運(yùn)行時才可以。第4頁，課件共26頁，創(chuàng)作于2023年2月基本入侵檢測網(wǎng)絡(luò)攻擊變的越來越復(fù)雜而且自動化程度越來越高，一個復(fù)雜的進(jìn)攻并不一定是由一個有經(jīng)驗(yàn)的入侵者發(fā)動的定義：一個入侵工具是一種用來破壞系統(tǒng)安全的自動化的腳本入侵工具絕對不是更改入侵檢測的本質(zhì)。他們排除了許多由于不正確安裝而造成的錯誤。并且以一種常規(guī)的步驟排除了一些零碎的攻擊。但是他們不能完全排除系統(tǒng)隱患。入侵檢測系統(tǒng)擁有以下四重目的：廣泛的入侵檢測。時常進(jìn)行入侵檢測。介紹一種簡單，易于理解的格式。正確性。第5頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測理論模型CIDF模型異常模型誤用模型規(guī)范模型第6頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測入侵檢測原理入侵檢測技術(shù)分析入侵檢測系統(tǒng)LINUX下的入侵檢測系統(tǒng)基于用戶特征分析的入侵檢測系統(tǒng)入侵檢測發(fā)展方向第7頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測技術(shù)分析常用的檢測方法拒絕服務(wù)攻擊及防范第8頁，課件共26頁，創(chuàng)作于2023年2月常用的檢測方法入侵檢測系統(tǒng)常用的檢測方法有:特征檢測對已知的攻擊或入侵的方式作出確定性的描述，形成相應(yīng)的事件模式。統(tǒng)計檢測統(tǒng)計模型常用異常檢測。異常檢測(Anomalydetection)的假設(shè)是入侵者活動異常于正常主體的活動。常用的入侵檢測統(tǒng)計模型為：操作模型多元模型馬爾柯夫過程模型專家系統(tǒng)用專家系統(tǒng)對入侵進(jìn)行檢測，經(jīng)常是針對有特征入侵行為。第9頁，課件共26頁，創(chuàng)作于2023年2月拒絕服務(wù)攻擊及防范拒絕服務(wù)攻擊正在向分布式（DDos）方向發(fā)展，分布式拒絕服務(wù)攻擊采用了一種比較特別的體系結(jié)構(gòu)，從許多分布的主機(jī)同時攻擊一個目標(biāo)。從而導(dǎo)致目標(biāo)癱瘓。第10頁，課件共26頁，創(chuàng)作于2023年2月拒絕服務(wù)攻擊及防范保護(hù)這些主機(jī)最好的辦法就是及時了解有關(guān)本操作系統(tǒng)的安全漏洞以及相應(yīng)的安全措施。及時安裝補(bǔ)丁程序并注意定期升級系統(tǒng)軟件，以免給黑客以可乘之機(jī)。應(yīng)該定期使用漏洞掃描軟件對內(nèi)部網(wǎng)絡(luò)進(jìn)行檢查。設(shè)置好單位內(nèi)部的網(wǎng)絡(luò)設(shè)備。最重要的就是路由器和防火墻。第11頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測入侵檢測原理入侵檢測技術(shù)分析入侵檢測系統(tǒng)LINUX下的入侵檢測系統(tǒng)基于用戶特征分析的入侵檢測系統(tǒng)入侵檢測發(fā)展方向第12頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測系統(tǒng)組成審計跟蹤攻擊檢測系統(tǒng)現(xiàn)狀 入侵檢測產(chǎn)品分析常見的攻擊檢測工具第13頁，課件共26頁，創(chuàng)作于2023年2月

組成

一個最簡化的網(wǎng)絡(luò)實(shí)時入侵監(jiān)測系統(tǒng)由兩個部分構(gòu)成：探測引擎（數(shù)據(jù)鏈路層的包分析）抓獲數(shù)據(jù)包并將過濾規(guī)則適用于數(shù)據(jù)包，復(fù)雜的包分析引擎還可能具有包重組以及跟蹤功能。記錄響應(yīng)控制臺第14頁，課件共26頁，創(chuàng)作于2023年2月審計跟蹤審計跟蹤指系統(tǒng)活動的記錄，這些記錄足以重構(gòu)、評估、審查環(huán)境和活動的次序，這些環(huán)境和活動在一項(xiàng)事務(wù)的開始到最后結(jié)束期間能夠圍繞或?qū)е碌囊豁?xiàng)操作、一個過程或一個事件。第15頁，課件共26頁，創(chuàng)作于2023年2月攻擊檢測系統(tǒng)現(xiàn)狀攻擊檢測系統(tǒng)(IDSs)是基于侵入者的行為與合法用戶的行為之間存在的明顯不同，實(shí)現(xiàn)對非授權(quán)的行為的檢測的?，F(xiàn)在的攻擊檢測系統(tǒng)更多的是對許多互聯(lián)在網(wǎng)絡(luò)上的主機(jī)的監(jiān)視。典型的系統(tǒng)有為LosAlamos國家實(shí)驗(yàn)室的集成計算機(jī)網(wǎng)絡(luò)設(shè)計的網(wǎng)絡(luò)異常檢測和侵入報告系統(tǒng)NADIR，這是一個自動專家系統(tǒng)；加利福尼亞大學(xué)的NSM系統(tǒng)，它是通過廣播LAN上的信息流量來檢測入侵行為；分布式入侵檢測系統(tǒng)DIDS等。第16頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測產(chǎn)品分析基于網(wǎng)絡(luò)的入侵檢測基于主機(jī)的入侵檢測混合入侵檢測文件完整性檢查第17頁，課件共26頁，創(chuàng)作于2023年2月常見的攻擊檢測工具NAI公司是領(lǐng)先的專業(yè)網(wǎng)絡(luò)安全產(chǎn)品提供商，其攻擊檢測系統(tǒng)產(chǎn)品主要是三個獨(dú)立產(chǎn)品：CybercopScannerCybercopServerCybercopNetworkISS公司（InternetSecuritySystem）的RealSecure2.0forWindowsNTAbirnet公司的Session-wall-3Anzen公司的NFR提供了一個網(wǎng)絡(luò)監(jiān)控框架IBM公司的IERS系統(tǒng)第18頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測入侵檢測原理入侵檢測技術(shù)分析入侵檢測系統(tǒng)

LINUX下的入侵檢測系統(tǒng)基于用戶特征分析的入侵檢測系統(tǒng)入侵檢測發(fā)展方向第19頁，課件共26頁，創(chuàng)作于2023年2月LINUX下的入侵檢測系統(tǒng)從實(shí)現(xiàn)結(jié)構(gòu)上看，共分成三個應(yīng)用程序，它們分別是：數(shù)據(jù)收集及分析程序；告警信息收集程序；告警信息顯示程序第20頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測入侵檢測原理入侵檢測技術(shù)分析入侵檢測系統(tǒng)LINUX下的入侵檢測系統(tǒng)基于用戶特征分析的入侵檢測系統(tǒng)入侵檢測發(fā)展方向第21頁，課件共26頁，創(chuàng)作于2023年2月基于用戶特征分析的入侵檢測系統(tǒng)設(shè)計目標(biāo)是能夠根據(jù)當(dāng)前主機(jī)使用用戶的特征數(shù)據(jù)，通過實(shí)時檢測和分析系統(tǒng)的各種狀態(tài)，與用戶特征進(jìn)行比對，得出不信任值，當(dāng)不信任值到達(dá)一定程度時，對使用用戶進(jìn)行再確認(rèn)或阻斷其使用主要功能：審查用戶日志系統(tǒng)監(jiān)測設(shè)置用戶口令設(shè)置 用戶特定行為設(shè)定口令檢測性能第22頁，課件共26頁，創(chuàng)作于2023年2月基于用戶特征分析的入侵檢測系統(tǒng)技術(shù)方案：用戶的特征狀態(tài)捕捉進(jìn)程監(jiān)控Shell監(jiān)控鍵盤監(jiān)控文件監(jiān)控用戶的特征狀態(tài)分析系統(tǒng)的運(yùn)行狀態(tài)其它的一些輔助監(jiān)控第23頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測入侵檢測原理入侵檢測技術(shù)分析入侵檢測系統(tǒng)LINUX下的入侵檢測系統(tǒng)基于用戶特征分析的入侵檢測系統(tǒng)入侵檢測發(fā)展方向第24頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測發(fā)展方向入侵技術(shù)的發(fā)展與演化主要反映在下列幾個方面：入侵或攻擊的綜合化與復(fù)雜化。入侵主體對象的間接化，即實(shí)施入侵與攻擊的主體的隱蔽化。入侵或攻擊的規(guī)模擴(kuò)大。入侵或攻擊技