《入侵检测系统-课件》由会员分享,可在线阅读,更多相关《入侵检测系统-课件(64页珍藏版)》请在金锄头文库上搜索。
1、计算机入侵检测系统(IDS) 内容提要入侵检测的概念及功能入侵检测的构架原理入侵检测的分类入侵检测系统的评级标准入侵检测的响应与恢复 小结网络安全网络安全网络安全网络安全网络安全 P2DRP2DRP2DRP2DR 入侵检测的位置入侵检测的位置入侵检测的位置入侵检测的位置 入侵检测系统的应用前景入侵检测系统的应用前景入侵检测系统的应用前景入侵检测系统的应用前景网络安全 计算机网络的安全是指计算机网络的机密性(Confidentiality)、完整性(Integrity)、可用性(Access) 传统的安全保护主要从被动防御的角度出发,增加攻击者对网络系统破坏的难度,典型的如:利用访问控制机制防止
2、未经许可的主体对对象的访问;利用认证机制防止未经授权的使用者登录用户系统;利用加密技术防止第三者获取机密信息。P2DR模型是在整体的安全策略(Policy)的控制和指导下,在综合运用防护工具(Protection,如防火墙、身份认证系统、加密设备)的同时,利用检测工具(Detection,如漏洞评估、入侵检测系统)了解和判断系统的安全状态,通过适当响应(Response)措施将系统调整到最安全 和风险最低的状态。防护、 检测和响应组成了一个 完整的、动态的安全循环。P2DR模型入侵检测的位置入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是
3、一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统的应用,能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。 应用前景 各种基于网络的信息系统已成为国民经济关键领域中的重要组成部分,如交通控制系统、国防信息系统、电力信息系统、气油运输和存储系统、金融服务系统、医疗卫生信息服务系统、电子商务信息系统等。然而,对网络的依赖性越大,面临网络入侵的威胁越大,产生的后果越严重。一、入侵检测的概念及功能概念的诞生概念的诞生 入侵检测研究发展入侵检测研究发展入侵检测的作用入侵检测的作用入侵检测系统的功能入侵检测系统的功能
4、概念的诞生 入侵检测的开山之作19801980年年4 4月,月,James P. AndersonJames P. Anderson为美国空军做了一份题为为美国空军做了一份题为Computer Security Threat Monitoring and Computer Security Threat Monitoring and SurveillanceSurveillance(计算机安全威胁监控与监视)计算机安全威胁监控与监视)指出必须改变现有的系统审计机制,以便为专职系统安指出必须改变现有的系统审计机制,以便为专职系统安全人员提供安全信息全人员提供安全信息预警预警提出了对计算机系统风险
5、和威胁的分类方法,将威胁分提出了对计算机系统风险和威胁的分类方法,将威胁分为外部渗透、内部渗透和不法行为三种,为外部渗透、内部渗透和不法行为三种,提出利用审计跟踪数据监视入侵活动的思想。提出利用审计跟踪数据监视入侵活动的思想。入侵检测研究发展入侵检测研究发展 Denning于1986年发表的论文“入侵检测模型”被公认为是IDS领域的又一篇开山之作。 1990年是入侵检测系统发展史上的一个分水岭。这一年,加州大学戴维斯分校的L. T. Heberlein等人开发出了一套网络入侵检测系统(Network Security Monitor)。 从20世纪90年代到现在,入侵检测系统的研发呈现出百家争
6、鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展概念的诞生 :入侵检测的概念内网内网Internetq 入侵检测即是对入侵行为的发觉q 入侵检测系统是入侵检测的软件与硬件的有机组合q 入侵检测系统是处于防火墙之后对网络活动的实时监控q 入侵检测系统是不仅能检测来自外部的入侵行为,同时也监督内部用户的未授权活动 v入侵检测的定义实时监控非法入侵的过程示意图报警报警日志记录日志记录攻击检测攻击检测记录入侵记录入侵过程过程 重新配置重新配置防火墙防火墙路由器路由器内部入侵内部入侵入侵检测入侵检测记录记录终止入侵终止入侵IDS监控非法入侵的案例 q 2001 2001年年4 4月,广东某月,广
7、东某ISP和某数据分局的网络系统受到入侵和某数据分局的网络系统受到入侵攻击。攻击。q 广东某市政府某局网站入侵报告广东某市政府某局网站入侵报告(2001(2001年年4 4月月1818日日) )IDS监控非法入侵的案例 q 20012001年年4 4月,广东某月,广东某ISP和某数据分局的网络系统受到入侵和某数据分局的网络系统受到入侵攻击。攻击。从不知从不知到有知到有知从被动从被动到主动到主动从事后从事后到事前到事前从预警从预警到保障到保障入侵检测发挥的作用入侵检测发挥的作用从不知从不知到有知到有知入侵检测发挥的作用入侵检测发挥的作用技术层面:技术层面:对具体的安全技术人员,可以利用对具体的安
8、全技术人员,可以利用IDS做为工具来发现做为工具来发现安全问题、解决问题。安全问题、解决问题。入侵检测发挥的作用入侵检测发挥的作用管理层面:管理层面:对安全管理人员来说,是可以把对安全管理人员来说,是可以把IDSIDS做为其日常管理上做为其日常管理上的有效手段。的有效手段。从被动从被动到主动到主动入侵检测发挥的作用入侵检测发挥的作用领导层面:领导层面:对安全主管领导来说,是可以把对安全主管领导来说,是可以把IDS做为把握全局一种做为把握全局一种有效的有效的方法方法,目的是提高安全效能。,目的是提高安全效能。从事后从事后到事前到事前入侵检测发挥的作用入侵检测发挥的作用意识层面:意识层面:对政府或
9、者大的行业来说,是可以通过对政府或者大的行业来说,是可以通过IDS来建立一套来建立一套完善的网络预警与响应体系,减小安全风险。完善的网络预警与响应体系,减小安全风险。从预警从预警到保障到保障入侵检测系统的功能入侵检测系统的功能q监控用户和系统的活动监控用户和系统的活动q 查找非法用户和合法用户的越权操作查找非法用户和合法用户的越权操作q 检测系统配置的正确性和安全漏洞检测系统配置的正确性和安全漏洞q 评估关键系统和数据的完整性评估关键系统和数据的完整性q 识别攻击的活动模式并向网管人员报警识别攻击的活动模式并向网管人员报警q 对用户的非正常活动进行统计分析,发现入侵行为对用户的非正常活动进行统
10、计分析,发现入侵行为的规律的规律 q 操作系统审计跟踪管理,识别违反政策的用户活动操作系统审计跟踪管理,识别违反政策的用户活动q 检查系统程序和数据的一致性与正确性检查系统程序和数据的一致性与正确性二、入侵检测的构架vIETF(Internet Engineering Task Force)为入侵检测系统提出了一个总体框架(RFC4766)入侵检测系统(IDS):由一个或多个传感器、分析器、管理器所组成,可自动分析系统行为、检测安全事件的工具。二、入侵检测系统的构架(1)图图 8-1 IETF/IDWG的总体框架模型的总体框架模型数据源数据源传感器传感器分析器分析器管理器管理器操作员操作员行为
11、行为事件事件警报警报通知通知响应响应管理员管理员安全政策安全政策入侵检测系统的构架(2)q数据源(数据源(data source):入侵检测系统用来检测安全):入侵检测系统用来检测安全事件的原始信息,通常包括原始网络报文、操作系统审事件的原始信息,通常包括原始网络报文、操作系统审计日志、应用审计日志、系统产生的校验和数据等计日志、应用审计日志、系统产生的校验和数据等检测检测系统配置的正确性和安全漏洞系统配置的正确性和安全漏洞q行为(行为(activity):被传感器或分析器识别且为操作):被传感器或分析器识别且为操作员感兴趣的数据源的实例,如网络会话、用户行为、应员感兴趣的数据源的实例,如网络
12、会话、用户行为、应用事件等。行为既包括极其严重的事件(如明显的恶意用事件等。行为既包括极其严重的事件(如明显的恶意攻击)也包括不太严重的事件(如值得深究的异常用户攻击)也包括不太严重的事件(如值得深究的异常用户动作)。动作)。q传感器(传感器(sensor):从数据源收集数据的入侵检测元):从数据源收集数据的入侵检测元件。件。入侵检测系统的构架(3)q事件(事件(event):在数据源中发生,被分析器检测到,):在数据源中发生,被分析器检测到,可能导致警报传输的行为。可能导致警报传输的行为。q分析器(分析器(analyzer):入侵检测元件或进程,分析传):入侵检测元件或进程,分析传感器采集的
13、数据,查找安全管理员感兴趣的安全事件的感器采集的数据,查找安全管理员感兴趣的安全事件的迹象。分析器在实现上又可称为检测引擎。迹象。分析器在实现上又可称为检测引擎。q特征特征签名(签名(signature):分析器用于识别安全管理):分析器用于识别安全管理员感兴趣的行为的规则,签名刻画了对应行为的特征,员感兴趣的行为的规则,签名刻画了对应行为的特征,其形式与入侵检测系统的检测机制有关其形式与入侵检测系统的检测机制有关入侵检测系统的构架(4)q警报警报(alert):从分析器发往管理器的消息,报告一):从分析器发往管理器的消息,报告一条检测到的事件。警报通常包含被检测到的异常行为信条检测到的事件。
14、警报通常包含被检测到的异常行为信息及事件细节。分析器(息及事件细节。分析器(analyzer):入侵检测元件或):入侵检测元件或进程,分析传感器采集的数据,查找安全管理员感兴趣进程,分析传感器采集的数据,查找安全管理员感兴趣的安全事件的迹象。分析器在实现上又可称为检测引擎。的安全事件的迹象。分析器在实现上又可称为检测引擎。q管理器管理器(manager):入侵检测元件或进程,安全管):入侵检测元件或进程,安全管理员通过它对入侵检测系统的各种元件进行管理。典型理员通过它对入侵检测系统的各种元件进行管理。典型的管理功能包括:传感器配置、分析器配置、事件通知的管理功能包括:传感器配置、分析器配置、事
15、件通知管理、数据合并、报告等。管理、数据合并、报告等。入侵检测系统的构架(5)q操操作员(作员(operator):入侵检测系统管理器的主要用):入侵检测系统管理器的主要用户,监视入侵检测系统的输出并发起或建议进一步的动户,监视入侵检测系统的输出并发起或建议进一步的动作作q通知通知(notification):入侵检测系统管理器使操作):入侵检测系统管理器使操作员感知安全事件的发生的方法,包括屏幕显示、发送电员感知安全事件的发生的方法,包括屏幕显示、发送电子邮件、拨打寻呼、传送子邮件、拨打寻呼、传送SNMP TRAP等多种方式等多种方式q管理员管理员(administrator):负责维护和管
16、理一个企):负责维护和管理一个企业组织计算机系统安全的人员,他和负责部署入侵检测业组织计算机系统安全的人员,他和负责部署入侵检测系统及监视入侵检测系统输出的人员可能合并也可能分系统及监视入侵检测系统输出的人员可能合并也可能分离,他可能属于网络离,他可能属于网络/系统管理组也可能是一个单独的系统管理组也可能是一个单独的职位。职位。入侵检测的一般过程入侵检测的一般过程q 信息收集信息收集q 数据预处理数据预处理q 检测检测/ /检测模型检测模型q 响应处理响应处理图图 8-1 IETF/IDWG的总体框架模型的总体框架模型数据源数据源传感器传感器分析器分析器管理器管理器操作员操作员行为行为事件事件警报警报通知通知响应响应管理员管理员安全政策安全政策三、入侵检测的分类Internetv不同的分类标准不同的分类标准三、入侵检测系统的分类v基于主机的基于主机的IDSIDS的工作原理的工作原理q数据源:系统事件日志、应用程序事件日志、系统调用、端口调用、安全审计记录q配置审计信息q系统对审计数据进行分析(日志文件)基于主机的IDSv基于主机的基于主机的IDSIDS的优点的优点q能够确定攻击是否成功
