《信息安全知识竞赛培训入侵检测ppt课件》由会员分享,可在线阅读,更多相关《信息安全知识竞赛培训入侵检测ppt课件(80页珍藏版)》请在金锄头文库上搜索。
1、入侵入侵入侵入侵检测检测根底根底根底根底实际实际知知知知识识培培培培训训入侵检测系统入侵检测系统入侵检测概述入侵检测系统的分类及特点入侵检测系统构造入侵检测系统的关键技术入侵检测系统的外围支撑技术入侵检测系统运用指南入侵检测系统的开展趋势入侵检测概述入侵检测概述什么是入侵检测系统为什么需求入侵检测入侵检测系统的作用入侵检测的相关术语什么是入侵检测系统什么是入侵检测系统对信息系统的非授权访问及或未经答应在信息系统中进展操作入侵入侵 Intrusion Intrusion入侵入侵检测 Intrusion Detection Intrusion Detection对企图入侵、正在进展的入侵或曾经发生
2、的入侵进展识别的过程入侵入侵检测系系统IDSIDS用于辅助进展入侵检测或者独立进展入侵检测的自动化工具入侵检测概述入侵检测概述什么是入侵检测系统为什么需求入侵检测入侵检测系统的作用入侵检测的相关术语为什么需求入侵检测系统为什么需求入侵检测系统入侵行为日益严重攻击工具唾手可得 入侵教程随处可见内部的非法访问内部网的攻击占总的攻击事件的70%以上没有监测的内部网是内部人员的“自在王国边境防御的局限防火墙不能防止通向站点的后门。防火墙普通不提供对内部的维护。防火墙无法防备数据驱动型的攻击。防火墙不能防止Internet上下载被病毒感染的程序为什么需求入侵检测系统为什么需求入侵检测系统如:穿透防火墙的
3、攻击如:穿透防火墙的攻击musicmusicclientmusic/scripts/.%255c.%255cwinnt.入侵检测概述入侵检测概述什么是入侵检测系统为什么需求入侵检测入侵检测系统的作用入侵检测的相关术语监控室监控室= =控制中心控制中心Card KeyCard KeyCard KeyCard Key入侵检测系统的作用入侵检测系统的作用监控前控前门和保安和保安监控屋内人控屋内人员监控后控后门监控楼外控楼外入侵检测系统作用入侵检测系统作用监控网络和系统发现入侵企图或异常景象实时报警自动呼应审计跟踪入侵检测概述入侵检测概述什么是入侵检测系统为什么需求入侵检测入侵检测系统的作用入侵检测的
4、相关术语入侵检测相关术语入侵检测相关术语攻击事件 攻攻击者利用工具,出于某种者利用工具,出于某种动机,机,对目的目的系系统采取的行采取的行动,其后果是,其后果是获取取/ /破坏破坏/ /篡改改目的系目的系统的数据或的数据或访问权限限在攻在攻击过程中程中发生的可以生的可以识别的行的行动或行或行动呵斥的后果;在入侵呵斥的后果;在入侵检测系系统中,事件中,事件经常具有一系列属性常具有一系列属性和和详细的描画信息可供用的描画信息可供用户查看。看。CIDF CIDF 将入侵将入侵检测系系统需求分析的数需求分析的数据据统称称为事件事件eventevent检测系统在检测时把系统的正常行为判为入侵行为的错误被
5、称为误报。检测系统在检测过程中出现误报的概率称为系统的误报率。入侵检测相关术语入侵检测相关术语false positives误报false negatives漏报检测系统在检测时把某些入侵行为判为正常行为的错误景象称为漏报。检测系统在检测过程中出现漏报的概率称为系统的漏报率。模拟脆弱性主机诱惑攻击者在其上浪费时间延缓对真正目的的攻击入侵检测相关术语入侵检测相关术语HoneypotHoneypot蜜罐蜜罐PromiscuousPromiscuous混混杂方式方式网卡的一种接纳方式在这种方式下的网卡可以接纳一切经过它的数据,而不论该数据能否是 传给它的入侵检测相关术语入侵检测相关术语1997年,D
6、ARPA(Defense Advanced Research Projects Agency)资助成立了CIDF(Common Intrusion Detection Framework)任务组;其任务目的是制定一套入侵检测系统的公共框架,使得不同的IDR(Intrusion Detection and Response Projections)组件可以相互交换和共享信息,并允许不同的IDR子系统可以得到复用; CIDF将规范化的重点放在入侵检测系统的不同组件之间的协作上;CIDF定义了四个方面的规范:Architecture;Communication;Language;API。入侵检测相关
7、术语入侵检测相关术语IETFInternet Engineering Task Force下属的IDWGID Working Group。入侵检测信息交换格式ID Message Exchange Format, IDMEF对组件之间的通讯进展了规范化。IDMEF运用面向对象的模型来表示其数据格式,可以提供强大的兼容性与可扩展性。IDMEF的通讯规范就是入侵警告协议Intrusion Alert Protocol, IAP。入侵检测概述入侵检测系统的分类及特点入侵检测系统构造入侵检测系统的关键技术入侵检测系统的外围支撑技术入侵检测系统运用指南入侵检测系统的开展趋势入侵检测系统入侵检测系统入侵检
8、测系统的分类入侵检测系统的分类按数据检测方法分类按系统构造分类按时效性分类按照数据来源分类入侵检测的分类一入侵检测的分类一异常检测模型Anomaly Detection ):首先总结正常操作应该具有的特征用户轮廓,当用户活动与正常行为有艰苦偏离时即被以为是入侵 误用检测模型Misuse Detection):搜集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就以为这种行为是入侵 按照分析方法按照分析方法检测方法方法入侵检测的分类二入侵检测的分类二集中式:系统的各个模块包括数据的搜集分析集中在一台主机上运转分布式:系统的各个模块分布在不同的计算机和设备上
9、按系按系统构造分构造分类n离线入侵检测系统off-line IDSn在线入侵检测系统On-line IDS 入侵检测的分类三入侵检测的分类三根据根据时效性分效性分类入侵检测系统分类入侵检测系统分类( (四四) )n基于主机的入侵检测系统HIDSn基于网络的入侵检测系统NIDSn混合型入侵检测系统Hybrid IDSn网络节点入侵检测系统NNIDS按数据来源分按数据来源分类主机主机IDSIDS定义运转于被检测的主机之上,经过查询、监听当前系统的各种资源的运用运转形状,发现系统资源被非法运用和修正的事件,进展上报和处置特点安装于被维护的主机中系统日志系统调用文件完好性检查主要分析主机内部活动占用一
10、定的系统资源主机主机IDSIDS实现实现搜集搜集过程过程 ID:2092 ID:2092 用户名用户名: Administrator: Administrator 登录登录 ID: ID:(0x0,0x141FA)(0x0,0x141FA)分析分析处置置 文 进 日 注册. 件 程 志 表. 结果果主机主机IDSIDS优势优势准确地判别攻击行为能否胜利。监控主机上特定用户活动、系统运转情况HIDS可以检测到NIDS无法检测的攻击 HIDS适用加密的和交换的环境。不需求额外的硬件设备。主机主机IDSIDS的优势的优势HIDS对被维护主机的影响。HIDS的平安性遭到宿主操作系统的限制。HIDS的数
11、据源遭到审计系统限制。被木马化的系统内核可以骗过HIDS。维护/晋级不方便。网网络IDSIDS定义经过在共享网段上对通讯数据的侦听采集数据,分析可疑景象。这类系统不需求主机提供严厉的审计,对主机资源耗费少,并可以提供对网络通用的维护而无需顾及异构主机的不同架构。 特点安装在被维护的网段通常是共享网络中混杂方式监听分析网段中一切的数据包实时检测和呼应网络网络IDSIDS实现实现01 01 01 0101 01 01 01搜集搜集01 01 01 01 01 01 01 01 01 01 01 01 0101010101010分析处置分析处置结果结果网络网络IDSIDS优势优势实时分析网络数据,检
12、测网络系统的非法行为;网络IDS系统单独架设,不占用其它计算机系统的任何资源;网络IDS系统是一个独立的网络设备,可以做到对黑客透明,因此其本身的平安性高;它既可以用于实时监测系统,也是记录审计系统,可以做到实时维护,事后分析取证;经过与防火墙的联动,不但可以对攻击预警,还可以更有效地阻止非法入侵和破坏。不会添加网络中主机的负担网络网络IDSIDS的优势的优势不适宜交换环境和高速环境不能处置加密数据资源及处置才干局限系统相关的脆弱性入侵检测概述入侵检测系统的分类及特点入侵检测系统构造入侵检测系统的关键技术入侵检测系统的外围支撑技术入侵检测系统运用指南入侵检测系统的开展趋势入侵检测系统入侵检测系
13、统CIDFCIDF组件组件事件产生器Event generators事件分析器Event analyzers呼应单元Response units事件数据库Event databasesCommon Intrusion Detection FrameCommon Intrusion Detection Frame组件组件CIDFCIDF组件组件入侵检测概述入侵检测系统的分类及特点入侵检测系统构造入侵检测系统的关键技术入侵检测系统的外围支撑技术入侵检测系统运用指南入侵检测系统的开展趋势入侵检测系统入侵检测系统入侵检测系统关键技术入侵检测系统关键技术数据检测技术数据检测技术数据分析技术数据分析技术数
14、据采集技术数据采集技术数据采集技术数据采集技术高速网络线速采集Dedicated NIC DriverDMA-based zero copy包俘获包俘获库LibcapwindowsNT下Gobber、Ethdump和Ethload UNIX下CSPF、BPF基于流的包俘获主机信息采集运用程序日志 审计日志 网络端口的衔接情况 系统文件基于误用的检测方法基于异常的检测方法数据检测技术数据检测技术运用知攻击方法,根据已定义好的入侵方式,经过判别这些入侵方式能否出现来检测。经过分析入侵过程的特征、条件、陈列以及事件间关系能详细描画入侵行为的迹象。也被称为违规检测(Misuse Detection)。
15、检测准确度很高。基于基于误用的用的检测方法方法数据检测技术数据检测技术专家系统模型匹配检测系统形状转换分析数据检测技术数据检测技术基于基于误用的用的检测方法方法 攻击信息运用的输入运用ifthen的语法。指示入侵的详细条件放在规那么的左边if侧,当满足这些规那么时,规那么执行右边then侧的动作。专家系统专家系统基于误用的检测方法基于误用的检测方法方式匹配检测方式匹配检测基于误用的检测方法基于误用的检测方法根据知识建立攻击脚本库,每一脚本都由一系列攻击行为组成。有关攻击者行为的知识被描画为:攻击者目的,攻击者到达此目的的能够行为步骤,以及对系统的特殊运用等。 0 0050 dac6 f2d6
16、00b0 d04d cbaa 0800 4500 .P.M.E. 10 0157 3105 4000 8006 0000 0a0a 0231 d850 .W1.1.P 20 1111 06a3 0050 df62 322e 413a 9cf1 5018 .P.b2.A:.P. 30 16d0 f6e5 0000 4745 5420 2f70 726f 6475 .GET /produ 40 6374 732f 7769 7265 6c65 7373 2f69 6d61 cts/wireless/ima 50 6765 732f 686f 6d65 5f63 6f6c 6c61 6765 ges
17、/home_collage 60 322e 6a70 6720 4854 5450 2f31 2e31 0d0a 2.jpg /1.1. 70 4163 6365 7074 3a20 2a2f 2a0d 0a52 6566 Accept: */*.Ref 80 6572 6572 3a20 6874 7470 3a2f 2f77 7777 erer: www 90 2e61 6d65 7269 7465 6368 2e63 6f6d 2f70 .ameritech/p a0 726f 6475 6374 732f 7769 7265 6c65 7373 roducts/wireless b0
18、2f73 746f 7265 2f0d 0a41 6363 6570 742d /store/.Accept- c0 4c61 6e67 7561 6765 3a20 656e 2d75 730d Language: en-us. d0 0a41 6363 6570 742d 456e 636f 6469 6e67 .Accept-Encoding e0 3a20 677a 6970 2c20 6465 666c 6174 650d : gzip, deflate. f0 0a55 7365 722d 4167 656e 743a 204d 6f7a .User-Agent: Moz 100
19、696c 6c61 2f34 2e30 2028 636f 6d70 6174 illa/4.0 (compat 110 6962 6c65 3b20 4d53 4945 2035 2e30 313b ible; MSIE 5.01; 120 2057 696e 646f 7773 204e 5420 352e 3029 Windows NT 5.0) 130 0d0a 486f 7374 3a20 7777 772e 616d 6572 .Host: amer 140 6974 6563 682e 636f 6d0d 0a43 6f6e 6e65 itech.Conne 150 6374 6
20、96f 6e3a 204b 6565 702d 416c 6976 ction: Keep-Aliv 160 650d 0a0d 0a e.基于误用的检测方法基于误用的检测方法方式匹配方式匹配检测例如例如优点可检测出一切对系统来说是知的入侵行为系统平安管理员可以很容易地知道系统遭遭到的是那种入侵攻击并采取相应的行动局限:它只是根据知的入侵序列和系统缺陷的方式来检测系统中的可疑行为,而不能处置对新的入侵攻击行为以及未知的、潜在的系统缺陷的检测。系统运转的环境与知识库中关于攻击的知识有关。对于系统内部攻击者的越权行为,由于他们没有利用系统的缺陷,因此很难检测出来。基于误用的检测方法基于误用的检测方
21、法基于误用的检测方法基于异常的检测方法数据检测技术数据检测技术根本原理根本原理前提:入侵是异常活动的子集前提:入侵是异常活动的子集 用户轮廓用户轮廓(Profile): (Profile): 通常定义为各种行为参数通常定义为各种行为参数及其阀值的集合,用于描画正常行为范围及其阀值的集合,用于描画正常行为范围过程过程 监控监控 量化量化 比较比较 断定断定 修正修正目的目的: :漏报率低漏报率低, ,误报率高误报率高基于异常的检测方法基于异常的检测方法数据检测技术数据检测技术基于异常的检测方法基于异常的检测方法详细实现基于统计学方法的异常检测基于神经网络的异常检测基于数据发掘的异常检测记录的详细
22、操作包括:CPU 的运用,I/O 的运用,运用地点及时间,邮件运用,编辑器运用,编译器运用,所创建、删除、访问或改动的目录及文件,网络上活动等。基于异常的检测方法基于异常的检测方法基于统计学方法基于统计学方法操作密度操作密度审计记录分布审计记录分布范畴尺度范畴尺度数值尺度数值尺度基于异常的检测方法基于异常的检测方法基于神经网络基于神经网络数据发掘是指从大量实体数据笼统出模型的处置;目的是要从海量数据中提取对用户有用的数据;这些模型经常在数据中发现对其它检测方式不是很明显的异常。主要方法:聚类分析、衔接分析和顺序分析。基于异常的检测方法基于异常的检测方法基于数据发掘技术的异常检测基于数据发掘技术
23、的异常检测基于异常的检测方法基于异常的检测方法优点不需求操作系统及其平安性缺陷专门知识能有效检测出冒充合法用户的入侵 缺陷为用户建立正常行为方式的特征轮廓和对用户活动的异常性报警的门限值确实定都比较困难不是一切入侵者的行为都可以产生明显的异常性有阅历的入侵者还可以经过缓慢地改动他的行为,来改动入侵检测系统中的用户正常行为方式,使其入侵行为逐渐变为合法。数据分析技术数据分析技术协议解析ACBM字符串匹配正那么表达式事件规那么树有限形状自动机完好性分析数据分析技术数据分析技术协议分析与解码ETHERARPIPRARPICMPIGMPTCPUDPPOP3FTP。DNS匹配规那么子集匹配规那么子集ET
24、HERARPIPRARPICMPIGMPTCPUDPPOP3FTP。DNSETHER规那么子集IP规那么子集TCP规那么子集HTTP规那么子集匹配的规那么子集HTTPHTTP报文的解报文的解析途径析途径协议分析的优点协议分析的优点提高了性能提高了准确性基于形状的分析反躲避才干系统资源开销小入侵检测概述入侵检测系统的分类及特点入侵检测系统构造入侵检测系统的关键技术入侵检测系统的外围支撑技术入侵检测系统运用指南入侵检测系统的开展趋势入侵检测系统入侵检测系统入侵检测系统的外围支撑技术入侵检测系统的外围支撑技术联动机制呼应机制日志分析事件过滤技术破绽机理研讨入侵检测概述入侵检测系统的分类及特点入侵检测
25、系统构造入侵检测系统的关键技术入侵检测系统的外围支撑技术入侵检测系统运用指南入侵检测系统的开展趋势入侵检测系统入侵检测系统入侵检测系统运用指南入侵检测系统运用指南IDS的部署评价IDS的性能和功能目的典型IDS产品引见IDSIDS的部署的部署共享方式隐蔽方式交换方式In-line方式 TAP方式共享环境共享环境HUBIDS 探测器被监测机器控制台交换机IDS 探测器被监测机器控制台经过端口端口镜像像实现交换环境交换环境隐蔽方式隐蔽方式HUBIDS 探测器被监测机器控制台监测口无监测口无IPIP地址地址In-LineIn-Line方式方式TAPTAP方式方式IDSIDS运用指南运用指南IDS的部
26、署评价IDS的性能和功能目的典型IDS产品引见 评价评价IDSIDS的性能目的的性能目的Porras等给出了评价入侵检测系统性能的三个要素:准确性Accuracy处置性能Performance完备性CompletenessDebar等添加了两个性能评价测度容错性Fault Tolerance及时性Timeliness评价评价IDSIDS的性能目的的性能目的HIDS:漏报率、误报率、资源占用率;NIDS:漏报率、误报率、特征库强度;模拟背景流量 -硬件:SmartBits,人为构造一定大小的数据报,从64bytes到1518bytes,衡量不同pps (packets per second)下I
27、DS对攻击的检测情况。 -软件:tcpdump & tcpreplay,对流量的回放。测试性能测试性能评价评价IDSIDS功能目的功能目的系统构造系统构造管理方式管理方式通讯平安通讯平安战略灵敏性战略灵敏性自定义事件自定义事件事件库更新事件库更新 易用性易用性综合分析综合分析 事件数量事件数量 构造:构造:探测引擎探测引擎: :控制台:控制台:检测才干检测才干事件呼应事件呼应 本身平安本身平安评价评价IDSIDS的功能目的的功能目的控制中心探测引擎控制中心恳求应对恳求?传输数据是明文还是密文?通讯平安通讯平安IDSIDS的功能目的的功能目的自动-入侵检测系统本身阻断-与防火墙联动-与Scann
28、er联动-与防病毒产品联动-与交换机联动呼应方式呼应方式被动被动屏幕告警屏幕告警邮件告警邮件告警手机告警手机告警声音告警声音告警SNMPSNMP告警告警自定义告警自定义告警IDSIDS功能目的功能目的本身平安本身平安本身操作系统的平安本身操作系统的平安本身程序的平安本身程序的平安地址透明度地址透明度抗打击才干抗打击才干IDSIDS的功能目的的功能目的日志分析日志分析IDSIDS的功能目的的功能目的单行为事件演示 TCP_Doly后门衔接 TCP ustr.0%57%74%7a%75%70%20%55%73%65&sport=6789 行为关联事件演示 FTP_口令扫描 FTP_注册失败 num
29、(event,sip,dip)10 HTTP_ftp文件调用 HTTP_读命令 num(event=FTP_写命令,sip,dip)1 自定义事件自定义事件IDSIDS运用指南运用指南IDS的部署评价IDS的目的典型IDS产品典型典型IDSIDS产品引品引见国外国外ISS RealSecure( WinNT) NFR Security NID-100/200 NAI CyberCop Intrusion Protection Cisco NetRanger( Unix) snort 启明星辰天阗金诺KIDS中联绿盟冰之眼东软Neteye典型典型IDSIDS产品引品引见国内国内入侵检测概述入侵检测系统的分类及特点入侵检测系统构造入侵检测系统的关键技术入侵检测系统的外围支撑技术入侵检测系统运用指南入侵检测系统的开展趋势入侵检测系统入侵检测系统入侵检测系统开展趋势入侵检测系统开展趋势学术界智能化检测算法数据发掘产业界运用层入侵检测的研讨入侵检测系统的规范化任务宽带高速网络的实时入侵检测系统入侵追踪、起诉的支持IDSIPSIMS入侵检测概述入侵检测系统的分类及特点入侵检测系统构造入侵检测系统的关键技术入侵检测系统的外围支撑技术入侵检测系统运用指南入侵检测系统的开展趋势总结总结
