《云计算与入侵检测ppt课件》由会员分享,可在线阅读,更多相关《云计算与入侵检测ppt课件(57页珍藏版)》请在金锄头文库上搜索。
1、云计算与入侵检测雅钓干角淮择旨茁捐锁亿既佑撇始迢舍蒸颧稽值坷陵仙捏尔盟傻层搬耶威云计算与入侵检测ppt课件云计算与入侵检测ppt课件1. 概述概述2. 入侵检测方法入侵检测方法3. 入侵检测系统的设计原理入侵检测系统的设计原理4. 入侵检测响应机制入侵检测响应机制5. 入侵检测标准化工作入侵检测标准化工作6. 云计算分层安全和入侵检测系统云计算分层安全和入侵检测系统蘑富惊渭勉宗更撰同孰垫莱变絮操错闷亚茄橙打藐隆转条甄蛮议恰管惑贵云计算与入侵检测ppt课件云计算与入侵检测ppt课件 概述概述 入侵检测方法入侵检测方法 入侵检测系统的设计原理入侵检测系统的设计原理 入侵检测响应机制入侵检测响应机制
2、 入侵检测标准化工作入侵检测标准化工作 云计算分层安全和入侵检测系统云计算分层安全和入侵检测系统劝额地哦备斯狠踏弯钒事皆脓凶菏刀少肪驯脂俱说官涅淮灾栓狗汹花嘻仲云计算与入侵检测ppt课件云计算与入侵检测ppt课件IDS存在与发展的必然性存在与发展的必然性一、网络攻击造成的破坏性和损失日益严重一、网络攻击造成的破坏性和损失日益严重二、网络安全威胁日益增长二、网络安全威胁日益增长三、单纯的防火墙无法防范复杂多变的攻击三、单纯的防火墙无法防范复杂多变的攻击刺奢虑氛围嚣尸践朋沪耪旁岿玫郁酒桐酬烛抿傲雄换柒祭捧术仓冤河渣黍云计算与入侵检测ppt课件云计算与入侵检测ppt课件IDS的作用唐纷毖纵可辈枉憨倦
3、哉舅宛币因腮榨塌贼楚孰今亩殷瑶斜冬博墓柿畔尸菜云计算与入侵检测ppt课件云计算与入侵检测ppt课件为什么需要为什么需要IDSn单一防护产品的弱点单一防护产品的弱点n防御方法和防御策略的有限性防御方法和防御策略的有限性n动态多变的网络环境动态多变的网络环境n来自外部和内部的威胁来自外部和内部的威胁摸藐澳懊但感中桩蓑鄙晤字凛规掳刀膝万茎质鹅柞印籍酒嘘齿诉磅侥岛喳云计算与入侵检测ppt课件云计算与入侵检测ppt课件为什么需要为什么需要IDSn关于防火墙关于防火墙n网络边界的设备,只能抵挡外部來的入侵行网络边界的设备,只能抵挡外部來的入侵行为为n自身存在弱点,也可能被攻破自身存在弱点,也可能被攻破n对
4、某些攻击保护很弱对某些攻击保护很弱n即使透过防火墙的保护,合法的使用者仍会即使透过防火墙的保护,合法的使用者仍会非法地使用系统,甚至提升自己的权限非法地使用系统,甚至提升自己的权限n仅能拒绝非法的连接請求,但是对于入侵者仅能拒绝非法的连接請求,但是对于入侵者的攻击行为仍一无所知的攻击行为仍一无所知座亡维陷淤狐肖淌建喀韭淡鲸淹特货婴拄黄糠券油裤妖肤钵玉芹沿培唤站云计算与入侵检测ppt课件云计算与入侵检测ppt课件为什么需要为什么需要IDSn入侵很容易入侵很容易n入侵教程随处可见入侵教程随处可见n各种工具唾手可得各种工具唾手可得济酬诧而谁恋锣无跪活哦驻亮贬毅志缸丁搔粤态捐滥侗阳燎蔼唯兢藉衔昌云计算
5、与入侵检测ppt课件云计算与入侵检测ppt课件网络安全工具的特点网络安全工具的特点优点优点局限性局限性防火墙防火墙可简化网络管理,产品成熟可简化网络管理,产品成熟无法处理网络内部的攻击无法处理网络内部的攻击IDS实时监控网络安全状态实时监控网络安全状态误警率高,缓慢攻击,新误警率高,缓慢攻击,新的攻击模式的攻击模式Scanner完全主动式安全工具,能够了完全主动式安全工具,能够了解网络现有的安全水平,简单解网络现有的安全水平,简单可操作,帮助系统管理员和安可操作,帮助系统管理员和安全服务人员解决实际问题,全服务人员解决实际问题,并不能真正了解网络上即并不能真正了解网络上即时发生的攻击时发生的攻
6、击VPN保护公网上的内部通信保护公网上的内部通信可视为防火墙上的一个漏可视为防火墙上的一个漏洞洞防病毒防病毒针对文件与邮件,产品成熟针对文件与邮件,产品成熟功能单一功能单一翻尊逆安柱慈曳颧夫腰辉滑楔韶滩品迸羌亢湿腋篓奥脯拦坯瑟誊羊成慈妈云计算与入侵检测ppt课件云计算与入侵检测ppt课件n传统的信息安全方法采用严格的访问控制和数传统的信息安全方法采用严格的访问控制和数据加密策略来防护,但在复杂系统中,这些策据加密策略来防护,但在复杂系统中,这些策略是不充分的。它们是系统安全不可缺的部分略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全但不能完全保证系统的安全n入侵检测(入侵检测(
7、Intrusion Detection)是对入侵行)是对入侵行为的发觉。它通过从计算机网络或计算机系统为的发觉。它通过从计算机网络或计算机系统的关键点的关键点收集收集信息并进行信息并进行分析分析,从中发现网络,从中发现网络或系统中是否有违反安全策略的行为和被攻击或系统中是否有违反安全策略的行为和被攻击的迹象的迹象入侵检测Intrusion Detection框就士琐告矗车词已端绍蛆所卵贩兹镶谁足漏禽条纵欺屋曝骸存簧襄影帖云计算与入侵检测ppt课件云计算与入侵检测ppt课件入侵检测的定义n对系统的运行状态进行监视,发现各种攻对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证
8、击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性系统资源的机密性、完整性和可用性n入侵检测系统:进行入侵检测的软件与硬入侵检测系统:进行入侵检测的软件与硬件的组合件的组合 (IDS : Intrusion Detection System)无古凝陋波摇葬政匡斡势逢曲言宙盖早道涟抽诽疟惮匈渺饯啦悸绿兄调毒云计算与入侵检测ppt课件云计算与入侵检测ppt课件IDS基本结构基本结构入侵检测系统包括三个功能部件入侵检测系统包括三个功能部件(1 1)信息收集信息收集(2 2)分析引擎分析引擎(3 3)响应部件)响应部件姨嘲刨哦威境尧商蹈帛辣板码引居晒级监边搀邯记蝎氖辛留摇葬侣嚏驼掖云
9、计算与入侵检测ppt课件云计算与入侵检测ppt课件信息搜集信息搜集惊盂厅镣凡蛹屹粤簧丁寸谰价膏站碘躬变刽宛喳肃蹿旭撩陆框蹿酥缉舞捏云计算与入侵检测ppt课件云计算与入侵检测ppt课件信息收集信息收集n入侵检测的第一步是信息收集,收集内容包括系统、入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为网络、数据及用户活动的状态和行为n需要在计算机网络系统中的若干不同关键点(不同需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息网段和不同主机)收集信息n尽可能扩大检测范围尽可能扩大检测范围n从一个源来的信息有可能看不出疑点从一个源来的信息有可能看不出疑点背
10、查撇雌丝钞插糕忻缸佯寄吧稗戚嘲另肾匹还骇圈消汽沮慌霹辈俞苇短靴云计算与入侵检测ppt课件云计算与入侵检测ppt课件信息收集信息收集n入侵检测的效果很大程度上依赖于收集信息的可入侵检测的效果很大程度上依赖于收集信息的可靠性和正确性靠性和正确性n要保证用来检测网络系统的软件的完整性要保证用来检测网络系统的软件的完整性n特别是入侵检测系统软件本身应具有相当强的坚特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息固性,防止被篡改而收集到错误的信息 棍谈臣佃阐疥垢扦姚畸俱上纤膀话畴拐序壕咬卵贾雀周冲韩厄艘坏螺汉悯云计算与入侵检测ppt课件云计算与入侵检测ppt课件信息收集的来源
11、信息收集的来源n系统或网络的日志文件系统或网络的日志文件n网络流量网络流量n系统目录和文件的异常变化系统目录和文件的异常变化n程序执行中的异常行为程序执行中的异常行为矣培铃险范民喀乙门显札赡蛹钎讯铣比台毯访浙争绢档靳掉螟罪园挟垫铁云计算与入侵检测ppt课件云计算与入侵检测ppt课件系统或网络的日志文件系统或网络的日志文件n攻击者常在系统日志文件中留下他们的踪迹,因此,攻击者常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要充分利用系统和网络日志文件信息是检测入侵的必要条件条件n日志文件中记录了各种行为类型,每种类型又包含不日志文件中记录了各种行为类型,每种类
12、型又包含不同的信息,例如记录同的信息,例如记录“用户活动用户活动”类型的日志,就包类型的日志,就包含登录、用户含登录、用户ID改变、用户对文件的访问、授权和认改变、用户对文件的访问、授权和认证信息等内容证信息等内容n显然,对用户活动来讲,不正常的或不期望的行为就显然,对用户活动来讲,不正常的或不期望的行为就是是:重复登录失败、登录到不期望的位置以及非授权的重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等企图访问重要文件等等 良宣倦卸非瘸贬哎得条出酞另对楼复褒抹氨以调泰茧训剁瓣膘乙卿庞群苇云计算与入侵检测ppt课件云计算与入侵检测ppt课件系统目录和文件的异常变化系统目录和文件的
13、异常变化n网络环境中的文件系统包含很多软件和数据文件,包网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标破坏的目标n目录和文件中的不期望的改变(包括修改、创建和删目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号是一种入侵产生的指示和信号n入侵者经常替换、修改和破坏他们获得访问权的系统入侵者经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕上的文件
14、,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件迹,都会尽力去替换系统程序或修改系统日志文件 非阀拂丙冒委港宪做夸笔冻待募煽振吨遇情备踏惑便见睁七婴崇埂殖梨急云计算与入侵检测ppt课件云计算与入侵检测ppt课件分析引擎分析引擎滚踪舔贝援啊都镀视炬喂赚茂寿叙邀太色提功衣玩报曲颜捏孔利镇吨飞卡云计算与入侵检测ppt课件云计算与入侵检测ppt课件分析引擎分析引擎 模式匹配模式匹配 统计分析统计分析 完整性分析,往往用于事后分析完整性分析,往往用于事后分析激互丧她季仪欧城棋胃见钱肃否胚沂诌窿显浑佑僻獭菱捂巴虱瘟廉近翌螺云计算与入侵检测ppt课件云计算与入侵检测ppt课
15、件模式匹配模式匹配n模式匹配就是将收集到的信息与已知的网络入侵和系模式匹配就是将收集到的信息与已知的网络入侵和系统误用统误用模式数据库模式数据库进行比较,从而发现违背安全策略进行比较,从而发现违背安全策略的行为的行为n一般来讲,一种攻击模式可以用一个过程(如执行一一般来讲,一种攻击模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该过程条指令)或一个输出(如获得权限)来表示。该过程可以很简单(如通过字符串匹配以寻找一个简单的条可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状
16、态的变化)式来表示安全状态的变化)律硫溪取咙娟恳菱刮畴膳晤冤泡房驭厨然谱脏储扁吸主剔团瓦拽售帚劈歇云计算与入侵检测ppt课件云计算与入侵检测ppt课件统计分析统计分析n统计分析方法首先给系统对象(如用户、文件、目录统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)些测量属性(如访问次数、操作失败次数和延时等)n测量属性的平均值和偏差被用来与网络、系统的行为测量属性的平均值和偏差被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为进行比较,任何观
17、察值在正常值范围之外时,就认为有入侵发生有入侵发生本趟援缔瞧受涧缠弟赵怯既沼萨瘸诞根仕盒爸末辛琢拓皮趋惫判盎哪糯蹦云计算与入侵检测ppt课件云计算与入侵检测ppt课件完整性分析完整性分析n完整性分析主要完整性分析主要关注某个文件或对象是否被更改关注某个文件或对象是否被更改n包括文件和目录的内容及属性包括文件和目录的内容及属性n在发现被更改的、被安装木马的应用程序方面特别有效在发现被更改的、被安装木马的应用程序方面特别有效阂疗磊售让毕旺磷校咀鹊躇喇窿踪本鄙程绽符葵会工夕淫菩烟桅廖坠哆升云计算与入侵检测ppt课件云计算与入侵检测ppt课件响应部件响应部件戒两尹赏亚篙郧棠九单灿米剩笆仅香骄狙峭敷哗嗜
18、含担馅躁淖噪跪绅沾跌云计算与入侵检测ppt课件云计算与入侵检测ppt课件响应动作n简单报警n切断连接n封锁用户n改变文件属性n最强烈反应:回击攻击者认假渤象腹锡鹰家誉舒注疯恐轰牙诈咒虚杏自校乒续圆片助排召荚肝渊豺云计算与入侵检测ppt课件云计算与入侵检测ppt课件入侵检测系统性能关键参数入侵检测系统性能关键参数n误报误报(false positive):如果系统错误地将异如果系统错误地将异常活动定义为入侵常活动定义为入侵n漏报漏报(false negative):如果系统未能检测如果系统未能检测出真正的入侵行为出真正的入侵行为洁卑乖搪皑拯流仗狮躲魁浦洗潞枷舒走债早铡镭账蔓赌晴扬粤昧刺兢彩币云计
19、算与入侵检测ppt课件云计算与入侵检测ppt课件入侵检测系统的分类(入侵检测系统的分类(1)n按照分析方法(检测方法)按照分析方法(检测方法)n异常检测模型异常检测模型(Anomaly Detection ):首先总首先总结正常操作应该具有的特征(用户轮廓),结正常操作应该具有的特征(用户轮廓),当用当用户活动与正常行为有重大偏离时即被认为是入侵户活动与正常行为有重大偏离时即被认为是入侵 n误用检测模型误用检测模型(Misuse Detection):收集非正收集非正常操作的行为特征常操作的行为特征,建立相关的特征库,建立相关的特征库,当监测当监测的用户或系统行为与库中的记录相匹配时,系统的用
20、户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵就认为这种行为是入侵 莱足阻砌弹浑豹搭博手暑熊肛吧决拯魄焙智侩拂髓贬迹驹坐瓮邑久钠犀哦云计算与入侵检测ppt课件云计算与入侵检测ppt课件入侵检测系统的分类入侵检测系统的分类l网络网络IDS:n网络网络IDS(NIDS)通常以非破坏方式使用。这种)通常以非破坏方式使用。这种设备能够捕获设备能够捕获LAN区域中的信息流并试着将实时信区域中的信息流并试着将实时信息流与已知的攻击签名进行对照。息流与已知的攻击签名进行对照。l l主机主机主机主机IDSIDS:主主主主机机机机入入入入侵侵侵侵检检检检测测测测系系系系统统统统(HIDSHIDS)是
21、是是是一一一一种种种种用用用用于于于于监监监监控控控控单单单单个个个个主主主主机机机机上上上上的的的的活活活活动动动动的的的的软软软软件件件件应应应应用用用用。监监监监控控控控方方方方法法法法包包包包括括括括验验验验证证证证操操操操作作作作系系系系统统统统与与与与应应应应用用用用调用及检查日志文件、文件系统信息与网络连接。调用及检查日志文件、文件系统信息与网络连接。调用及检查日志文件、文件系统信息与网络连接。调用及检查日志文件、文件系统信息与网络连接。 混合型的混合型的混合型的混合型的缚管诧逸腆挎郸且箕差扎俯攀淤誉唉客配逻忠肆后超驴牺措蹭脊串驰崭毋云计算与入侵检测ppt课件云计算与入侵检测pp
22、t课件两类两类IDS监测软件监测软件n网络网络IDSn侦测速度快侦测速度快 n隐蔽性好隐蔽性好 n视野更宽视野更宽 n较少的监测器较少的监测器 n占资源少占资源少 n主机主机IDSn视野集中视野集中 n易于用户自定义易于用户自定义n保护更加周密保护更加周密n对网络流量不敏感对网络流量不敏感 泳巨尿槽痹醋死灼肿氧哟斑痘染抢撬钦族雾絮晕涡清顷哆事礼朽坚枚鸿扁云计算与入侵检测ppt课件云计算与入侵检测ppt课件1. 概述概述2. 入侵检测方法入侵检测方法 入侵检测系统的设计原理入侵检测系统的设计原理4. 入侵检测响应机制入侵检测响应机制5. 入侵检测标准化工作入侵检测标准化工作6. 云计算分层安全和
23、入侵检测系统云计算分层安全和入侵检测系统锗撰蕉拾硒啄列呈祟恩朔卞涂搂甲莎搂器吞馒拔窍尤轨去潘全颁晒俊呜巡云计算与入侵检测ppt课件云计算与入侵检测ppt课件活帜瞻谭径猿捎揖尺潞膊爬拆煌呈肚汕甫埋宜郊衬讽勃捆冤抵氮慧吉佣而云计算与入侵检测ppt课件云计算与入侵检测ppt课件1. 概述概述2. 入侵检测方法入侵检测方法3. 入侵检测系统的设计原理入侵检测系统的设计原理 入侵检测响应机制入侵检测响应机制5. 入侵检测标准化工作入侵检测标准化工作6. 云计算分层安全和入侵检测系统云计算分层安全和入侵检测系统残贫届讯孝砧幢捣伟并抹户华务盆偏弹尖猴乌羔猾擅转猫间董例肝址炳摔云计算与入侵检测ppt课件云计算
24、与入侵检测ppt课件制订响应策略应考虑的要素制订响应策略应考虑的要素n系统用户:入侵检测系统用户可以分为网络系统用户:入侵检测系统用户可以分为网络安全专家安全专家或或管理员管理员、系统管理员、安全调查员系统管理员、安全调查员。这三类人员对系统。这三类人员对系统的使用目的、方式和熟悉程度不同,必须区别对待的使用目的、方式和熟悉程度不同,必须区别对待n操作运行环境:入侵检测系统提供的信息形式依赖其运操作运行环境:入侵检测系统提供的信息形式依赖其运行环境行环境n系统目标:为用户提供关键数据和业务的系统,需要部系统目标:为用户提供关键数据和业务的系统,需要部分地提供主动响应机制分地提供主动响应机制n规
25、则或法令的需求:在某些军事环境里,允许采取主动规则或法令的需求:在某些军事环境里,允许采取主动防御甚至攻击技术来对付入侵行为防御甚至攻击技术来对付入侵行为另生沂佐刻蓄习瘤催舅琉政涂玛佑堑追暑亭工磁笺阶甫菠德煞荣臆赣殖豺云计算与入侵检测ppt课件云计算与入侵检测ppt课件响应策略响应策略n弹出窗口报警nE-mail通知n切断TCP连接n执行自定义程序n与其他安全产品交互nFirewallnSNMP Trap迂岩觅鼎揽渐欧拾慈宛蓝晴失肢雁馋剿焰袜扑咬占釉曹证涝麓罗皑尤搔逛云计算与入侵检测ppt课件云计算与入侵检测ppt课件v压制调速压制调速 1 1、 撤消连接撤消连接 2 2、 回避回避 3 3、
26、 隔离隔离 vSYN/ACKSYN/ACKvRESETsRESETs自动响应自动响应荷台励了液挚患要翱惦谎连装瓦檄徐训碧妖袱赛瞬弓句龟揽允伶渍撤烽叔云计算与入侵检测ppt课件云计算与入侵检测ppt课件一一个个高高级级的的网网络络节节点点在在使使用用“压压制制调调速速”技技术术的的情情况况下下,可可以以采采用用路路由由器器把把攻攻击击者者引引导导到到一一个个经经过过特特殊殊装装备备的系统上,这种系统被成为蜜罐的系统上,这种系统被成为蜜罐 蜜罐是一种欺骗手段,它可以用于错误地诱导攻击蜜罐是一种欺骗手段,它可以用于错误地诱导攻击者,也可以用于收集攻击信息,以改进防御能力者,也可以用于收集攻击信息,以
27、改进防御能力 蜜罐能采集的信息量由自身能提供的手段以及攻击蜜罐能采集的信息量由自身能提供的手段以及攻击行为数量决定行为数量决定 蜜罐蜜罐掳猫浩海倡肪压羽孝立滔悠辖路育佯贱艇苫骂哪鬼韩藻谈帘杰包哗基预东云计算与入侵检测ppt课件云计算与入侵检测ppt课件1. 概述概述2. 入侵检测方法入侵检测方法3. 入侵检测系统的设计原理入侵检测系统的设计原理4. 入侵检测响应机制入侵检测响应机制 入侵检测标准化工作入侵检测标准化工作6. 云计算分层安全和入侵检测系统云计算分层安全和入侵检测系统豪绑蓬芬瀑睦酣掂犁跑妻泥砧险紫酝公坯矗隔蝉慑掂檀折疟难期锌砧避扭云计算与入侵检测ppt课件云计算与入侵检测ppt课件
28、IDS标准化要求标准化要求n随着网络规模的扩大,网络入侵的方式、类随着网络规模的扩大,网络入侵的方式、类型、特征各不相同,入侵的活动变得复杂而型、特征各不相同,入侵的活动变得复杂而又难以捉摸又难以捉摸n网络的安全要求网络的安全要求IDS之间之间能够相互协作,能能够相互协作,能够与访问控制、应急、入侵追踪等系统交换够与访问控制、应急、入侵追踪等系统交换信息,形成一个整体有效的安全保障系统信息,形成一个整体有效的安全保障系统n需要一个标准来加以指导,系统之间要有一需要一个标准来加以指导,系统之间要有一个约定个约定摔疮诺颇泡禽标乒沧让皱帚砒措呈胰矩报圃叔脖神征扦芜趟鞍阐才融撮华云计算与入侵检测ppt
29、课件云计算与入侵检测ppt课件CIDF(The Common Intrusion Detection Framework)http:/www.gidos.org/drafts习皇瓮诵怎检倡诬涧叭颓看脓安咋然佑查森患撞努压饮赛亥婉九唯葬滦岂云计算与入侵检测ppt课件云计算与入侵检测ppt课件CIDFnCIDFCIDF早期由美国国防部高级研究计划局赞助研究,现在由早期由美国国防部高级研究计划局赞助研究,现在由CIDFCIDF工作组负责,这是一个开放组织。实际上工作组负责,这是一个开放组织。实际上CIDFCIDF已经成已经成为一个开放的共享的资源为一个开放的共享的资源nCIDFCIDF是一套规范,它
30、定义了是一套规范,它定义了IDSIDS表达检测信息的标准语言以表达检测信息的标准语言以及及IDSIDS组件之间的通信协议组件之间的通信协议n符合符合CIDFCIDF规范的规范的IDSIDS可以共享检测信息,相互通信,协同工可以共享检测信息,相互通信,协同工作,还可以与其它系统配合实施统一的配置响应和恢复策作,还可以与其它系统配合实施统一的配置响应和恢复策略略nCIDFCIDF的主要作用在于集成各种的主要作用在于集成各种IDSIDS,使之协同工作,实现各,使之协同工作,实现各IDSIDS之间的组件重用,所以之间的组件重用,所以CIDFCIDF也是构建分布式也是构建分布式IDSIDS的基础的基础护
31、灾炳壮襄劣一竟弗泣现扭多罢肛淹舌秧窘咱抓海李奈剔们肇蹭尿棵浊撞云计算与入侵检测ppt课件云计算与入侵检测ppt课件CIDF规格文档 CIDFCIDF的规格文档由四部分组成,分别为:的规格文档由四部分组成,分别为:n体系结构:阐述了一个标准的体系结构:阐述了一个标准的IDSIDS的通用模型的通用模型n规范语言:定义了一个用来描述各种检测信息的标准语言规范语言:定义了一个用来描述各种检测信息的标准语言n内部通讯:定义了内部通讯:定义了IDSIDS组件之间进行通信的标准协议组件之间进行通信的标准协议n程序接口:提供了一整套标准的应用程序接口程序接口:提供了一整套标准的应用程序接口狱猿劣增爹租夹闪兑颜
32、瓷扭全嘉釉稍拨瞪钥北巫弧瓤俐功杆巧程硫抢谷柏云计算与入侵检测ppt课件云计算与入侵检测ppt课件通信层次nCIDFCIDF将各组件之间的通信划分为三个层次结构:将各组件之间的通信划分为三个层次结构:GIDOGIDO层(层(GIDO GIDO layerlayer)、消息层()、消息层(Message layerMessage layer)和传输层()和传输层(Negotiated Negotiated Transport layerTransport layer)n其中传输层不属于其中传输层不属于CIDFCIDF规范,它可以采用很多种现有的传输机制来规范,它可以采用很多种现有的传输机制来实现实
33、现n消息层负责对传输的信息进行加密认证,然后将其可靠地从源传输消息层负责对传输的信息进行加密认证,然后将其可靠地从源传输到目的地,消息层不关心传输的内容,它只负责建立一个可靠的传到目的地,消息层不关心传输的内容,它只负责建立一个可靠的传输通道输通道nGIDOGIDO层负责对传输信息的格式化,正是因为有了层负责对传输信息的格式化,正是因为有了GIDOGIDO这种统一的信这种统一的信息表达格式,才使得各个息表达格式,才使得各个IDSIDS之间的互操作成为可能之间的互操作成为可能际矢砍琉棉幸狄良司桂讲哲诌驻外绽轻睡拾去擅柱芍槛良慎钒宫盲汇改措云计算与入侵检测ppt课件云计算与入侵检测ppt课件CIS
34、L(ACommonIntrusionSpecificationLanguage)nCIDF的规范语言文档定义了一个公共入侵标准语言CISL,各IDS使用统一的CISL来表示原始事件信息、分析结果和响应指令,从而建立了IDS之间信息共享的基础nCISL是CIDF的最核心也是最重要的内容掏炙押捎瞬更浮捌晶人玻肚磷授遇迅罕汞锐嘲湿哈蘸晕斌井限歪加案龋赎云计算与入侵检测ppt课件云计算与入侵检测ppt课件匹配服务法(匹配器)匹配服务法(匹配器)nCIDF的匹配服务为的匹配服务为CIDF各组件之间的相互识别、定位和各组件之间的相互识别、定位和信息共享提供了一个标准的统一的机制信息共享提供了一个标准的统一
35、的机制n匹配器匹配器的实现是基于轻量目录访问协议(的实现是基于轻量目录访问协议(LDAP)的,每)的,每个组件通过目录服务注册,并公告它能够产生或能够处理个组件通过目录服务注册,并公告它能够产生或能够处理的的GIDO,这样组件就被分类存放,其它组件就可以方便,这样组件就被分类存放,其它组件就可以方便地查找到那些它们需要通信的组件地查找到那些它们需要通信的组件n目录中还可以存放组件的公共密钥,从而实现对组件接收目录中还可以存放组件的公共密钥,从而实现对组件接收和发送和发送GIDO时的身份认证时的身份认证近踏橡舷质消习掳吮掐柒纶劣穴佯栖潦庶岂滩瞅独议盈拆粕吝馆锚歉般涩云计算与入侵检测ppt课件云计
36、算与入侵检测ppt课件匹配器构成匹配器构成n通信模块:实现客户端(可为任何一个通信模块:实现客户端(可为任何一个CIDF组件)与匹配代组件)与匹配代理之间的通信协议理之间的通信协议n匹配代理:一个任务是处理从远端组件到它的客户端的输入匹配代理:一个任务是处理从远端组件到它的客户端的输入请求,另一个任务是处理从它的客户端到远端组件的输出请请求,另一个任务是处理从它的客户端到远端组件的输出请求求n认证和授权模块:使一个组件能够鉴别其它组件,使客户端认证和授权模块:使一个组件能够鉴别其它组件,使客户端与匹配代理之间能够相互鉴别与匹配代理之间能够相互鉴别n客户端缓冲区:使客户端能够对最近建立的一些关联
37、信息进客户端缓冲区:使客户端能够对最近建立的一些关联信息进行缓冲存储行缓冲存储影穆奈软门葬女梧舍剥猾逢浮盟核纺弗菱河韶圭枝斡绰诀染剔殃租敌隘疲云计算与入侵检测ppt课件云计算与入侵检测ppt课件CIDF程序接口程序接口CIDF的程序接口文档描述了用于的程序接口文档描述了用于GIDO编解码以及传输的标准编解码以及传输的标准应用程序接口(以下简称为应用程序接口(以下简称为API),它包括以下几部分内容),它包括以下几部分内容nGIDO编码和解码编码和解码API(GIDOEncoding/DecodingAPISpecification)n消息层消息层API(MessageLayerAPISpeci
38、fication)nGIDO动态追加动态追加API(GIDOAddendumAPI)n签名签名API(SignatureAPI)n顶层顶层CIDF的的API(Top-LevelCIDFAPI)每类每类API均包含数据结构定义、函数定义和错误代码定义等均包含数据结构定义、函数定义和错误代码定义等敢峦苔阔踩我冬编蝇蠢因手高萄凯迁根叶草始南杭泳锐烫若泊读姻氦锦眺云计算与入侵检测ppt课件云计算与入侵检测ppt课件CIDF的应用的应用n目前目前CIDF还没有成为正式的标准,也没有一个商业还没有成为正式的标准,也没有一个商业IDS产品完产品完全遵循该规范,但各种全遵循该规范,但各种IDS的结构模型具有很
39、大的相似性,各的结构模型具有很大的相似性,各厂商都在按照厂商都在按照CIDF进行信息交换的标准化工作,有些产品已进行信息交换的标准化工作,有些产品已经可以部分地支持经可以部分地支持CIDFn可以预测,随着分布式可以预测,随着分布式IDS的发展,各种的发展,各种IDS互操作和协同工互操作和协同工作的迫切需要,各种作的迫切需要,各种IDS产品必须遵循统一的框架结构,产品必须遵循统一的框架结构,CIDF将成为事实上的将成为事实上的IDS的工业标准的工业标准燕降红雀蚂崖悄术瘪续尼饼窝景口仲狭恋啄泅颐栏宽屯姑巴搓刊衫络潦茵云计算与入侵检测ppt课件云计算与入侵检测ppt课件1. 概述概述2. 入侵检测方
40、法入侵检测方法3. 入侵检测系统的设计原理入侵检测系统的设计原理4. 入侵检测响应机制入侵检测响应机制5. 入侵检测标准化工作入侵检测标准化工作 云计算分层安全和入侵检测系统云计算分层安全和入侵检测系统讯歉账暂呼帛洪鳃昔闸任宁纸妻振氯米喇瓜抨侣复谭芋拖衷鸟孤拓卉庸饲云计算与入侵检测ppt课件云计算与入侵检测ppt课件分层安全方法分层安全方法n使用分层安全方法会最大化发挥入侵检测系统(使用分层安全方法会最大化发挥入侵检测系统(IDS)的功效。)的功效。n分层安全机制意味着采用了多种措施来确保数据安全,因此增分层安全机制意味着采用了多种措施来确保数据安全,因此增加了攻击者渗透到网络中所需要的工作负
41、载和时间。加了攻击者渗透到网络中所需要的工作负载和时间。n对数据实施安全防护所使用的安全部件和安全层次越多,基础对数据实施安全防护所使用的安全部件和安全层次越多,基础设施的安全性就越高。设施的安全性就越高。擂梳咎突疆殴患汇棱运喻暂溅垒扶源孰夕浅暮吾该键成钾覆椒畔微骄暴成云计算与入侵检测ppt课件云计算与入侵检测ppt课件分层安全方法组成部分分层安全方法组成部分n安全策略、安全过程、安全标准以及安全指南,包括一个顶层安全策略、安全过程、安全标准以及安全指南,包括一个顶层的安全策略;的安全策略;n边界安全,例如路由器、防火墙和其他边界设备;边界安全,例如路由器、防火墙和其他边界设备;n硬件和软件的
42、主机安全产品;硬件和软件的主机安全产品;n审计、监控、入侵检测与响应。审计、监控、入侵检测与响应。沽俏亩刀忿瞬逃矫铸节虽胰杭贾汛膏汝蝶抠乍漫搬屏系它溅挝鸵掳傅照奎云计算与入侵检测ppt课件云计算与入侵检测ppt课件云平台入侵检测云平台入侵检测n对网络流量进行监控,并对网络流量进行监控,并/或对主机审计日志进行监控,确保或对主机审计日志进行监控,确保能够检测到是否有违背组织安全策略的事件发生。能够检测到是否有违背组织安全策略的事件发生。n入侵检测系统能够发现那些规避或绕开防火墙的入侵行为,以入侵检测系统能够发现那些规避或绕开防火墙的入侵行为,以及防火墙内部本地局域网正在发生的入侵行为。及防火墙内
43、部本地局域网正在发生的入侵行为。n关键问题:关键问题:n对可能被攻击的资产进行保护;对可能被攻击的资产进行保护;n如果某个事故不需要应急响应服务,那就保护资源使其得到最大化利用;如果某个事故不需要应急响应服务,那就保护资源使其得到最大化利用;n遵循政府或其他相关法律法规;遵循政府或其他相关法律法规;n防止你的系统被用于攻击其他系统;防止你的系统被用于攻击其他系统;n尽可能地降低潜在的负面影响。尽可能地降低潜在的负面影响。痢区烂茁埠躲滩吟末芋爷宅辟枚裤吊龋拐务薪做拔饯谢患甜市春蔡屿予桌云计算与入侵检测ppt课件云计算与入侵检测ppt课件基于网络的入侵检测系统(基于网络的入侵检测系统(NIDS)n
44、通常位于独立的网段,对该网络段的通信进行监控。通常位于独立的网段,对该网络段的通信进行监控。n网络数据包的签名匹配:网络数据包的签名匹配:n字符串签名字符串签名n端口签名端口签名n报头状态签名报头状态签名n被动地获取数据,能够在不消耗网络或主机资源的情况下提供被动地获取数据,能够在不消耗网络或主机资源的情况下提供可靠的实时信息。可靠的实时信息。n问题:无法检测到攻击者通过终端连接到主机上对主机的攻击。问题:无法检测到攻击者通过终端连接到主机上对主机的攻击。倒赤战掇鹤遇端稀洗诈谆斧渣眉症炼洲涧窄浸掸譬沙篡鼠班氧撅饼嘻畜斯云计算与入侵检测ppt课件云计算与入侵检测ppt课件基于主机的入侵检测系统(
45、基于主机的入侵检测系统(HIDS)n使用主机上的小程序监控操作系统的行为是否正常,并在检测使用主机上的小程序监控操作系统的行为是否正常,并在检测到异常时写日志文件或触发警报。到异常时写日志文件或触发警报。nHIDS的特征:的特征:n对系统关键文件的访问和变动进行监控,对用户权限的变动进行监控;对系统关键文件的访问和变动进行监控,对用户权限的变动进行监控;n发现内部可信人员攻击的能力比发现内部可信人员攻击的能力比NIDS强;强;n检测源自外部的攻击能力相对较强;检测源自外部的攻击能力相对较强;n通过配置可以检测被监控主机上所有的网络数据包、连接尝试或登录尝通过配置可以检测被监控主机上所有的网络数
46、据包、连接尝试或登录尝试,包括拨号尝试或其他与网络无关的通信端口。试,包括拨号尝试或其他与网络无关的通信端口。遁障充厕银主铜缅羊权拌困谎丙颗犯拷拯痕您新絮帐歹茫代黑号跪缸霜和云计算与入侵检测ppt课件云计算与入侵检测ppt课件基于网络的入侵检测系统(基于网络的入侵检测系统(NIDS)n通常位于独立的网段,对该网络段的通信进行监控。通常位于独立的网段,对该网络段的通信进行监控。n网络数据包的签名匹配:网络数据包的签名匹配:n字符串签名字符串签名n端口签名端口签名n报头状态签名报头状态签名n被动地获取数据,能够在不消耗网络或主机资源的情况下提供被动地获取数据,能够在不消耗网络或主机资源的情况下提供
47、可靠的实时信息。可靠的实时信息。n问题:无法检测到攻击者通过终端连接到主机上对主机的攻击。问题:无法检测到攻击者通过终端连接到主机上对主机的攻击。毋湃沸露竭恨障雕喇侣旱族苍推砾轰沉捣俞塔启荣劫羚土兑慎赣剃巨围衅云计算与入侵检测ppt课件云计算与入侵检测ppt课件基于签名的入侵检测系统基于签名的入侵检测系统n系统中存储了用于刻画攻击的签名或属性以便参考。当从主机系统中存储了用于刻画攻击的签名或属性以便参考。当从主机审计日志或网络数据包监控获取到事件的相关数据时,这些数审计日志或网络数据包监控获取到事件的相关数据时,这些数据会与攻击签名数据库进行对比。据会与攻击签名数据库进行对比。n基于签名的入侵
48、检测系统的优势:基于签名的入侵检测系统的优势:n误报率低;误报率低;n警报格式是标准化的,安全人员容易理解;警报格式是标准化的,安全人员容易理解;n系统是资源密集型的;系统是资源密集型的;n由于有关攻击的知识非常集中,因此那些新的、特殊的原始攻击往往无由于有关攻击的知识非常集中,因此那些新的、特殊的原始攻击往往无法被发现。法被发现。吭瀑爵皱撂夏扰浪待失捂嘲第墨讥赶车胳憋筐渴潮殿湛诀烹厘奢缕骆抉榔云计算与入侵检测ppt课件云计算与入侵检测ppt课件基于异常统计的入侵检测系统基于异常统计的入侵检测系统n异常统计或基于行为的入侵检测系统基于已经获取的用户行为异常统计或基于行为的入侵检测系统基于已经获
49、取的用户行为模式,动态地检测异常行为,并在异常行为发生时触发报警。模式,动态地检测异常行为,并在异常行为发生时触发报警。n使用基于异常的检测方法,入侵检测系统可对正在被监控的主使用基于异常的检测方法,入侵检测系统可对正在被监控的主机或网络的正常使用情况进行定义并获取数据。使用这种方法机或网络的正常使用情况进行定义并获取数据。使用这种方法能够检测到新的攻击,因为它们导致了异常的系统统计。能够检测到新的攻击,因为它们导致了异常的系统统计。n基于异常统计的入侵检测系统的优势:基于异常统计的入侵检测系统的优势:n系统可以动态地适应新的、特殊的原始攻击;系统可以动态地适应新的、特殊的原始攻击;n相对于基
50、于知识的入侵检测系统而言,基于行为的入侵检测系统不依赖相对于基于知识的入侵检测系统而言,基于行为的入侵检测系统不依赖具体的操作系统;具体的操作系统;n能够帮助检测那些实际上没有利用任何安全漏洞的特权滥用攻击。能够帮助检测那些实际上没有利用任何安全漏洞的特权滥用攻击。辜荒粉拦琼丝述本顺团纳陈侵杰巨靡贬责旁垫幕肛本子警舶矗禹根馅魂峪云计算与入侵检测ppt课件云计算与入侵检测ppt课件入侵检测系统有效利用面临的挑战入侵检测系统有效利用面临的挑战n入侵者目标类型增多,入侵者能力提高,工具复杂度提高,攻击类型增多,使入侵者目标类型增多,入侵者能力提高,工具复杂度提高,攻击类型增多,使用更加复杂、精细和创
51、新的攻击场景;用更加复杂、精细和创新的攻击场景;n使用加密消息传输恶意消息;使用加密消息传输恶意消息;n需要跨基础设施环境内部的各种技术与各种策略进行数据的协同与交互;需要跨基础设施环境内部的各种技术与各种策略进行数据的协同与交互;n日益增加的网络流量;日益增加的网络流量;n缺乏被广泛接受的入侵检测术语和概念结构;缺乏被广泛接受的入侵检测术语和概念结构;n入侵检测系统市场的波动性导致对入侵检测系统的购买和维护难度增大;入侵检测系统市场的波动性导致对入侵检测系统的购买和维护难度增大;n在采用不正确的自动化响应操作时所带来的固有风险;在采用不正确的自动化响应操作时所带来的固有风险;n针对入侵检测系统自身的攻击;针对入侵检测系统自身的攻击;n难以接受的高误报率和高漏报率,难以判断准确的攻击行为;难以接受的高误报率和高漏报率,难以判断准确的攻击行为;n缺少客观的入侵检测系统评估指标与测试信息;缺少客观的入侵检测系统评估指标与测试信息;n绝大多数计算基础设施并不是为了安全运行而设计的。绝大多数计算基础设施并不是为了安全运行而设计的。蒋积妆檄病佣瓜蓟氰旱染俐溪韶斡铃亢呼啊遣诀椽掂倾裳币泥剑图敷懦垦云计算与入侵检测ppt课件云计算与入侵检测ppt课件
