计算机信息安全技术教学课件.ppt

计算机网络安全基础 计算机网络安全基础 计算机网络安全基础 计算机信息安全技术教学课件 制作人：彭龙 第一章 入侵检测技术 IDS存在与发展的必然性 一、网络攻击的破坏性、损失的严重性 二、日益增长的网络安全威胁 三、单纯的防火墙无法防范复杂多变的攻击 为什么需要IDS 关于防火墙 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 入侵很容易 入侵教程随处可见 各种工具唾手可得 网络安全工具的特点 入侵检测的定义 对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。 进行入侵检测的软件与硬件的组合便是入侵检测系统。 IDS : Intrusion Detection System IDS基本结构 入侵检测系统包括三个功能部件 （1）信息收集 （2）信息分析 （3）结果处理 信息收集 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为 需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点 信息收集 入侵检测很大程度上依赖于收集信息的可靠性和正确性 要保证用来检测网络系统的软件的完整性 特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息 信息收集的来源 系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为 系统或网络的日志文件 攻击者常在系统日志文件中留下他们的踪迹。 日志文件中记录了各种行为类型，每种类型又包含不同的信息，如“用户活动”类型日志包含登录、用户ID改变等内容。对用户活动来讲，不期望的行为就是重复登录失败、登录到不期望的位置等。 系统目录和文件的异常变化 网络环境中的包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标； 目录和文件中的不期望的改变，很可能就是一种入侵产生的指示和信号； 入侵者替换、修改和破坏系统上的文件，同时为了隐藏其活动痕迹，会尽力去替换系统程序或修改系统日志文件 。 信息分析 模式匹配 统计分析 完整性分析，往往用于事后分析 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为； 一般来讲，一种攻击模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。 统计分析 统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）； 测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生； 完整性分析 完整性分析主要关注某个文件或对象是否被更改； 包括文件和目录的内容及属性； 在发现被更改的、被安装木马的应用程序方面特别有效； 入侵检测性能关键参数 误报(false positive)：如系统错误地将异常活动定义为入侵； 漏报(false negative)：如系统未能检测出真正的入侵行为； 入侵检测的分类（1） 按照分析方法（检测方法） 异常检测模型（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 。 入侵检测的分类（1） 按照分析方法（检测方法） 误用检测模型（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 。 异常检测特点 异常检测系统的效率取决于用户轮廓的完备性和监控的频率； 因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵； 系统能针对用户行为的改变进行自我调整和优化； Anomaly Detection 误用检测模型 如果入侵特征与正常用户行为能匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报； 特点：采用特征匹配，滥用模式能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得滥用检测无能为力； Misuse Detection 入侵检测的分类（2） 按照数据来源： 基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机。 基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行。 混合型 基于主机的入侵检测系统 基于网络的入侵检测系统 两类IDS监测软件 网络IDS 侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少 主机IDS 视野集中 易于用户自定义 保护更加周密 对网络流量不敏感 入侵检测的分类（3） 按系统各模块的运行方式 集中式：系统的各个模块包括数