网络安全技术 第2版 作者 陈卓 第7章.pptVIP

第7章 入侵检测技术 7.1 什么是入侵检测 7.2 入侵检测在安全中的作用 7.3 入侵检测模型及工作过程 7.4 入侵检测系统的分类 7.5 商业入侵检测的性能指标及常见类型 7.6 入侵检测系统的部署方式 7.7 入侵检测技术应用 7.1 什么是入侵检测 7.1 什么是入侵检测 入侵检测，也称为IDS，是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”，就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 用一个非常形象的比喻来形容防火墙技术和入侵检测技术在保护网络安全方面的作用——假如防火墙是一幢大厦的门锁，那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦，或内部人员有越界行为，只有实时监视系统才能发现情况、发出警告并记录小偷的行为。也就是说，入侵检测系统是防火墙的一个有效的补充，两者互相配合，才能有效保护网络系统的安全。 7.2 入侵检测技术的作用 7.2 入侵检测技术的作用 入侵检测系统主要有两大职责，一是实时监控，二是安全审计。实时监控实时地监视、分析网络中所有的数据报文，发现并实时处理所捕获的数据报文；安全审计通过对入侵检测系统所记录的网络事件进行分析，发现其中的异常现象，得出系统的安全状态，找出所需要的证据。 7.2 入侵检测技术的作用 具体来说有以下作用： 1）通过检测和记录网络中的安全违规行为，惩罚网络犯罪，防止网络入侵事件的发生； 2）检测其它安全措施未能阻止的攻击或安全违规行为； 3）检测黑客在攻击前的探测行为，预先给管理员发出警报； 4）报告计算机系统或网络中存在的安全威胁； 5）提供有关攻击的信息，帮助管理员诊断网络中存在的安全弱点，利于其进行修补； 6）在大型、复杂的计算机网络中布置入侵检测系统，可以显著提高网络安全管理的质量。 7.3 入侵检测模型 7.3 入侵检测模型 为解决入侵检测系统之间的互操作性，国际上的一些研究组织开展了标准化工作，目前对IDS进行标准化工作的有两个组织：IETF的Intrusion Detection Working Group（IDWG）和Common Intrusion Detection Framework（CIDF）。CIDF早期由美国国防部高级研究计划局赞助研究，现在由CIDF工作组负责，是一个开放组织。 7.3 入侵检测模型 CIDF阐述了一个入侵检测系统（IDS）的通用模型。它将一个入侵检测系统分为以下组件：事件产生器（Event Generators），用E盒表示；事件分析器（Event Analyzers），用A盒表示；响应单元（Response Units），用R盒表示；事件数据库（Event Databases），用D盒表示。 7.3 入侵检测模型 模型图如下 7.3 入侵检测模型 E盒通过传感器收集事件数据，并将信息传送给A盒，A盒检测误用模式；D盒存储来自A、E盒的数据，并为额外的分析提供信息；R盒从A、E盒中提取数据，D盒启动适当的响应。A、E、D及R盒之间的通信都基于GIDO（Generalized Intrusion Detection Objects，通用入侵检测对象）和CISL（Common Intrusion Specification Language，通用入侵规范语言）。如果想在不同种类的A、E、D及R盒之间实现互操作，需要对GIDO实现标准化并使用CISL。 7.3 入侵检测模型 用通俗的语言说，各个部件的作用具体如下。 事件产生器(Event Generators)： 事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。 事件分析器(Event Analyzers)：事件分析器分析得到的数据，并产生分析结果。 7.3 入侵检测模型 响应单元(Response Units) 响应单元则是对分析结果作出作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应,甚至发动对攻击者的反击，也可以只是简单的报警。 事件数据库(Event Databases)：事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。 7.4 入侵检测系统的工作过程 7.4 入侵检测系统的工作过程 入侵检测过程分为三个步骤：信息收集、信息分析和结果处理。 1．信息收集 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。入侵检测很