信息安全技术 周苏 第5-1讲 入侵检测技术与网络入侵检测系统产品新.pptVIP

计算机网络技术 信息安全技术 第 5 讲 安全检测技术 5.1 入侵检测技术与网络入侵检测系统产品 5.2 漏洞检测技术和微软系统漏洞检测工具MBSA 第 5 讲 安全检测技术 5.1 入侵检测技术与网络入侵检测系统产品 传统的操作系统加固技术和防火墙技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应；而入侵检测技术则是动态安全技术的核心技术之一，可以作为防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力 (包括安全审计、安全检测、入侵识别、入侵取证和响应等) ，提高了信息安全基础结构的完整性。 第 5 讲 安全检测技术 入侵检测系统 (Intrusion Detection System，IDS) 是一类专门面向网络入侵的安全监测系统，它从计算机网络系统中的若干关键点收集信息，并分析这些信息，查看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全防线，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。 第 5 讲 安全检测技术 入侵检测系统主要执行以下任务： 1) 监视、分析用户及系统活动。 2) 系统构造和弱点的审计。 3) 识别反映已知进攻的活动模式并报警。 4) 异常行为模式的统计分析。 5) 评估重要系统和数据文件的完整性。 6) 对操作系统的审计追踪管理，并识别用户违反安全策略的行为。 第 5 讲 安全检测技术 一个成功的入侵检测系统，不但可使系统管理员时刻了解网络系统 (包括程序、文件和硬件设备等) 的任何变更，还能给网络安全策略的制订提供指南。同时，它应该是管理和配置简单，使非专业人员能容易地获得网络安全。当然，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，应及时做出响应，包括切断网络连接、记录事件和报警等。 第 5 讲 安全检测技术 目前，入侵检测系统主要以模式匹配技术为主，并结合异常匹配技术。从实现方式上一般分为两种：基于主机和基于网络，而一个完备的入侵检测系统则一定是基于主机和基于网络这两种方式兼备的分布式系统。另外，能够识别的入侵手段数量的多少、必威体育精装版入侵手段的更新是否及时也是评价入侵检测系统的关键指标。 第 5 讲 安全检测技术 利用必威体育精装版的可适应网络安全技术和P2DR (Policy，Protection，Detection，Response，即策略、保护、探测、反应) 安全模型，已经可以深入研究入侵事件、入侵手段本身及被入侵目标的漏洞等。随着P2DR安全模型被广泛认同，入侵检测系统在信息系统安全中占据越来越重要的地位。 第 5 讲 安全检测技术 1. IDS分类 根据检测方法不同分类 根据数据源不同分类 第 5 讲 安全检测技术 (1) 根据检测方法不同分类 按具体的检测方法，可将入侵检测系统分为基于行为和基于知识两类。 第 5 讲 安全检测技术 1) 基于行为的检测，也称为异常检测。 是指根据使用者的行为或资源使用状况的正常程度来判断是否发生入侵，而不依赖具体行为是否出现，即建立被检测系统正常行为的参考库，并通过与当前行为进行比较来寻找偏离参考库的异常行为。对于异常阈值与特征的选择是异常发现技术的关键。例如，通过流量统计分析将异常时间的异常网络流量视为可疑。 第 5 讲 安全检测技术 异常发现技术的局限是，并非所有的入侵都表现为异常，而且系统的轨迹也难以计算和更新。例如，一般在白天使用计算机的某用户，如果他突然在午夜注册登记，则有可能被认为是入侵者在使用。 第 5 讲 安全检测技术 2) 基于知识的检测，也被称为误用检测。 是指运用已知攻击方法，根据已定义好的入侵模式，通过与这些入侵模式是否匹配来判断入侵。入侵模式是入侵过程的特征、条件、排列以及事件间的关系，即具体入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助，而且对即将发生的入侵也有警戒作用，因为只要部分满足这些入侵迹象就意味着可能有入侵发生。 第 5 讲 安全检测技术 入侵模式匹配的关键是如何表达入侵的模式，把入侵与正常行为区分开来。入侵模式匹配的优点是误报少，局限是它只能发现已知的攻击，对未知的攻击无能为力。 第 5 讲 安全检测技术 (2) 根据数据源不同分类 根据检测系统所依据分析的原始数据不同，可将入侵检测分为来自系统日志和网络数据包两种。 入侵检测的早期研究主要集中在对主机系统日志文件的分析上，因为当时的用户对象局限于本地用户。操作系统的日志文件中包含了详细的用户信息和系统调用数据，从中可以分析系统是否被侵入以及侵入者留下的痕迹等审计信息。 第 5 讲 安全检测技术 随着因特网的普及，用户可随机地从不同客户机上登录，主机间也经常