四章入侵检测技术.pptVIP

第四章 入侵检测技术 第四章 入侵检测技术 本章要点 入侵检测的原理 入侵检测涉及到的关键技术 入侵检测软件的使用 第四章 入侵检测技术 4.1 入侵检测系统概述——IDS的产生 4.1 入侵检测系统概述——IDS的系统结构 信息收集是入侵检测的第一步，而入侵检测监控技术解决了“从何处获取包含了攻击信息的数据”这一问题。 三类监控技术： 基于主机的监控 基于网络的监控 混合型监控 基于主机的入侵检测系统（host-based IDS，HIDS） 用来保护单台主机，负责监视系统内发生的各种活动，并在可疑事件发生时给出警报或做出响应 。 HIDS可对系统中的多种对象进行监控，包括： 系统日志 网络连接 文件系统 …… 应根据主机的特点来选择最合适的产品。例如，对于一个Web服务器来说，更多的攻击可能来自于网络，故应在其上安装有网络监控功能的HIDS。 HIDS的优点 对分析“可能的攻击行为”非常有用 能够判断攻击是否成功 与NIDS相比，具有较低的误报率 HIDS的缺点 需占用被监控系统的系统资源 全面部署HIDS的代价较大 无法检测来自网络的攻击，存在检测盲点 基于网络的入侵检测系统（Network-based IDS，NIDS） 用来保护网络中的多台主机，它以网络中的数据包作为分析对象 由于需处理大量数据，NIDS一般位于专用硬件平台上 所在主机的网卡需设为混杂模式 部署NIDS时需考虑的问题 NIDS的部署位置？ 与网络本身的拓扑结构、管理员希望达到的监控目的有关。 如何处理交换式网络？ 使用带调试端口的交换机； 使用Hub或Trap。 NIDS的优点 能够检测来自网络的攻击 采用旁路技术，不会成为系统中的瓶颈 系统容易部署 操作系统无关性 NIDS的缺点 在交换式网络环境下需添加额外的硬件设施 网络流量较大时处理能力有限 不适用于加密的网络环境 对入侵不能做出合理的反应 混合型IDS的基本特点 结合了HIDS和NIDS的特点，既可以发现网络中的攻击行为，又可以从系统日志中发现异常情况 一般采用分布监控、集中分析的体系结构 在完成信息收集后，接下来要进行的工作就是对这些信息进行分析，看其中是否包含了可疑的攻击行为。 入侵检测分析技术主要分成两类： 误用检测：收集已有的入侵技术并建立知识库，通过匹配查找来判断当前行为是否为入侵。 异常检测：系统管理员首先为网络通信流量、分组典型大小等指标定义一个基线，或者说定义一个正常状态值。然后将待检测对象的状态与正常状态值进行比较，如果超出正常值，则认为出现了攻击事件。 模式匹配 检测原理：将数据包的内容与代表某种恶意事件或流量的特征串进行逐字节地比较 优点：分析速度快，误报率低 缺点：计算量大，尤其是模式库规模较大的情况下；只能检测给定类型的攻击，对稍微变形的攻击特征就束手无策 专家系统 检测原理：根据安全专家对可疑行为的分析经验来形成一套推理规则，然后再在此基础之上构建相应的专家系统。 安全专家的知识被表达成“if-then”格式。其中，每条规则的if部分代表某个入侵特征，then部分为系统的响应措施。当if条件满足时即判断为入侵行为，并做出响应。 状态转移分析 检测原理：将状态转换图应用于入侵行为的分析。 分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态转换的转换条件，即导致系统进入被入侵状态必须执行的操作。然后用状态转换图来表示每一个状态和特征事件。这样，一个入侵行为就被描绘成一系列导致目标系统从初始状态转换到被入侵状态的特征操作，及一系列系统状态转换过程。 统计方法 检测原理：首先，检测器为系统对象创建一个统计描述，统计正常情况下的一些属性的值。当观察值在正常值范围之外时，则认为出现了攻击事件。 细分为基于阀值和基于轮廓的检测技术 基于阀值：统计事件在一定时间内发生频率，当其发生频率超出正常值时，则认为出现了攻击事件。 基于轮廓：对用户过去的行为特征进行刻画，然后检查当前活动与这些特征（若干参数）间的差异，该方法以分析审计日志为基础 。 人工免疫 检测原理：模仿生物有机体的免疫系统工作机制，使得受保护的系统能够将非自体的非法行为和自体的合法行为区分开来。 下表给出了生物系统和人工免疫系统中相关对象的对应关系： 集中式入侵检测系统由一个中心站和若干监控代理组成。监控代理分布在各关键节点上，负责收集本地审计数据，并将其转换成与操作系统无关的格式，然后送往中心站统一进行分析。 优点： 不会给被监控系统的性能带来影响 更容易做出全局性的决策 由于中心站比被监视主机具有更高和更加严格的安全措施，从而保证入侵检测功能更加可靠