07入侵检测技术与应用.ppt

第7章 入侵检测技术与应用 本章内容 引导案例: 众所周知，伴随改革进程的推进，中国电力行业形成了厂、网分离和电网按区域划分的全新格局。同时计算机网络技术的发展为电力的管理和调度提供了先进的服务和支持手段，为电力新业务（如电力市场应用、电力营销业务等）的开展提供了条件。 随着电力调度业务、电力营销业务、电力市场业务等越来越广泛地开展，电力企业网和因特网的联系也越来越紧密。与此同时，因特网的自由性和先天的不安全性会给电力企业网造成越来越严重的隐患。黑客的入侵、内部人员的操作失误、怀有各种目的的人对信息的侵害等问题也相伴而来，有可能对电力业务造成极大的破坏。为了规避潜在的计算机网络业务风险，使网络系统能够安全及高效运行，就必须保证网络安全隔离，随时检测各种隐患，同时还要兼顾网络的高效，能够随时通畅。入侵检测系统（Intrusion Detective System，IDS)作为新型的网络安全技术，有效地弥补了防火墙的某些性能上的缺陷，两者从不同角度以不同方式确保网络系统的安全。本章将系统地介绍入侵检测系统的原理和应用技术，为现实中遇到的安全问题提供另一层防护 7.1.1 入侵检测技术的发展历史 1980年，技术报告《计算机安全威胁监控与监视》指出，审计记录可以用于识别计算机误用，第一次详细介绍了入侵检测的概念。1984－1986一个实时入侵检测系统模型——IDES （Intrusion Detection Expert Systems)运用统计和基于规则两者技术的 系统，是入侵检测研究中最有影响的系统。1989年 论文《A Network Security Monitor）第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机，网络入侵检测从此诞生。 7.1.1 什么是入侵检测系统 随着网络技术日新月异的发展，计算机病毒也伴随这网络的发展而发展，这就涉及了新一代的网络安全技术。谈到网络安全，人们首先想到的是防火墙。但是随着技术的发展，网络日趋复杂，传统防火墙所暴露出来的不足和弱点引出了人们对入侵检测系统技术的研究和开发。 首先，其次，最后 （详见P172) 入侵检测是指“通过对行为、安全日志、审计数据或其它网络上可以获得的信息进行审计检查，检测到针对系统的闯入或闯入的企图”。入侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的能够及时发现并报告系统中未授权或异常现象的技术，是用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统。 通用的入侵检测系统模型，见P172图7－1所示。主要由数据收集器、检测器、知识库、控制器等部分组成。另外，大多数流行的入侵检测系统都包括用户接口组件，用户可通过接口组件对系统进行配置和控制。 目前大多数流行的入侵检测系统都又探测器和控制台两大部分组成。探测器主要用于入侵信息，在一些较低级的入侵检测产品（如Snort）中，探测器可以由网卡充当，单网卡充当探测器时必须要工作于混杂模式下，在商用的入侵检测系统中，探测器往往是一台单独的嵌入式设备。控制器包括分析器、知识库、控制台和用户接口等部分，由安装IDS控制软件的计算机充当，如图7－2。 7.1.3 入侵检测系统的功能 一个合格的入侵检测系统能大大简化管理员的工作，保证网络安全地运行，具体说来，入侵检测系统应该具有如下功能（详见P173)： 7.1.4 入侵检测系统的工作过程（详见P173－174) 1、信息收集 2、信号分析 （1）模式匹配 （2）统计分析 （3）完整性分析 3、实时记录、报警或有限度反击。 7.2.1 按照检测方法分类（详见P174) 从技术上讲，入侵检测有两种检测模型： 1、异常检测模型 2、误用检测模型 7.2.2 按照检测对象分类（详见P174－175) 1、基于主机的入侵检测系统（HIDS) 2、基于网络的入侵检测系统（NIDS) 7.2.3 基于主机的入侵检测系统（详见P174－175) 1、HIDS的优点 2、HIDS的缺点 7.2.4 基于网络的入侵检测系统（详见P175－176) 1、HIDS的优点 2、HIDS的缺点 不同的安全产品，各种性能指标对客户的意义是不同的。如防火墙，客户会更关注每秒吞吐量、每秒并发连接数、传输延迟等，而网络入侵检测系统，客户会更关注每秒能处理的网络数据流量、每秒能监控的网络连接数等。就网络入侵检测系统而言，除了上述指标外，其实一些不为客户了解的指标也很重要，