第5章-入侵检测技术.ppt

入侵检测技术（Intrusion Detection） 主要的传统安全技术 加密 消息摘要、数字签名 身份鉴别：口令、鉴别交换协议、生物特征 访问控制 安全协议： IPSec、SSL 网络安全产品与技术：防火墙、VPN 内容控制: 防病毒、内容过滤等 预防(prevention)、防护（protection) 动态模型的需求 动态的攻击 动态的系统 动态的组织 发展的技术 …… P2DR安全模型 入侵检测概述 什么是入侵检测？ 对（网络）系统的运行状态进行监视，对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。 入侵检测系统:该系统从多种计算机系统及网络中搜集信息，再从这些信息中分析入侵及误用特征。 入侵：由系统外部发起的攻击 误用：由系统内部发起的攻击 入侵检测性能关键参数 误报(false positive)：如果系统错误地将异常活动定义为入侵 漏报(false negative)：如果系统未能检测出真正的入侵行为 基于主机的入侵检测系统结构 基于主机的入侵检测系统通常是基于代理的，代理是运行在目标系统上的可执行程序，与中央控制计算机（命令控制台）通信。 集中式：原始数据在分析之前要先发送到中央位置 分布式：原始数据在目标系统上实时分析，只有告警命令被发送给控制台。 操作模式 基于主机的入侵检测系统的使用方式 警告：用于检测关键任务误用 监视：更尽力地观察几个主体的行为 毁坏情况评估：确定计算机受损的程度 遵从性：用于确定用户是否在遵守安全策略 两类IDS监测软件 网络IDS 侦测速度快 隐蔽性好 视野更宽 较少的监测器 占资源少 主机IDS 视野集中 易于用户自定义 保护更加周密 对网络流量不敏感 入侵检测模型 误用检测模型（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 异常检测模型（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型 如果入侵特征与正常的用户行能匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报 特点：采用特征匹配，滥用模式能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得滥用检测无能为力 误用检测 异常检测模型 异常检测特点 阀值选择是关键和难点 能够检测出未知的攻击 不适应用户正常行为的突然改变 异常检测系统的效率取决于用户轮廓的完备性和监控的频率 因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵 系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源 检测机制 入侵检测系统举例1 Realsecure：是一种混合入侵检测系统 RealSecure 1996年， RealSecure首先被作为一种传统的基于传感器的网络入侵检测系统来开发， 1998年成为一种混合入侵检测系统 正在努力提供一种混合的OS日志及网络分组性能，设计为放置在协议栈的IP层之下和IP层之上 多种响应方式 RealSecure Network Sensor 网络上实时的入侵检测、报警、响应和防范系统 对网络进行监听并自动对可以行为进行响应，最大程度保护企业的网络安全 运行在特定的主机上，监听并解析所有的网络信息，及时发现具有攻击特征的信息包 动态响应 动态调整防火墙 RealSecure OS Sensor 基于主机的实时入侵检测系统，它和网络引擎完美结合在一起 实时分析主机日志，确认攻击行为是否成功. 自动重新配置RealSecure网络引擎和选择防火墙阻止黑客的进一步攻击 一个轻量的网络IDS: snort 特点 设计原则：性能、简单、灵活 包含三个子系统：网络包的解析器、检测引擎、日志和报警子系统 内置了一套插件子系统，作为系统扩展的手段 模式特征链——规则链 命令行方式运行，也可以用作一个sniffer工具 网络数据包解析 结合网络协议栈的结构来设计 Snort支持链路层和TCP/IP的协议定义 每一层上的数据包都对应一个函数 按照协议层次的顺序依次调用就可以得到各个层上的数据包头 从链路层，到传输层，直到应用层 在解析的过程中，性能非常关键，在每一层传递过程中，只传递指针，不传实际的数据 支持链路层：以太网、令牌网、FDDI Snort: 日志和报警子系统 当匹配到特定的规则之后，检测引擎会触发相应的动作 日志记录动作，三种格式： 解码之后的二进制数据包 文本形式的IP结构 Tcpdump格式 如果考虑性能的话，应选择tcpdump格式，或者关闭logging功能 报警动作，包括