北京大学研究生课程入侵检测技术.pptVIP

TAP是Test Access Point的首字母缩写，也叫分光器/分路器。分光是数据通过光纤传输；分路是数据通过网线传输。粗浅的说，Tap的概念类似于“三通”的意思，即原来的流量正常通行，同时分一股出来供监测设备分析使用。 * * 信息分析 对象行为的学习和异常行为的检测 基于统计学方法的异常检测 基于人工智能的异常检测 * 统计异常检测 基于特征选择异常检测 基于贝叶斯推理异常检测 基于贝叶斯网络异常检测 基于模式预测异常检测 基于神经网络异常检测 基于贝叶斯聚类异常检测 基于机器学习异常检测 基于数据挖掘异常检测 异常入侵检测方法 * 讨论议题 概述 入侵检测系统的设计原理 入侵检测的数据源 入侵检测方法 入侵检测响应机制 入侵检测标准化工作 其它 * 制订响应策略应考虑的要素 系统用户：入侵检测系统用户可以分为网络安全专家或管理员、系统管理员、安全调查员。这三类人员对系统的使用目的、方式和熟悉程度不同，必须区别对待 操作运行环境：入侵检测系统提供的信息形式依赖其运行环境 系统目标：为用户提供关键数据和业务的系统，需要部分地提供主动响应机制 规则或法令的需求：在某些军事环境里，允许采取主动防御甚至攻击技术来对付入侵行为 * 响应选项 主动响应 针对入侵者的措施——自动响应 系统修正——弥补缺陷 收集更详细的信息——Honey Pot 被动响应 * 自动响应 最便宜、最容易的响应方式 最具侵略性的形式 追踪入侵者实施攻击的发起地并采取措施以禁用入侵者的机器或网络连接 * 反击的危险 网络跳转 IP地址欺骗 带来的结果： 伤及无辜 角色转变 报复性的攻击 * 其它自动响应 压制调速（Throttling） TCP RESET 防火墙或网关的联动 联络攻击发起方的管理员 * 压制调速（Throttling） 原理：对于端口扫描、SYN Flood等技术，这是一种巧妙的响应方式。其思想是在检测到端口扫描或SYN Flood 等行为时就开始增加延时，如果该行为继续，就继续增加延时。 * 撤消连接 当说到连接时，主要是指TCP连接。当攻击者对一个激活的端口进行连接，他向该端口发送一个或数个包，包含有攻击字符串或可开发该端口的程序。入侵检测系统检测到攻击字符串后，命令防火墙撤消连接。 * TCP RESET 如果发现一个TCP连接被建立，而它连接的是所要保护的对象，就伪造一个 TCP的RESET包，并将其发送给发起连接的主机，使连接断开。RESET可能会断开其他人的TCP连接。 * TCP RESET示意 攻击者与主机建立了TCP连接 检测到攻击者的连接 发送TCP RESET包 * TCP RESET示意 连接断开 * 自动响应的问题 攻击者冒充假冒主机与受害主机建立连接 检测到攻击者的连接 切断“攻击者”的连接 正常连接 * 自动响应的问题 攻击者冒充假冒主机与受害主机建立连接 检测到攻击者的连接 实际上切断了正常连接 正常连接 * 修正系统 针对受保护系统 弥补引起攻击的缺陷 隔离导致问题的部分 针对检测系统 改变监控范围或收集数据的粒度 改变分析引擎的操作方式和参数 添加、修改检测规则 * 收集更详细的信息 检测到入侵后，把攻击者引导到经过特殊装备的诱骗服务器上，这些服务器可以模拟关键系统的文件系统和其它系统特征，引诱攻击者进入，记录下攻击者的行为，从而获得关于攻击者的详细信息。 * 被动响应 警报显示 远程通报 寻呼机 移动电话 电子邮件 与其它网管工具结合 SNMP Trap * 讨论议题 概述 入侵检测系统的设计原理 入侵检测的数据源 入侵检测方法 入侵检测响应机制 入侵检测标准化工作 其它 * 入侵检测的标准化工作 标准化是一个市场成熟的关键之一. 随着网络规模的扩大，网络入侵的方式、类型、特征各不相同，入侵的活动变得复杂而又难以捉摸 某些入侵的活动靠单一IDS不能检测出来，如分布式攻击 网络管理员常因缺少证据而无法追踪入侵者，入侵者仍然可以进行非法的活动 不同的IDS之间没有协作，结果造成缺少某种入侵模式而导致IDS不能发现新的入侵活动 目前网络的安全也要求IDS能够与访问控制、应急、入侵追踪等系统交换信息，相互协作，形成一个整体有效的安全保障系统 * 与IDS有关的标准 通用入侵检测框架CIDF(The Common Intrusion Detection Framework) IETF入侵检测工作组(IDWG)的入侵检测交换格式IDEF(Intrusion Detection Exchange Format) 漏洞和风险的标准 CVE(Common Vulnerabilities and Exposures) * CIDF CIDF早期由美国国防部高级研究计划局赞助研究，现在由CIDF