【计算机】入侵检测技术.pptVIP

入侵检测技术 入侵监测系统的基本原理 IDS模型 snort的安装与配置 IDS的体系结构 一、现场范例 如何对网络未经授权的访问进行报警。 二、处理思路 在Linux平台下snort的安装与配置，为snort配置一个ACID的web入侵事件数据库分析控制台 三、预备知识 入侵检测基本概念 入侵检测系统的发展历史 系统模型 IDS的分类 IDS的体系结构 IDS部署实例 入侵监测系统的基本原理 snort的安装与配置 入侵检测基本概念 入侵检测（Intrusion Detection），是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System,简称IDS）。入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。 具体说来，入侵检测系统的主要功能有： 1.监测并分析用户和系统的活动； 2.核查系统配置和漏洞； 3.评估系统关键资源和数据文件的完整性； 4.识别已知的攻击行为； 5.统计分析异常行为； 6.操作系统日志管理，并识别违反安全策略的用户活动。 入侵检测系统的发展历史 1980年的4月， James P. Anderson为美国空军做了一份题为“计算机安全威胁监控与监视”( Computer Security Threat Monitoring and Sur- veillance ) 的技术报告，这份报告被公认为是入侵检测的开山之作。 　1986年，为检测用户对数据库异常访问，W. T.Tener在IBM主机上用COBOL开发的Discovery系统，成为最早的基于主机的IDS雏形之一。　　1987年，乔治敦大学的Dorothy E. Denning提出了一个实时的入侵检测系统抽象模型——IDES（Intrusion Detection Expert System，入侵检测专家系统） 　1990年是入侵检测系统发展史上的一个分水岭。 1994年，Mark Crosbie和Gene Spafford建议使用自治代理（autonomous agents）以便提高IDS的可伸缩性、可维护性、效率和容错性，该理念非常符合正在进行的计算机科学其他领域（如软件代理，software agent）的研究。1995年开发了IDES完善后的版本——NIDES（Next-Generation Intrusion Detection System）可以检测多个主机上的入侵。　　另一条致力于解决当代绝大多数入侵检测系统伸缩性不足的途径于1996年提出，这就是GrIDS（Graph-based Intrusion Detection System）的设计和实现，该系统使得对大规模自动或协同攻击的检测更为便利，这些攻击有时甚至可能跨过多个管理领域。　　近些年来，入侵检测的主要创新包括：Forrest等将免疫原理运用到分布式入侵检测领域。1998年Ross Anderson和 Abida Khattak将信息检索技术引进到入侵检测。 系统模型 IDS的分类 1．按照检测类型划分 从技术上划分，入侵检测有两种检测模型： （1）异常检测模型（Anomaly Detection） （2）误用检测模型（Misuse Detection） 2、 按照检测对象划分 主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。 网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式（promisc mode）,监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。 IDS的体系结构 　一、 数据收集机制 　 1． 分布式与集中式数据收集机制 2． 直接监控和间接监控 3． 基于主机的数据收集和基于网络的数据收集 4． 外部探测器和内部探测器 二、 数据分析机制 　 三、 缩短数据收集与数据分析的距离 　 IDS部署实例 入侵监测系统的基本原理 1.基于用户行为概率统计模型的入侵检测方法 这种基于概率模型的统计方法的弱点是： (1)由于用户的行为可以是非常复杂的，所以对于非常复杂的用户行为很难建立一个准确匹配的统计模型。 (2)统计模型没有普遍性，因此一个用户的监测措施并不适用于其他用户，这将使得算法庞大而且复杂。 (3)由于采用统计的方