【计算机】计算机安全技术6.pptVIP

第6讲 IDS 一、基础知识 1、概述 2、入侵检测系统IDS 3、历史 4、IDS分类 5、体系结构 6、基于知识和行为的入侵检测 7、入侵检测系统的信息源 1、概述：入侵 、入侵检测与入侵检测系统 入侵是指未经授权蓄意尝试访问信息、窜改信息， 使系统不可靠或不能使用的行为。它企图破坏计算 机资源的： 完整性(Integrity)：指数据未经授权不能被改变。 机密性（confidentiality）：指只有合法的授权用户才能对机密的或受限的数据进行存取。 可用性（Availability）：是指计算机资源在系统合法用户需要使用时必须是可用的。 可控性（Controliability）：是指可以控制授权范围内的信息流向及行为方式。有的也称不可否认性(Non-repudiation)。 1、概述：漏洞 入侵要利用漏洞，漏洞是指系统硬件、操作系统、软件、网络协议等在设计上、实现上出现的可以被攻击者利用的错误、缺陷和疏漏。 按照漏洞的性质，现有的漏洞主要有： l??缓冲区溢出 l??拒绝服务攻击漏洞 l??代码泄漏、信息泄漏漏洞 l? 配置修改、系统修改漏洞 l? 脚本执行漏洞 l??远程命令执行漏洞 l??其它类型的漏洞 1、概述：侵入系统的主要途径 入侵者进入系统的主要途径有： l?本地侵入: 这类侵入表现为入侵者已经拥有在系统用户的较低权限。如果系统没有打必威体育精装版的漏洞补丁，就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。 l??远程侵入: 这类入侵指入侵者通过网络远程进入系统。比如通过植入木马实现对目标主机的控制，从远程发起对目标主机的攻击等。 2、IDS：在系统安全中的地位 2、IDS：功能 监控、分析用户和系统的活动 发现入侵企图或异常现象 审计系统的配置和弱点 评估关键系统和数据文件的完整性 对异常活动的统计分析 识别攻击的活动模式 实时报警和主动响应 2、IDS：为什么需要 入侵很容易 入侵教程随处可见 各种工具唾手可得 防火墙不能保证绝对的安全 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 防火墙是锁，入侵检测系统是监视器 3、入侵检测的发展历史（2） 90年代，不断有新的思想提出，如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统 2000年2月，对Yahoo！、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮 2001年～今，RedCode、求职信等新型病毒的不断出现，进一步促进了IDS的发展。 4、入侵检测系统的分类 1、入侵检测系统的分类 2、根据原始数据的来源 3、根据检测技术进行分类 4、根据体系结构分类 5、根据响应方式分类 4、分类：根据原始数据的来源 基于主机的入侵检测系统 监控粒度更细、配置灵活、可用于加密的以及交换的环境 基于网络的入侵检测系统 视野更宽 、隐蔽性好 、攻击者不易转移证据 4、分类：根据检测技术 异常入侵检测 根据异常行为和使用计算机资源的情况检测出来的入侵。基于统计分析。 误用入侵检测 利用已知系统和应用软件的弱点攻击模式来检测入侵。分析入侵过程的特征、条件、排列 。 完整性分析 分析文件目录属性，是否被修改。 4、分类：根据体系结构 集中式 多个分布于不同主机上的审计程序，但只有一个中央入侵检测服务器。 等级式 定义了若干个分等级的监控区域，每个IDS负责一个区域，每一级IDS只负责所监控区的分析，然后将当地的分析结果传送给上一级IDS。 协作式 将中央检测服务器的任务分配给多个基于主机的IDS，这些IDS不分等级，各司其职，负责监控当地主机的某些活动。 4、分类：根据响应方式 主动响应 对被攻击系统实施控制和对攻击系统实施控制。 被动响应 只会发出告警通知，将发生的不正常情况报告给管理员，本身并不试图降低所造成的破坏，更不会主动地对攻击者采取反击行动。 5、IDS体系结构IDS框架介绍（1） 功能模块：信息源、分析引擎、响应部件。 CIDF：Common Intrusion Detection Framework 由DARPA于1997年3月开始着手制定，为解决不同入侵检测系统互操作性和共存问题 事件产生器、事件分析器、响应单元、事件数据库 5、IDS体系结构：事件产生器 事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。 入侵检测的第一步 采集内容 系统日志 应用程序日志 系统调用 网络数据 用户行为 其他IDS的信息 5、IDS体系结构：事件分析器 事件分析器分析得到的数据，并产生分析结果。 分析是核心 效率高低直接决定整个IDS性