入侵检测及其实例剖析.pdf

入侵检测及其实例剖析 入侵检测及其实例剖析 入侵检测及其实例剖析 入侵检测及其实例剖析 入侵检测及其实例剖析 第一部分 入侵检测系统 第一部分 入侵检测系统 第二部分 Snort实例剖析 第二部分 Snort实例剖析 第三部分 总结 第三部分 总结 第一部分 入侵检测系统 第一部分 入侵检测系统 ß 什么是入侵检测 ß 什么是入侵检测系统 ß 入侵检测系统的体系结构 ß 入侵检测系统的分类 ß 入侵检测策略 ß 构建更安全的网络环境 什么是入侵检测 什么是入侵检测 入侵检测是对入侵行为的发觉。它 入侵检测是对入侵行为的发觉。它 通过从计算机网络或计算机系统的关 通过从计算机网络或计算机系统的关 键点收集信息并进行分析，从中发现 键点收集信息并进行分析，从中发现 网络或系统中是否有违反安全策略的 网络或系统中是否有违反安全策略的 行为和被攻击的迹象。 行为和被攻击的迹象。 入侵检测系统 （IDS ） 入侵检测系统 （IDS ） 进行入侵检测的软件与硬件的组合 进行入侵检测的软件与硬件的组合 构成入侵检测系统(Intrusion Detection 构成入侵检测系统(Intrusion Detection System)。 System)。 与其它安全产品不同的是，入侵检 与其它安全产品不同的是，入侵检 测系统需要更多的智能，它必须具备将 测系统需要更多的智能，它必须具备将 得到的数据进行分析、并得出有用的结 得到的数据进行分析、并得出有用的结 果的能力。 果的能力。 入侵检测系统的体系结构 1 美国DARPA提出的CIDF (公共入侵 检测框架)是一个比较通用的入侵检测 模型，它将入侵检测系统分为四个组件： 事件产生器、事件分析器、响应单元和 事件数据库。 入侵检测系统的体系结构2 入侵检测系统的体系结构3 CIDF将需要分析的数据统称为事件， 它可以是网络中的数据包，也可以是从 系统日志等其他途径得到的信息。 下面将分别介绍CIDF模型中四个 组件的作用。 入侵检测系统的体系结构4 事件产生器 其目的是从整个计算环境中获得事件， 并向系统的其他部分提供此事件； 事件分析器 分析得到的数据，并产生分析结果。 响应单元对分析结果作出反应，如切断连接、改变文 件属性等强烈反应，也可以只是简单的报警。 事件数据库 存放各种中间和最终数据的地方的统称， 它可以是复杂的数据库，也可以是简单的文本文件。 入侵检测系统的分类 当前学术界研究入侵检测系统的方 法和思路十分丰富，现有的入侵检测 系统也已经有很多种。根据不同的分 类标准，可以从不同的角度对入侵检 测系统进行分类。 入侵检测的分类 1 入侵检测的分类 1 nn 按照检测方法划分 按照检测方法划分 nn 异常检测 （Anomaly Detection ) ：这是一种基于行 异常检测 （Anomaly Detection ) ：这是一种基于行 为的入侵检测系统。首先总结正常操作应该具有的 为的入侵检测系统。首先总结正常操作应该具有的 特征 （用户轮廓），当用户活动与正常行为有重大 特征 （用户轮廓），当用户活动与正常行为有重大 偏离时即被认为是入侵。 偏离时即被认为是入侵。 nn 误用检测 （Misuse Detection)：这是一种基于入侵 误用检测 （Misuse Detection)：这是一种基于入侵 知识的入侵检测系统。收集非正常操作的行为特征， 知识的入侵检测系统。收集非正常操作的行为特征， 建立相关的特征库，当监测