《信息安全概论》课件—09入侵检测技术.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * 第9章　入侵检测技术 概 述 　 本章主要介绍入侵检测系统基本知识、入侵检测系统的分类、入侵检测系统的工作流程、入侵检测系统面临的问题及发展趋势。 9.1 入侵检测系统基本知识 入侵检测，顾名思义，就是对入侵行为的发现。入侵检测系统(IDS: Intrusion Detection System)就是能够完成入侵检测功能的计算机软硬件系统。它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测技术就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术 9.1 入侵检测系统基本知识 入侵检测， 9.1 入侵检测系统基本知识 入侵检测系统是一个相对主动的安全部件，可以把入侵检测看成网络防火墙的有效补充。图 9.2是一个入侵检测系统的基本部署图。 9.1 入侵检测系统基本知识 入侵检测技术的主要作用体现以下这些方面： ? 监控、分析用户和系统的活动； ? 评估关键系统和数据文件的完整性； ? 识别攻击的活动模式； ? 对异常活动进行统计分析 ? 对操作系统进行审计跟踪管理，识别违反政策的用户动 9.1 入侵检测系统基本知识 入侵检测作为安全技术其主要目的有： （1）识别入侵者； （2）识别入侵行为： （3）检测和监视已成功的安全突破； （4）为对抗入侵及时提供重要信息，阻止事件的发生和事态的扩大。 从这个角度看待安全问题，入侵检测非常必要，它可以有效弥补传銃安全保护措施的不足。 9.2入侵检测系统模型 在入侵检测技术模型的发展变化大概可以分成三个阶段，分别是集中式、层次式和集成阶段。在每个阶段，研究人员都出研究出对应的入侵检测模型。其中研究者在集中式阶段研究出了通用入侵检测模型，在层次式阶段研究出了层次入侵检测模型，在集成式阶段研究出了管理式入侵检测模型。 9.2入侵检测系统模型 1. Denning入侵检测模型 Denning入侵检测模型是一个基于规则的式匹配系统。该模型没有包含攻击方法和系统漏洞。它主要由主体、对象、审计记录、活动剖面、异常记录和规则集处理引擎六个部分组成，如图9.3所示。 9.2入侵检测系统模型 2.层次式入侵检测模型 层次化入侵模型对收集到的数据进行加工抽象和关联操作，简了对跨域单机的入侵行为识别。层次化模型将IDS分为六个层次，由低到高分别是数据层 、事件层、主体层、上下文层、威胁层、安全状态层。 9.2入侵检测系统模型 3. 管理式入侵检测模型 管理式入侵检测模型英文名称叫做SNMP-IDSM (Simple Network Management Protocol - Intrusion Detection Systems Management),它从网络管理的角度出发解决多个 IDS协同工作的问题。SNMP-IDSM以SNMP协议为公共语言来实现IDS之间的消息交换和协同检测。图9.4展示了SNMP-IDSM的工作原理。 9.2入侵检测系统模型 3. 管理式入侵检测模型 9.3 入侵检测技术分类 9.3.1 根据各个模块运行分布方式的分类 根据系统各个模块运行的分布不同，可以将入侵检测系统分为如下两类： 1.集中式入侵检测系统。集中式入侵检测系统的各个模块包括信息的收集和数据的分析以及响应单元都在一台主机上运行，这种方式适用于网络环境比较简单的情况。 2. 分布式入侵检测系统。分布式入侵检测系统是指系统的各个模块分布在网络中不同的计算机和设备上，分布性主要体现在数据收集模块上，如果网络环境比较复杂或数据流量较大，那么数据分析模块也会分布，按照层次性的原则进行组织。 9.3 入侵检测技术分类 9.3.2 根据检测对象来分类 1.基于主机的IDS，英文为Host-besed IDS 9.3 入侵检测技术分类 9.3.2 根据检测对象来分类 2.基于网络的IDS， Network-based IDS，行业上称之为NID 9.3 入侵检测技术分类 9.3.3 按照所采用的技术进行分类 1.异常入侵检测系统。 异常入侵检测系统是将系统正常行为的信息作为标准，将监控中的活动与正常行为相比较。在异常入侵检测系统中，假设所有与正常行为不同的行为都视为异常，而一次异常视为一次入侵。可以人为的建立系统正常所有行为事件，那么理论上可以把与正常事件不同的所有行为视为可疑事件。 9.3 入侵检测技术分类 9.3.3 按照所采用的技术进行分类 1.异常入侵检测系统。 9.3 入侵检测技术分类 9.3.3 按照所采用的技术进行分类 2.