网络入侵检测技术.ppt

《网络入侵检测技术.ppt》由会员分享，可在线阅读，更多相关《网络入侵检测技术.ppt（121页珍藏版）》请在装配图网上搜索。

1、入侵检测技术,信息安全,课程内容,入侵检测概述 入侵检测工作原理 入侵检测缺陷 入侵检测选型原则 入侵检测产品及发展方向,第一章：入侵检测系统概述,引言 入侵检测系统基本概念 入侵检测系统分类 入侵检测系统构件 入侵检测系统部署方式 动态安全模型P2DR,第一节：什么叫网络入侵,网络攻击的定义 对网络安全管理员来说，可能导致一个网络受到破坏、网络服务受到影响的所有行为都应称为攻击。,网络入侵的特点,网络入侵的特点 没有地域和时间的限制； 通过网络的攻击往往混杂在大量正常的网络活动之间，隐蔽性强； 入侵手段更加隐蔽和复杂。,网络安全目前存在的威胁,网络,内部、外部泄密,拒绝服务攻击,逻辑炸弹,特

2、洛伊木马,黑客攻击,计算机病毒,信息丢失、篡改、销毁,后门、隐蔽通道,蠕虫,黑客入侵动机,攻击的动机 出于政治目的、商业目的 员工内部破坏 出于好奇或者满足虚荣心 单从技术上说，黑客入侵的动机是成为目标主机的主人。只要他们获得了一台网络主机的超级用户权限后他们就有可能在该主机上修改资源配置、安置“特洛伊”程序、隐藏行踪、执行任意进程等等。我们谁又愿意别人在我们的机器上肆无忌惮地拥有这些特权呢？,什么导致黑客入侵,服务(service)导致黑客入侵 没有开启任何服务的主机绝对是安全的主机 信息安全的隐患存在于信息的共享和传递过程中,小 结,网络入侵概念的广泛性 服务导致黑客的入侵 网络安全的核心

3、就是信息的安全,第二节：攻击的一般步骤,恶意用户为什么总是能成功入侵系统？前提条件就是系统的安全问题有漏洞，没有百分百的安全。任何系统都会有这样那样的弱点，即时使用了最新的技术，但由于系统的用户的错误操作也会使系统产生漏洞。 收集信息 恶意用户再开始攻击之前首先要收集大量的信息，以确定可以攻击的目标。这些信息包括了目标主机的硬件、软件、操作系统、应用程序等等。一般这些信息的收集通过扫描工具完成。,第二节：攻击的一般步骤,考虑攻击方法 在确定了攻击目标后，恶意用户会根据所获得的信息考虑攻击方法。比如是利用系统现有的漏洞还是猜解口令的方式入侵系统，具体的方式根据目标主机环境的不同而不同。 入侵系统

4、 成功入侵系统后，恶意用户就可以进行各种各样的活动了，既可以删除文件、读取敏感信息也可以利用它入侵其它的机器。 安放后门、删除记录 一般入侵者在从他所入侵的主机上撤出时都会安装上后门程序，以方便下次进入。之后入侵者要在入侵主机上清理他所留下的痕迹，以避免被管理员发现。,繁多的黑客攻击手段,口令攻击Crack IP地址欺骗 缓冲区溢出 拒绝服务 特洛伊木马 社交欺骗 监听,繁多的黑客攻击手段,口令攻击Crack IP地址欺骗 拒绝服务 特洛伊木马 缓冲区溢出 社交欺骗 监听,口令攻击Crack,口令攻击 Crack 是使用一种软件对口令进行破解尝试，通常情况下该软件依次列举可能的口令进行试验，知

5、道找出口令为止。,繁多的黑客攻击手段,口令攻击Crack IP地址欺骗 拒绝服务 缓冲区溢出 特洛伊木马 社交欺骗 监听,IP地址欺骗,IP地址欺骗指的是向受害主机发送一个将源IP地址设置为其它计算机或不存在的计算机的IP地址的数据包，这样使得该数据包看起来像是来自别的其它主机地址，而不是实际的源地址。,繁多的黑客攻击手段,口令攻击Crack IP地址欺骗 拒绝服务 特洛伊木马 缓冲区溢出 社交欺骗 监听,拒绝服务攻击,拒绝服务攻击的主要目的是使被攻击的网络或服务器不能提供正常的服务。例如，WWW服务器一般在一定时间内只能处理一定量的通信，如果通信量超过了它所能承受的限度，服务器将会瘫痪。例如

6、，如果使用某种ping工具软件（一种可以向主机发送数据包，以验证主机是否处在激活状态，并观察返回的响应需要多长时间的程序）向某台主机发送大量的重复的数据包（称为湮没），这台主机在处理接收到的海量的ping请求时，就很可能太忙以致于不能响应任何正常合法的数据请求。这和人一样，如果有太多的事情在同一时刻交给一个人处理的话，那么他肯定只能响应某几个事务，忽略其它的事务。这时可以说这个人被“拒绝服务”了。,拒绝服务攻击方式有很多种，最基本的DoS攻击就是利用合理的连接服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。,连接请求,响应信息,连接请求,ACK,响应信息,等待,？,分布式拒绝服

7、务攻击,分布式拒绝服务攻击 DDoS DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了。被攻击目标对恶意攻击包的“消化能力”加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理 10,000个攻击包，这样一来攻击就不会产生什么效果。,分布式拒绝服务攻击,分布式拒绝服务攻击 DDoS 这时侯

8、分布式的拒绝服务攻击DDoS手段就应运而生了。你理解了DoS攻击的话，它的原理就很简单。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。,分布式拒绝服务攻击,分布式拒绝服务攻击 DDoS 高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G

9、的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。,分布式拒绝服务攻击,被DDoS攻击时的现象 被攻击主机上有大量等待的TCP连接 网络中充斥着大量的无用的数据包，源地址为假 制造高流量无用数据造成网络拥塞使受害主机无法正常和外界通讯 利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特 定的服务请求，使受害主机无法及时处理所有正常请求 严重时会造成系统死机,分布式拒绝服务攻击,分布式拒绝服务攻击,连接请求,响应信息,死机！,？,DDOS攻击示意图,DDOS攻击（步骤1）,Scanning Program,不安全的计算机,Ha

10、cker,Internet,DDOS攻击（步骤2）,Hacker,被控制的计算机(代理端),黑客设法入侵有安全漏洞的主机并获取控制权。这些主机将被用于放置后门、sniffer或守护程序甚至是客户程序。,2,Internet,DDOS攻击（步骤3）,Hacker,黑客在得到入侵计算机清单后，从中选出满足建立网络所需要的主机，放置已编译好的守护程序，并对被控制的计算机发送命令。,3,被控制计算机（代理端）,Master Server,Internet,Hacker,Using Client program, 黑客发送控制命令给主机，准备启动对目标系统的攻击,4,被控制计算机（代理端）,Target

11、ed System,Master Server,Internet,DDOS攻击（步骤4）,Targeted System,Hacker,主机发送攻击信号给被控制计算机开始对目标系统发起攻击。,5,Master Server,Internet,被控制计算机（代理端）,DDOS攻击（步骤5）,DDOS攻击（步骤6）,Targeted System,Hacker,目标系统被无数的伪造的请求所淹没，从而无法对合法用户进行响应，DDOS攻击成功。,6,Master Server,User,Internet,被控制计算机（代理端）,DDOS攻击效果,DDOS攻击的效果 由于整个过程是自动化的，攻击者能够在

12、5秒钟内入侵一台主机并安装攻击工具。也就是说，在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击，这一数据量相当于1.04亿人同时拨打某公司的一部电话号码。,DDOS攻击的预防,预防DDOS攻击的措施 确保主机不被入侵且是安全的； 周期性审核系统； 检查文件完整性； 优化路由和网络结构； 优化对外开放访问的主机； 在网络上建立一个过滤器（filter）或侦测器（sniffer），在攻击信息到达网站服务器之前阻挡攻击信息。,IDS是对防火墙的必要补充,传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，它们主要是基于各种形式的静态禁止策略，对网

13、络环境下日新月异的攻击手段缺乏主动的反应。 入侵检测是最近发展起来的一种动态的监控、预防或抵御系统入侵行为的安全机制，主要通过实时监控网络和系统的状态、行为以及系统的使用情况，来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。,小 结,黑客攻击日益猖獗，防范问题日趋严峻 网络入侵具有较复杂的特点 需要采用入侵检测技术保障网络安全,第一章：入侵检测系统概述,引言 入侵检测系统基本概念 入侵检测系统分类 入侵检测系统构件 入侵检测系统部署方式 动态安全模型P2DR,什么是入侵检测系统,对系统的运行状态进行监视，发现各种攻击企图、 攻击行为或者攻击结果，以保证系统资

14、源的机密性、 完整性和可用性,进行入侵检测的软件与硬件的组合便是入侵检测系统,入侵检测产品的起源,审计技术：产生、记录并检查按时间顺序排列的系统事件 记录的过程,审计的目标：,监测系统的问题区,阻止系统的不正当使用,评估损失,提供有效的灾难恢复,重建事件,确定和保持系统活动中每个人的责任,为什么需要安装入侵检测系统,网络中已经安装了防火墙系统，为什么还需要安装入侵检测系统？,为什么需要安装入侵检测系统,安装入侵检测系统的必要性,网络中可被入侵者钻的空子较多 在一些大型的网络中，存在大量的操作系统类型和应用。而网管人员少，没有时间跟踪系统的安全漏洞，并及时的安装相应的系统补丁程序。 用户和管理员

15、在配置和使用系统中的失误。 对于一些存在安全漏洞的服务、协议和软件（比如snmp服务和IIS等等） ，用户有时候不得不使用。,安装入侵检测系统的必要性(续),入侵检测系统还可有效的防范防火墙开放的服务入侵 可检测来自内部的攻击事件和越权访问 85以上的攻击事件来自于内部的攻击 防火墙只能防外，难于防内 可提供有效的审计信息，详细记录黑客的入侵过程，帮助管理员发现网络的脆弱性。,第一章：入侵检测系统概述,引言 入侵检测系统基本概念 入侵检测系统分类 入侵检测系统构件 入侵检测系统部署方式 动态安全模型P2DR,第三节：入侵检测系统分类,Host-Based IDS 基于主机的入侵检测系统 Net

16、work-Based IDS 基于网络的入侵检测系统,NIDS：基于网络的入侵检测系统,基于网络的入侵检测系统 (NIDS) 在计算机网络中的关 键点被动地监听网络上传输的原始流量，对获取的网络 数据包进行分析处理，从中获取有用的信息，以识别、 判定攻击事件。,HIDS：基于主机的入侵检测系统,基于主机的入侵检测系统 (HIDS) 一般主要使用操作系 统的审计日志作为主要数据源输入，试图从日志判断滥 用和入侵事件的线索。,HIDS优点,性能价格比高 细腻性，审计内容全面 视野集中 适用于加密及交换环境,HIDS缺点,额外产生的安全问题 安装了主机入侵检测系统后，将本不允许安全管理员有权力访问的

17、服务器变成他可以访问的了。 HIDS依赖性强 它依赖于服务器固有的日志与监视能力。如果服务器没有配置日志功能，则必需重新配置，这将会给运行中的业务系统带来不可预见的性能影响。 如果主机数目多，代价过大 不能监控网络上的情况,Network-Based IDS(NIDS),基于网络的入侵检测系统 基于网络的入侵检测产品（NIDS）放置在比较重要的网段内，不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品内置的某些规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接。目前，大部分入侵检测产品是基于网络的。值得一提的是，在网络入侵检测系统中，有多个久负盛名的开

18、放源码软件，它们是Snort、NFR、Shadow等，其中Snort 的社区(http:/www.snort.org)非常活跃，其入侵特征更新速度与研发的进展已超过了大部分商品化产品。,NIDS优点,检测范围广 能够检测那些来自网络的攻击，它能够检测到超过授权的非法访问。 无需改变主机配置和性能 由于它不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务系统的性能。 独立性和操作系统无关性 由于网络入侵检测系统不像路由器、防火墙等关键设备方式工作，它不会成为系统中的关键路径。网络入侵检测系统发生故障不会影响正常业务的运行。布署一个网络入侵检

19、测系统的风险比主机入侵检测系统的风险少得多。 安装方便,NIDS缺点,不能检测不同网段的网络包 很难检测复杂的需要大量计算的攻击 网络入侵检测系统为了性能目标通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。 协同工作能力弱 难以处理加密的会话,基于网络的入侵检测产品和基于主机的入侵检测产品都有不足之处，单纯使用一类产品会造成主动防御体系不全面。但是，它们的缺憾是互补的。如果这两类产品能够无缝结合起来部署在网络内，则会构架成一套完整立体的主动防御体系，综合了基于网络和基于主机两种结构特点的入侵检测系统，既可发现网络中的攻击信息，也可从系统

20、日志中发现异常情况。,小 结,第一章：入侵检测系统概述,引言 入侵检测系统基本概念 入侵检测系统分类 入侵检测系统构件 入侵检测系统部署方式 动态安全模型P2DR,CIDF （公共入侵检测框架） 组件： 事件产生器（Event generators） 事件分析器（Event analyzers） 响应单元（Response units） 事件数据库（Event databases）,事件产生器,事件分析器,事件数据库,响应单元,第四节：入侵检测系统构件,事件产生器,事件产生器的目的是从整个计算环境中获得事件（数据采集），并向系统的其他部分提供此事件。,事件分析器,事件分析器分析从事件产生器部分

21、得到的数据包，即进行数据分析和协议分析。通过这些分析得到是否黑客入侵的数据包，从而进行下一步的操作。 事件分析器是入侵检测系统的核心，它的效率高低直接决定了整个入侵检测系统的性能。根据事件分析的不同方式可将入侵检测系统分为异常检测、特征检测和完整性分析三类。,事件分析器,异常检测系统也称为基于统计行为的入侵检测。这种方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。 例如，统计分析可能标识一个不正常行为，因为它发现

22、一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。,事件分析器,特征检测系统又称为基于规则、知识的入侵检测，它是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。 该过程可以很简单（如通过字符串匹配以寻找一简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。 通过分析入侵过程的特征、条件、排列以及事件间的关系，具体描述入侵行为的迹象，不仅对分析已经发生的入侵行为有帮助，而且对即将发生的入侵也有警戒作用。,事件分析器,完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性。这种分析方法在发现被更改的、被置入特洛

23、依木马的应用程序方面特别有效。完整性分析利用强有力的加密机制（称为消息摘要函数例如MD5），能识别哪怕是微小的变化。,事件分析器,异常检测方式可以检测到未知的和更为复杂的入侵；缺点是漏报、误报率高，一般具有自适应功能，入侵者可以逐渐改变自己的行为模式来逃避检测，不适应用户正常行为的突然改变。 特征检测的准确率和效率都非常高，只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟；但它只能检测出模式库中已有的类型的攻击，不能检测到从未出现过的攻击手段。 而完整性分析的优点是不管前两种方法能否发现人侵，只要是成功的攻击导致了文件或其他关注对象的任何改变，它都能够发现；缺点是一般以批处理方式实现

24、，不用于实时响应。,响应单元,响应单元则是对分析结果作出作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应,甚至发动对攻击者的反击，也可以只是简单的报警。,事件数据库,事件数据库是记录和存放各种中间和最终数据的地方的统称；它可以是复杂的数据库，也可以是简单的文本文件。,小 结,IDS系统四个构件完成了事件的产生-分析-响应-记录完整的过程,小 结,以上通用模型是为了解决不同入侵检测系统的互操作性问题而提出的，互操作的标准是CIDF，主要有三个目的： （1） IDS构件共享，即一个 IDS系统的构件可以被另一个IDS系统的构件使用； （2）数据共享，通过提供标准的数据格式，使得 ID

25、S中的各类数据可以在不同的系统之间传递并共享； （3）完善互用性标准并建立一套开发接口和支持工具，以提供独立开发部分构件的能力,本章回顾,入侵检测系统安装的必要性 三种入侵检测系统的概念及各自优缺点 四个入侵检测系统构件,第二章：NIDS工作原理,目标 通过本章学习，可以掌握入侵检测系统对网络入侵事件分析的方法和原理。 概要 入侵检测引擎工作流程 特征检测和异常检测 入侵检测技术,第一节 入侵检测引擎工作流程,监听部分,网络接口混杂模式 根据设置过滤一些数据包 过滤程序的算法的重要性,监听部分-网络接口混杂模式,默认状态下，IDS网络接口只能看到进出该主机的信息， 也就是所谓的non-prom

26、iscuous（非混杂模式） 如果网络接口是混杂模式，就可以看到网段中所有的网络通信量，不管其来源或目的地。,监听部分-监听器过滤示例,监听器可设置如下规则： Only check the following packet 源地址为192.168.0.1 如果监听器设置了上述规则后，引擎只会检查来自于192.168.0.1这个IP地址的数据包，对其它所有的数据包将不在检查，这样可以加快入侵检测系统的工作效率。 除了可以对IP地址过滤外，监听部分还应该可以对MAC地址进行过滤，比如设置规则：只检测源MAC号为00-10-A4-C1-9D-03的数据包，那么入侵检测系统只会对源MAC为00-10-

27、A4-C1-9D-03的数据包进行检测。,协议分析,协议分析的功能是辨别数据包的协议类型，以便使用相应的数据分析程序来检测数据包。 如一个FTP协议的数据包，协议分析系统将从IP包-TCP-FTP进行深入分析，然后将分析的结果通过数据流传递给数据分析模块。 协议分析的目的是为了数据分析模块根据相应的协议检测数据包，因此协议分析模块可分析的协议种类也决定了该IDS系统检测的种类，如果不能对IPV6进行协议分析，那么该IDS系统也无法对IPV6的数据包进行数据分析,协议分析,协议,IPX,ICMP,OSPF,TCP,UDP,FTP,Telnet,POP3,SMTP,HTTP,DNS,TFTP,IG

28、MP,EGP,GGP,NFS,IP,PPP,IPV6,ATM,NetBEUI,数据分析,数据分析模块的功能是分析某一特定协议数据，得出相应的结论。一个数据分析函数一般可以检查一种协议的一类型入侵，这样可以方便的进行配置。一个协议数据可能有多个数据分析函数来处理它。 数据分析函数不仅仅由数据包触发，也可以是系统定义的某一个事件来触发。 数据分析的方法是入侵检测系统的核心。通常使用快速的模式匹配算法，把所有的攻击方法表示为模式信号存放在入侵特征数据库中，当前的数据如果和数据库中某种特征匹配，就指出这是这种入侵行为。,数据分析,根据相应的协议调用相应的数据分析函数 一种协议数据有多个数据分析函数处理

29、 数据分析的方法是入侵检测系统的核心， 通常使用快速的模式匹配算法,引擎管理,协调和配置各模块间工作 数据分析后处理方式 Alert Log Call Firewall 另外，IDS系统升级的时候需要引擎管理模块发挥作用，包括更新模式匹配库。,小 结,入侵检测引擎由四个重要模块共同组成 监听模块过滤程序算法重要性 协议分析模块决定了数据分析的可行性 数据分析模块的模式匹配 引擎管理模块协调配置其它模块,第二节 特征检测和异常检测,特征检测(Signature-based detection) 这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入

30、侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。 特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。,第二节 特征检测和异常检测,异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立

31、“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。,特征检测 Misuse,异常检测 Anomaly,通过特征码进行检测，可检测已知的攻击 检测未知的攻击能力有限,需建立异常行为模型 具有一定的未知攻击检测能力,小 结,第三节：入侵检测系统部署方式,入侵检测系统一般部署图,Switch,IDS Sensor,Monitored Servers,Console,通过端口镜像实现 （SPAN / Port Monitor）,入侵检测系统一般部署图,检测器部署位置,放在边界防火墙之内 放在边界防火墙之外 放在主要的网络中枢 放在一些安全级别需求高的子网,Int

32、ernet,检测器部署示意图,部署一,部署二,部署三,部署四,检测器放在边界防火墙之内,放置于防火墙的DMZ区域 可以查看受保护区域主机被攻击状态 可以看出防火墙系统的策略是否合理 可以看出DMZ区域被黑客攻击的重点,检测器放在边界防火墙之外,放置于路由器和边界防火墙之间 可以审计所有来自Internet上面对保护网络的攻击数目 可以审计所有来自Internet上面对保护网络的攻击类型 但这样部署会使检测器彻底暴露在黑客之下,检测器放在主要的网络中枢,监控大量的网络数据，可提高检测黑客攻击的可能性 可通过授权用户的权利周界来发现为授权用户的行为,检测器放在安全级别高的子网,对非常重要的系统和资

33、源的入侵检测 比如一个公司的财务部门，这个网段安全级别需求非常高，因此我们可以对财务部门单独放置一个检测器系统。,第四节 入侵检测技术,基于统计方法的入侵检测技术 基于神经网络的入侵检测技术 基于专家系统的入侵检测技术 基于模型推理的入侵检测技术,基于统计方法的入侵检测技术,审计系统实时地检测用户对系统的使用情况，根据系统内部保持的用户行为的概率统计模型进行监测，当发现有可疑的用户行为发生时，保持跟踪并监测、记录该用户的行为。 其缺点是： 因为用户的行为可以是非常复杂的，所以想要准确匹配一个用户的历史行为和当前的行为相当困难。 错发的警报往往来自对审计数据的统计算法所基于的不准确或不贴切的假设

34、。,基于神经网络的入侵检测技术,采用神经网络技术，根据实时检测到的信息有效地加以处理作出攻击可能性的判断。神经网络技术可以用于解决传统的统计分析技术所面临的以下问题： 难于建立确切的统计分布导致 难于实现方法的普适性 算法实现比较昂贵 系统臃肿难于剪裁,基于专家系统的入侵检测技术,根据安全专家对可疑行为的分析经验来形成一套推理规则，然后再在此基础之上构成相应的专家系统，并应用于入侵检测。 基于规则的专家系统或推进系统的也有一定的局限性。局限性主要有: 因为作为这类系统的基础的推理规则一般都是根据已知的安全漏洞进行安排和策划的，而对系统的最危险的威胁则主要是来自未知的安全漏洞； 其功能应当能够随

35、着经验的积累而利用其自学习能力进行规则的扩充和修正，实际操作起来很困难。,基于模型推理的入侵检测技术,用基于模型的推理方法人们能够为某些行为建立特定的模型，从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本，这种系统就能检测出非法的用户行为。 一般为了准确判断，要为不同的攻击者和不同的系统建立特定的攻击脚本。,本章回顾,入侵检测系统引擎构成方式 入侵检测系统内数据流和控制流 入侵检测系统部署位置 入侵检测的检测技术,第三章：入侵检测选型原则,目标 通过本章学习，学员可以具备对自己或者客户的网络结构提出入侵检测系统方面的建议。 概要 环境和策略考虑 IDS产品功能和品质,第一节 环境和策

36、略考虑,你应该关心的问题 为了明确那种IDS系统适合你的网络环境，首先必须从技术上、物理结构和策略上综合考虑自己的网络环境。,你的系统环境是什么？,网络中存在那些应用和设备？ 包括网络整体拓扑、主机数目、主机存放地点、操作系统、网络设备类型和数目（路由、交换等）、主机配置、路由设定方式、VLAN划分、应用程序及其版本（OA等）。 目前拥有那些防范措施？ 比如防火墙、VPN、认证系统、防病毒软件等。 你企业的业务经营方向？ 一些IDS系统为了一些特殊的行业，会特别定制本行业的入侵检测系统产品，比如证券行业。 企业中系统环境和网络管理的正式度？,你的安全目标和任务是什么？,是否主要关注来自企业外部

37、的入侵事件？ 你企业关注来自内部人员的入侵吗？ 你企业是否使用IDS用于管理控制超过于网络入侵防范？,你现有的安全策略是什么？,如何组织的？ 内部用户的工作范围和职责?,第二节：IDS产品功能和品质,产品是否可扩展 产品是如何测试的 产品管理和操作难易度 产品售后服务如何 产品平常维护具体承诺,产品是否可扩展？,针对你自己的网络结构，IDS系统是否具有良好的可扩展性？,产品是如何测试的？,针对你网络特点，产品提供者是否已测试？ 该产品是否进行过攻击测试？ 明确测试步骤和内容，主要关注本产品抵抗拒绝服务攻击的能力。,产品管理和操作难易度？,对管理员的能力要求如何？,产品售后服务如何？,产品安装和

38、配置的承诺是什么？ 产品平常维护的承诺是什么？ 产品培训的承诺是什么？ 还能提供哪些额外的培训及其费用？,产品平常维护具体承诺？,入侵检测规则库升级周期、升级方式和费用？ 如今，每个月将有3040种新的攻击方法被公布，这对入侵检测系统的特征库升级提出了很高的要求。 一个非常严重的安全漏洞被发现后，响应周期多长时间？ 如果IDS产品本身软件存在Bug，提交给厂商后，厂商响应速度如何，能在多长时间内公布软件升级程序？,本章回顾,学会分析自己的网络环境 提出网络安全的需求 寻求相应的产品 关注产品的服务,第八章 入侵检测产品及发展方向,目标 通过本章学习，可以了解入侵检测系统的发展方向。 概要 目前

39、的入侵检测产品 分布式入侵检测技术 智能化入侵检测技术 全面的安全防御体系,第一节 免费的入侵检测产品,Snort http:/www.snort.org SHADOW http:/www.nswc.navy.mil/ISSEC/CID,商业的入侵检测产品,CyberCop Monitor, NAI Dragon Sensor, Enterasys eTrust ID, CA NetProwler, Symantec NetRanger, Cisco NID-100/200, NFR Security RealSecure, ISS SecureNet Pro, I,第二节 目前存在的问题,许

40、多现存IDS是采用集中统一收集和分析数据的体系结构， 这种体系结构存在单点失效和可扩展性有限等问题； 另有一些IDS设计成分布式收集和分析信息，分层次、相互合作、无中心集权的系统，但仍无法解决上述重新配置和增加功能的问题。,研究现状目前存在的问题,关于入侵检测方法的研究仍在进行中，较成熟的检测方法已用于商业软件的开发中。 各种监测方式都存在不同的问题，例如，误报率高、效率低、占用资源多或者实时性差等缺点。 依靠单一的中心监测不可能检测所有的入侵，已不能满足系统安全性和性能的要求。 目前，国内只有少数的网络入侵检测软件，相关领域的系统研究也刚刚起步，与外国尚有很大差距。,第三节 发展趋势及主要研

41、究方向,随着网络攻击手段向分布式方向发展（如目前出现的分布DOS攻击），并采用了各种数据处理技术，其破坏性和隐蔽性也越来越强。相应的，也要求入侵检测系统向分布式结构发展，采用分布收集信息、分布处理、多方协作的方式，将基于主机的IDS和基于网络的IDS结合使用，构筑面向大型网络的IDS。并进一步探索智能检测技术的应用。同时，在处理速度及各类相关性能上也有了更高的要求。,分布式入侵检测,检测分布式网络攻击事件 用分布式的方法检测分布式攻击 其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。,智能化入侵检测,即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法，现阶段常用的有神经网络

42、、遗传算法、模糊技术、免疫原理等方法，这些方法常用于入侵特征的辨识与泛化。应用智能体的概念来进行入侵检测的尝试也已有报道。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。,第四节 全面的安全防御体系,即使用安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。,本章回顾,目前的入侵检测产品还存在很多问题 分布式入侵检测技术将适用于大型复杂网络 智能化检测方法可提供检测准确度 如今客户需要的是完整的安全防御体系,

43、谢谢!,拒绝服务攻击,SYN湮灭 Land攻击 Smurf攻击 IP地址欺骗 TearDrop Ping of Death,什么是入侵检测系统,入侵检测系统是一套监控计算机系统或网络系统中发生的事件，根据规则进行安全审计的软件或硬件系统。 利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而达到限制这些活动，以保护系统的安全。入侵检测系统的应用，能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，以增强系统的防范能力。,Host-Bas

44、ed IDS(HIDS),基于主机的入侵检测系统 HIDS出现在80年代初期，那时网络还没有今天这样普遍、复杂，且网络之间也没有完全连通。在这一较为简单的环境里，检查可疑行为的检验记录是很常见的操作。由于入侵在当时是相当少见的，在对攻击的事后分析就可以防止今后的攻击。 现在的HIDS保留了这一种有力的工具，以理解以前的攻击形式，并选择合适的方法去抵御未来的攻击。HIDS仍使用验证记录，但自动化程度大大提高，并发展了精密的可迅速做出响应的检测技术。通常， HIDS可监测系统、事件和Window NT下的安全记录以及UNIX环境下的系统记录。当有文件发生变化时，IDS将新的记录条目与攻击标记相比较，看它们是否匹配。如果匹配，系统就会向管理员报警并向别的目标报告，以采取措施。,协议分析,协议分析充分利用了网络协议的高度有序性，使用这些知 识快速检测某个攻击特征的存在,因为系统在每一层上都沿着协议栈向上解码，因此可以使 用所有当前已知的协议信息，来排除所有不属于这一个协 议结构的攻击。,