網絡安全羅敏武漢大學計算機學院

jsjgfzx@1第10章防火墻技術重點回顧防火墻技術概述防火墻的結構構建防火墻防火墻產品2第11章入侵檢測技術本章介紹動態(tài)安全技術的典型代表——入侵檢測技術，詳細分析入侵檢測的定義、原理與系統(tǒng)構成、基本功能、分類。同時對目前市場上的商業(yè)入侵檢測產品進行了分類與優(yōu)劣分析。3第11章入侵檢測技術11.1入侵檢測技術概述11.2入侵檢測分類與評估11.3入侵檢測產品概況11.4入侵檢測產品411.1入侵檢測技術概述入侵檢測技術的起因傳統(tǒng)網絡安全技術存在著與生俱來的缺陷程序的錯誤配置的錯誤需求的變化決定網絡不斷發(fā)展產品在設計階段可能是基于一項較為安全的技術但當產品成型后，網絡的發(fā)展已經使得該技術不再安全傳統(tǒng)的網絡安全技術是屬于靜態(tài)安全技術，無法解決動態(tài)發(fā)展網絡中的安全問題第11章第1節(jié)511.1入侵檢測技術概述入侵檢測的定義入侵檢測是用來發(fā)現(xiàn)外部攻擊與內部合法用戶濫用特權的一種方法它還是一種增強內部用戶的責任感及提供對攻擊者的法律訴訟依據(jù)的機制第11章第1節(jié)611.1入侵檢測技術概述入侵檢測的特點入侵檢測是一種動態(tài)的網絡安全技術它利用各種不同類型的引擎，實時地或定期地對網絡中相關的數(shù)據(jù)源進行分析，依照引擎對特殊的數(shù)據(jù)或事件的認識，將其中具有威脅性的部分提取出來，并觸發(fā)響應機制入侵檢測的動態(tài)性入侵檢測的實時性對網絡環(huán)境的變化具有一定程度上的自適應性第11章第1節(jié)711.1入侵檢測技術概述入侵檢測的內容外部攻擊檢測內部特權濫用檢測第11章第1節(jié)811.1入侵檢測技術概述入侵檢測的內容外部攻擊檢測外部攻擊與入侵是指來自外部網絡非法用戶的威脅性訪問或破壞外部攻擊檢測的重點在于檢測來自于外部的攻擊或入侵第11章第1節(jié)911.1入侵檢測技術概述入侵檢測的內容內部特權濫用檢測內部特權濫用是指網絡的合法用戶在不正常的行為下獲得了特殊的網絡權限并實施威脅性訪問或破壞內部特權濫用檢測的重點集中于觀察授權用戶的活動第11章第1節(jié)1011.1入侵檢測技術概述入侵檢測的功能檢測和分析用戶和系統(tǒng)的活動識別反映已知攻擊的活動模式非正?；顒幽Ｊ降慕y(tǒng)計分析通過對操作系統(tǒng)的審計，分析用戶的活動、識別違規(guī)操作審計系統(tǒng)配置和脆弱性、評估關鍵系統(tǒng)和數(shù)據(jù)文件的一致性第11章第1節(jié)1111.1入侵檢測技術概述入侵檢測技術原理與系統(tǒng)構成原理圖第11章第1節(jié)1211.1入侵檢測技術概述IDS原理入侵檢測的技術的核心在于入侵檢測過程對行為與狀態(tài)的綜合分析是基于知識的智能推理神經網絡理論模式匹配異常統(tǒng)計第11章第1節(jié)1311.1入侵檢測技術概述IDS原理技術分析的依據(jù)歷史知識現(xiàn)有的行為狀態(tài)實時的監(jiān)測是保證入侵檢測具有實時性的主要手段根據(jù)實時監(jiān)測的記錄不斷修改歷史知識保證了入侵檢測具有自適應性第11章第1節(jié)1411.1入侵檢測技術概述系統(tǒng)構成第11章第1節(jié)1511.1入侵檢測技術概述IDS的構成信息采集部件對各類復雜、凌亂的信息進行格式化并交付于入侵分析部件入侵分析部件按著部件內部的分析引擎進行入侵分析，當信息滿足了引擎的入侵標準時就觸發(fā)了入侵響應機制入侵響應部件當入侵分析部件發(fā)現(xiàn)入侵后，由入侵響應部件根據(jù)具體的情況做出響應響應部件同信息采集部件一樣都是分布于網絡中，甚至與信息采集部件集成在一起第11章第1節(jié)1611.2入侵檢測分類與評估IDS引擎分類誤用檢測

異常檢測第11章第2節(jié)1711.2入侵檢測分類與評估IDS引擎分類誤用檢測

首先根據(jù)已知的入侵，定義由獨立的事件、事件的序列、事件臨界值等通用規(guī)則組成的入侵模式然后觀察能與入侵模式相匹配的事件，達到發(fā)現(xiàn)入侵的目的入侵模式需要定期更新第11章第2節(jié)1811.2入侵檢測分類與評估IDS引擎分類異常檢測原理通過檢查統(tǒng)計量的偏差，從而檢測出不正常的行為其實現(xiàn)的方法將各個主體、對象的行為量化以歷史數(shù)據(jù)設定期望值將與期望值有偏差的行為定義為入侵第11章第2節(jié)19IDS引擎對比—誤用檢測

優(yōu)點誤用檢測具有很強的可分割性、獨立性，可縮小模式數(shù)據(jù)庫規(guī)模具有很強的針對性，對已知的入侵方法檢測效率很高有能力提供模糊入侵檢測引擎缺點可測量性與性能都和模式數(shù)據(jù)庫的大小和體系結構有關可擴展性差通常不具備自學習能力，對新攻擊的檢測分析必須補充模式數(shù)據(jù)庫攻擊行為難以模式化第11章第2節(jié)20IDS引擎對比—異常檢測優(yōu)點符合數(shù)據(jù)的異常變化理論，適合事物的發(fā)展規(guī)律

檢查算法比較普適化，對變量的跟蹤不需要大量的內存

有能力檢測與響應某些新的攻擊缺點數(shù)據(jù)假設可能不合理，加權算法在統(tǒng)計意義上可能不準確

對突發(fā)性正常事件容易引起誤判斷

對長期、穩(wěn)定的攻擊方法靈敏度低

第11章第2節(jié)2111.2入侵檢測分類與評估實現(xiàn)方式分類基于主機的IDS（HIDS）安裝在被重點檢測的主機之上對該主機的網絡實時連接以及系統(tǒng)審計日志進行智能分析和判斷基于網絡的IDS（NIDS）放置在比較重要的網段內不停地監(jiān)視網段中的各種數(shù)據(jù)包。對每一個數(shù)據(jù)包或可疑的數(shù)據(jù)包進行特征分析第11章第2節(jié)22IDS實現(xiàn)方式—HIDS優(yōu)點能夠獲得更詳盡的信息誤報率低。對分析“可能的攻擊行為”非常有用適用于不需要廣泛的入侵檢測、或者傳感器與控制臺之間的通信帶寬不足的環(huán)境風險較少缺點依賴于服務器的日志與監(jiān)視功能，降低應用系統(tǒng)的效率，可能需要中斷服務全面布署HIDS代價較大對入侵行為的分析的工作量將隨著主機數(shù)目增加而增加可能帶來一些額外的安全問題第11章第2節(jié)23IDS實現(xiàn)方式—NIDS優(yōu)點能夠檢測來自網絡的攻擊能夠檢測到超過授權的非法訪問易于安裝，不影響業(yè)務系統(tǒng)的性能，因此風險小缺點監(jiān)測范圍受網段的限制，全網段部署傳感器會使成本大大增加數(shù)據(jù)量大使得NIDS很難檢測一些需要大量計算和分析才能檢測的攻擊傳感器的分析能力的增強常伴隨著協(xié)同能力的減弱難以處理復雜協(xié)議，如：加密、高層協(xié)議第11章第2節(jié)2411.2入侵檢測分類與評估技術路線分類基于統(tǒng)計分析的入侵檢測技術基于神經網絡的入侵檢測技術基于專家系統(tǒng)的入侵檢測技術基于模型推理的入侵檢測技術第11章第2節(jié)2511.2入侵檢測分類與評估技術路線分類基于統(tǒng)計分析的入侵檢測技術基于對用戶歷史行為進行統(tǒng)計，同時實時地檢測用戶對系統(tǒng)的使用情況，根據(jù)用戶行為的概率模型與當前用戶的行為進行比較，一但發(fā)現(xiàn)可疑的情況與行為，就跟蹤、監(jiān)測并記錄，適當時采用一定的響應手段

有一定的自適應能力，穩(wěn)定，但誤警率高第11章第2節(jié)2611.2入侵檢測分類與評估技術路線分類基于神經網絡的入侵檢測技術將神經網絡模型運用于入侵檢測系統(tǒng)，可以解決基于統(tǒng)計數(shù)據(jù)的主觀假設而導致的大量虛假警報問題，同時由于神經網絡模型的自適應性，使得系統(tǒng)精簡，成本較低但是不成熟第11章第2節(jié)2711.2入侵檢測分類與評估技術路線分類基于專家系統(tǒng)的入侵檢測技術根據(jù)專家對合法行為的分析經驗來形成一套推理規(guī)則，然后在此基礎上構成相應的專家系統(tǒng)，由此專家系統(tǒng)自動地進行攻擊分析工作推理系統(tǒng)的效率較低第11章第2節(jié)2811.2入侵檢測分類與評估技術路線分類基于模型推理的入侵檢測技術對已知入侵行為建立特定的模型，監(jiān)視具有特定行為特征的活動，一但發(fā)現(xiàn)與模型匹配的用戶行為，就通過相關信息證實或否定攻擊的真實性又稱為模式匹配，是應用較多的入侵檢測方法第11章第2節(jié)2911.2入侵檢測分類與評估評價標準準確性誤警：IDS將用戶正常的操作當作入侵行為，予以報警（1%~10%）漏警：IDS將入侵行為當作用戶正常的操作，不予報警（10%~50%）處理性能完備性容錯性及時性第11章第2節(jié)3011.3入侵檢測產品概況產品實施層次應用層操作系統(tǒng)層網絡層第11章第3節(jié)3111.3入侵檢測產品概況國外產品CyberCopIDS：NAIRealsecure

：ISSSession_wall：Abirnet

NetWareFlightRecorder：Anzen

InternetEmergencyResponseService：IBMCiscoSecureIDS：Cisco第11章第3節(jié)3211.3入侵檢測產品概況國外產品AdaptiveIntrusionDetectionSystem：布蘭登大學

AutonomousAgentsForIntrusionDetection：PurdueUniversityIDES：SRIWisdomandSense：LosAlamosNSM：加里福利亞大學

第11章第3節(jié)3311.3入侵檢測產品概況國內產品RIDS-100：瑞星

曙光GodEye-HIDS：曙光信息產業(yè)（北京）

天闐：啟明星辰

天眼NPIDS