1、第12課入侵檢測技術(shù)原理與應(yīng)用，2，主要內(nèi)容，入侵檢測系統(tǒng)定義和模型入侵檢測系統(tǒng)開發(fā)歷史入侵檢測系統(tǒng)原理，3，主要內(nèi)容，入侵檢測系統(tǒng)定義和模型入侵檢測系統(tǒng)開發(fā)歷史入侵檢測系統(tǒng)原理，4，入侵和入侵檢測系統(tǒng)定義，入侵繞過系統(tǒng)安全機(jī)制的非授權(quán)行為。危及電腦、網(wǎng)絡(luò)機(jī)密性、完整性和可用性或忽略電腦和網(wǎng)絡(luò)安全機(jī)制的嘗試。入侵通常是由網(wǎng)路存取系統(tǒng)的攻擊者、有權(quán)獲得附加或更高非法權(quán)限的用戶等引起的。入侵檢測是監(jiān)控電腦系統(tǒng)或網(wǎng)絡(luò)事件并分析這些入侵事件特性的過程。自動執(zhí)行這些監(jiān)視和分析過程的入侵檢測系統(tǒng)軟件或硬件產(chǎn)品。5，入侵檢測(Intrusion Detection)顧名思義，對入侵行為的發(fā)現(xiàn)通過計(jì)算機(jī)網(wǎng)絡(luò)或

2、電腦系統(tǒng)的幾個茄子核心收集和分析信息。發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)是否有違反安全策略和攻擊的跡象入侵檢測系統(tǒng)(IDS)是執(zhí)行入侵檢測的軟件和硬件組合。與其他安全產(chǎn)品不同，入侵檢測系統(tǒng)需要更多的智能，需要分析結(jié)果數(shù)據(jù)并獲得有用的結(jié)果。合格入侵檢測系統(tǒng)、確保網(wǎng)絡(luò)安全運(yùn)行、入侵檢測技術(shù)簡介、6、用戶和系統(tǒng)活動驗(yàn)證系統(tǒng)配置監(jiān)控和分析、漏洞評估系統(tǒng)核心資源和數(shù)據(jù)文件的完整性識別已知攻擊行為統(tǒng)計(jì)分析例外行為操作系統(tǒng)日志管理、違反安全策略的用戶活動實(shí)時通知、入侵檢測系統(tǒng)主要功能、7、IDS產(chǎn)品的一般結(jié)構(gòu)、控制臺、傳感器SENSOR、傳感器SENSOR idwgintrusion detection working gro

3、up idwg :入侵檢測小組3358 www . IETF . org/html . charters/idwg-charter . html目的：定義數(shù)據(jù)類型更換流程輸出要求檔案定義公共入侵檢測這包括但不限于拒絕訪問外部網(wǎng)絡(luò)的主機(jī)。，IETF intrusion detection working group(idwg)draft:intrusion detection message exchange requirements，10，cidfcommentsCIDF通用入侵檢測框架，標(biāo)準(zhǔn)介面-數(shù)據(jù)收集、分析和響應(yīng)組件的互連框架-可擴(kuò)展系統(tǒng)-重用關(guān)鍵技術(shù)-促進(jìn)技術(shù)轉(zhuǎn)移-降低成本IDS框架，

4、分層通信，CISL語言，API，12，CVE common vulnerabbsCVE的目標(biāo)是標(biāo)準(zhǔn)化所有公共已知漏洞和安全暴露網(wǎng)址。/CVE是A Dictionary:A Dictionary Not A database A community-wide effort freely available for review or download以上內(nèi)容確定違反策略的用戶活動，14，主要內(nèi)容，入侵檢測系統(tǒng)定義和模型入侵檢測系統(tǒng)開發(fā)歷史入侵檢測系統(tǒng)原理，15，入侵檢測系統(tǒng)歷史，1980年James P. Anderson使用審計(jì)記錄確定誤用威脅分類的分類建

5、議基于審計(jì)子系統(tǒng)的誤用檢測，16，入侵檢測系統(tǒng)歷史，1985年SRI為IDES 在第一個系統(tǒng)中，統(tǒng)計(jì)方法和基于規(guī)則的方法都使用了。statistical and rule-based同時使用統(tǒng)計(jì)方法和基于規(guī)則的方法。17，入侵檢測系統(tǒng)歷史，1986年，Dorothy Denning發(fā)表了入侵檢測領(lǐng)域的創(chuàng)新工作“Anintrusion-Detection Model”?；拘袨榉治鰴C(jī)制。實(shí)現(xiàn)系統(tǒng)的幾種茄子方法。18，入侵檢測系統(tǒng)歷史，1989年Todd Heberlien、California和Davis大學(xué)學(xué)生之一網(wǎng)絡(luò)安全監(jiān)視器(nsm)網(wǎng)絡(luò)安全監(jiān)視器(NSM)最初為空軍完成的Haystack

6、工作，第一個商業(yè)化主機(jī)IDS，UNIX，20，入侵檢測系統(tǒng)歷史，1994年A group of researchers at the空軍加密支持中心一家商業(yè)化公司W(wǎng)heelgroup的開發(fā)人員啟動了商業(yè)化網(wǎng)絡(luò)入侵檢測技術(shù)。21，入侵檢測系統(tǒng)歷史，1997年，Cisco開始將Wheelgroup添加到收購，將網(wǎng)絡(luò)入侵檢測添加到路由器。Internet Security Systems宣布了Windows NT上的網(wǎng)絡(luò)入侵檢測系統(tǒng)Realsecure。開始了網(wǎng)絡(luò)入侵檢測的革命。22，入侵檢測系統(tǒng)歷史，1998年，Centrax宣布推出entrax。用于Windows NT的分布式主機(jī)入侵檢測系統(tǒng)C

7、entrax已配置為CMDS的開發(fā)人員，隨后加入了部署了Stalker的技術(shù)團(tuán)隊(duì)。，23，主要內(nèi)容，入侵檢測系統(tǒng)定義和模型入侵檢測系統(tǒng)開發(fā)歷史入侵檢測系統(tǒng)原理，24，入侵檢測產(chǎn)品分類，按技術(shù)特性異常檢測監(jiān)控對象網(wǎng)絡(luò)入侵檢測(NIDS)主機(jī)入侵檢測(HIDS)，25，特征檢測基于簽名的檢測困難：設(shè)計(jì)模式的方法表現(xiàn)出“入侵”現(xiàn)象，不包括正?；顒?。常用方法：匹配圖案。26，例外檢測的匿名檢測，原則假設(shè)入侵者活動比正常主體的活動異常，建立主體正常活動的“活動概況”，是將當(dāng)前主體的活動狀態(tài)與“活動概況”相比，違反統(tǒng)計(jì)規(guī)則時被認(rèn)為是“入侵”行為的異常檢測的問題是設(shè)定“活動簡略”的方法。常用方法概率統(tǒng)計(jì)。2

8、7，NIDS，大多數(shù)入侵檢測公司采用的產(chǎn)品形式。捕獲和分析網(wǎng)絡(luò)數(shù)據(jù)包以檢測攻擊。網(wǎng)絡(luò)入侵檢測從網(wǎng)絡(luò)段或交換機(jī)接收，以檢測影響連接到網(wǎng)絡(luò)段的多個主機(jī)的網(wǎng)絡(luò)通信，從而保護(hù)這些主機(jī)。28、網(wǎng)絡(luò)入侵檢測的優(yōu)點(diǎn)，網(wǎng)絡(luò)通信檢測功能NIDS可以檢測網(wǎng)絡(luò)攻擊?？梢詸z測超出權(quán)限非法訪問對正常業(yè)務(wù)的影響。NIDS不需要更改主機(jī)配置(例如服務(wù)器)。不會在業(yè)務(wù)系統(tǒng)的主機(jī)上安裝其他軟件，因此不會影響這些系統(tǒng)的資源使用，如CPU、I/O和磁盤。不會影響業(yè)務(wù)系統(tǒng)的性能。29、網(wǎng)絡(luò)入侵檢測的優(yōu)點(diǎn)、降低部署風(fēng)險NIDS與路由器、防火墻等主要設(shè)備不同，無法運(yùn)行。不是系統(tǒng)的關(guān)鍵路徑NIDS。發(fā)生故障不會影響正常業(yè)務(wù)運(yùn)營。部署NID

9、S的風(fēng)險比HIDS的風(fēng)險低得多。很少配置連接定制設(shè)備安裝、簡單的NIDS安裝網(wǎng)絡(luò)、30、網(wǎng)絡(luò)入侵檢測弱點(diǎn)。孔劉網(wǎng)絡(luò)段的限制NIDS僅檢查直接連接到網(wǎng)絡(luò)段的通信。NIDS無法監(jiān)控徐璐其他網(wǎng)絡(luò)段的網(wǎng)絡(luò)分組交換以太網(wǎng)環(huán)境中出現(xiàn)監(jiān)控范圍的受限多傳感器系統(tǒng)。部署成本可能會增加性能限制。對于NIDS性能目標(biāo)，通常使用特征檢測方法。高效地檢測常見攻擊，實(shí)現(xiàn)需要復(fù)雜計(jì)算和分析時間的攻擊檢測。對硬件處理能力的要求高、31、網(wǎng)絡(luò)入侵檢測弱點(diǎn)、中央分析和大數(shù)據(jù)流量的矛盾NIDS可以將大量數(shù)據(jù)返回分析系統(tǒng)。可以生成大量分析數(shù)據(jù)流量。作為入侵判斷的決策傳感器實(shí)現(xiàn)，中央控制臺成為狀態(tài)指示和通信中心。不再作為入侵行為分析器

10、等系統(tǒng)的傳感器運(yùn)行的32、網(wǎng)絡(luò)入侵檢測弱點(diǎn)、加密通信NIDS在處理加密會話過程時參與密碼分析操作，目前通過加密通道的攻擊還不多。隨著IPv6牙齒的普及，牙齒問題日益突出。33、HIDS、基于主機(jī)的入侵檢測產(chǎn)品(HIDS)；主要是智能地分析和判斷主機(jī)的網(wǎng)絡(luò)實(shí)時連接和系統(tǒng)審核日志。如果主要活動非?？梢?違反特性或統(tǒng)計(jì)規(guī)則)，將采取入侵檢測系統(tǒng)措施。，34，主機(jī)入侵檢測的優(yōu)點(diǎn)，入侵行為分析功能HIDS對于分析“可能的攻擊行為”非常有用。除了知道入侵者試圖執(zhí)行“危險命令”外，還知道入侵者做了什么。與NIDS相比，運(yùn)行了哪些程序、打開了哪些文件以及運(yùn)行了哪些系統(tǒng)調(diào)用HIDS的相關(guān)信息誤報(bào)率更低。HIDS

11、通常低于NIDS誤報(bào)率。主機(jī)入侵檢測的優(yōu)點(diǎn)，降低了復(fù)雜性。監(jiān)視主機(jī)上運(yùn)行的命令序列比監(jiān)視網(wǎng)絡(luò)流簡單。因?yàn)榫W(wǎng)絡(luò)通信要求低。如果不需要廣泛的入侵檢測傳感器和控制臺之間的通信帶寬，則降低部署風(fēng)險如果不使用響應(yīng)方法(如“停止服務(wù)”、“注銷用戶”)，則降低風(fēng)險，36、主機(jī)入侵檢測弱點(diǎn)，將它們安裝到需要受保護(hù)HIDS影響保護(hù)的設(shè)備上，會降低應(yīng)用程序系統(tǒng)的效率。例如，安裝HIDS后，將安全管理員無法訪問的網(wǎng)絡(luò)替換為服務(wù)器依賴性，這取決于服務(wù)器特定的日志和監(jiān)視功能。如果服務(wù)器配置沒有日志功能，則需要重新配置。這將導(dǎo)致運(yùn)行的業(yè)務(wù)系統(tǒng)出現(xiàn)意外的性能影響，37，主機(jī)入侵檢測漏洞。前端部署成本和主機(jī)盲區(qū)整體部署主機(jī)入

12、侵檢測系統(tǒng)成本較高時，選擇某些主機(jī)可能成為保護(hù)未安裝HIDS的系統(tǒng)的盲區(qū)入侵者。使用這些系統(tǒng)可以實(shí)現(xiàn)攻擊目標(biāo)。根據(jù)主機(jī)數(shù)量線性增加HIDS主機(jī)入侵檢測系統(tǒng)除了監(jiān)視自己的主機(jī)外，如果不監(jiān)視網(wǎng)絡(luò)情況，對入侵行為的分析工作量將隨著主機(jī)數(shù)量的增加而增加。38、實(shí)時分析方法實(shí)時系統(tǒng)持續(xù)提供信息收集、分析和報(bào)告，實(shí)時系統(tǒng)提供多種實(shí)時警報(bào)，自動響應(yīng)攻擊后分析的方法在于后分析方法。通過將事件信息入侵檢測系統(tǒng)寫入文件、入侵或誤用的特征、IDS信息收集和分析時間、39、變更攻擊系統(tǒng)的環(huán)境重新配置攻擊者使用的斷開網(wǎng)絡(luò)設(shè)施的響應(yīng)機(jī)制，可以在系統(tǒng)管理員職權(quán)范圍內(nèi)采取字典措施。可以將檢測到的攻擊造成的損失降至最低，并實(shí)時通知實(shí)時發(fā)送的事件相關(guān)信息。通知主要人員電子郵件、尋呼機(jī)、手機(jī)短信息、傳真等，應(yīng)對誤用或入侵；40、入侵檢測技術(shù)的發(fā)展方向；高速網(wǎng)絡(luò)資料分析功能分布式入侵檢測和通用入侵檢測體系結(jié)構(gòu)智