文档介绍：《网络信息安全》
中国科学技术大学
肖明军
******@ustc.
第10章入侵检测系统
1
入侵检测分类
2
入侵检测技术
3
入侵检测产品
4
入侵检测系统概述
一、入侵检测系统概述
1
入侵检测系统的基本结构
2
入侵检测系统及起源
3
基本术语
4
入侵检测系统分类
IDS存在与发展的必然性
网络安全本身的复杂性,被动式的防御方式显得力不从心。
有关防火墙:网络边界的设备;自身可以被攻破;对某些攻击保护很弱;并非所有威胁均来自防火墙外部。
入侵很容易:入侵教程随处可见;各种工具垂手可得
入侵检测系统概述
Anderson在1980年给出了入侵的定义:入侵是指在非授权的情况下,试图存取信息、处理信息或破坏系统以使系统不可靠、不可用的故意行为。
什么是入侵检测
入侵检测(Intrusion Detection)的定义:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。
什么是入侵检测系统
入侵检测系统(IDS):进行入侵检测的软件与硬件的组合。它使安全管理员能够及时地处理入侵警报,尽可能减少入侵对系统造成的损害。入侵被检测出来的过程包括监控在计算机系统或者网络中发生的事件,再分析处理这些事件,检测出入侵事件。
入侵检测的起源(1/3)
审计技术:产生、记录并检查按时间顺序排列的系统事件记录的过程。
1980年,James P. Anderson的《计算机安全威胁监控与监视》(《Computer Security Threat Monitoring and Surveillance》)
第一次详细阐述了入侵检测的概念:潜在的有预谋未经授权访问信息、操作信息、致使系统不可靠或无法使用的企图。
计算机系统威胁分类: 外部渗透、内部渗透和不法行为
提出了利用审计跟踪数据监视入侵活动的思想
这份报告被公认为是入侵检测的开山之作
入侵检测的起源(2/3)
1986年,为检测用户对数据库异常访问,,成为最早的基于主机的IDS雏形之一。
1987年,乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型——IDES(入侵检测专家系统),首次将入侵检测的概念作为一种解决计算机系统安全防御问题的措施提出。
1990年,加州大学戴维斯分校的L. T. work Security Monitor)
该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机
入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS
入侵检测的起源(3/3)
1988年之后,美国开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。
从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。
IDS基本结构
IDS通常包括以下功能部件:
事件产生器
事件分析器
事件数据库
响应单元
事件产生器(1/4)
负责原始数据采集,并将收集到的原始数据转换为事件,向系统的其他部分提供此事件。
收集内容:系统、网络数据及用户活动的状态和行为,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息
系统或网络的日志文件
网络流量
系统目录和文件的异常变化
程序执行中的异常行为