文档介绍:计算机系统安全
第十一章
入侵检测系统
1
1、入侵检测的概念
一、什么是入侵检测
入侵检测的内容:试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。
入侵检测(Intrusion Detection):通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵检测系统(IDS):入侵检测的软件与硬件的组合,是防火墙的合理补充,是防火墙之后的第二道安全闸门。
2
1、入侵检测的概念:模型
一、什么是入侵检测
Dennying的通用入侵检测模型。模型缺点是它没有包含已知系统漏洞或攻击方法的知识
3
1、入侵检测的概念:任务
一、什么是入侵检测
· 监视、分析用户及系统活动,查找非法用户和合法用户的越权操作;
· 系统构造和弱点的审计,并提示管理员修补漏洞;
· 识别反映已知进攻的活动模式并报警,能够实时对检测到的入侵行为进行反应;
· 异常行为模式的统计分析,发现入侵行为的规律;
· 评估重要系统和数据文件的完整性;
· 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
4
1、入侵检测的概念
一、什么是入侵检测
传统安全防范技术的不足
传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的反应。
入侵检测技术通过对入侵行为的过程与特征的研究使安全系统对入侵事件和入侵过程能做出实时响应。
5
2、入侵检测的分类
一、什么是入侵检测
根据所采用的技术可以分为:
1)异常检测:异常检测的假设是入侵者活动异常于正常主体的活动,建立正常活动的“活动简档”,当前主体的活动违反其统计规律时,认为可能是“入侵”行为。
2)特征检测:特征检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。
6
2、入侵检测的分类
一、什么是入侵检测
根据所监测的对象来分:
1)基于主机的入侵检测系统(HIDS):通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是这些系统的弱点之一,入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。
2)基于网络的入侵检测系统(NIDS):通过在共享网段上对通信数据的侦听采集数据,分析可疑现象。这类系统不需要主机提供严格的审计,对主机资源消耗少,并可以提供对网络通用的保护而无需顾及异构主机的不同架构。
7
2、入侵检测的分类
一、什么是入侵检测
根据系统的工作方式分为:
1)离线检测系统:离线检测系统是非实时工作的系统,它在事后分析审计事件,从中检查入侵活动。
2)在线检测系统:在线检测系统是实时联机的检测系统,它包含对实时网络数据包分析,实时主机审计分析。其工作过程是实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。
8
3、信息收集
一、什么是入侵检测
第一步是信息收集,包括系统、网络、数据及用户活动的状态和行为。需要在系统中的不同关键点(网段和主机)收集信息,这样做的理由就是从一个来源的信息有可能看不出疑点,但从几个源来的信息的不一致性却是可疑行为或入侵的最好标识。
4. 物理形式的入侵信息
9
4、信号分析
一、什么是入侵检测
对收集到的上述四类信息,通过三种技术手段进行分析:
模式匹配:用于实时的入侵检测
统计分析:用于实时的入侵检测
完整性分析:用于事后分析。
10