文档介绍:入侵检测
入侵检测概述
入侵检测系统分类
入侵检测系统的分析方式
入侵检测系统的优点与局限性
1
背景介绍
信息系统的安全问题
操作系统的脆弱性
计算机网络的资源开放、信息共享以及网络复杂性增大了系统的不安全性
数据库管理系统等应用系统设计中存在的安全性缺陷
缺乏有效的安全管理
2
黑客攻击猖獗
网络
内部、外部泄密
拒绝服务攻击
逻辑炸弹
特洛伊木马
黑客攻击
计算机病毒
后门、隐蔽通道
蠕虫
3
入侵检测的提出
什么是入侵检测系统
入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。
入侵检测系统是一套监控计算机系统或网络系统中发生的事件,根据规则进行安全审计的软件或硬件系统。
4
入侵检测的提出
为什么需要IDS?
入侵很容易
入侵教程随处可见
各种工具唾手可得
防火墙不能保证绝对的安全
网络边界的设备
自身可以被攻破
对某些攻击保护很弱
不是所有的威胁来自防火墙外部
防火墙是锁,入侵检测系统是监视器
5
入侵检测的提出
入侵检测的任务
检测来自内部的攻击事件和越权访问
85%以上的攻击事件来自于内部的攻击
防火墙只能防外,难于防内
入侵检测系统作为防火墙系统的一个有效的补充
入侵检测系统可以有效的防范防火墙开放的服务入侵
通过事先发现风险来阻止入侵事件的发生,提前发现试图攻击或滥用网络系统的人员。
检测其它安全工具没有发现的网络工具事件。
提供有效的审计信息,详细记录黑客的入侵过程,从而帮助管理员发现网络的脆弱性。
6
入侵检测的提出
入侵检测的发展历史
1980年,James Anderson最早提出入侵检测概念
1987年,,并将入侵检测作为一种新的安全防御措施提出。
1988年,Morris蠕虫事件直接刺激了IDS的研究
1988年,创建了基于主机的系统,有IDES,Haystack等
1989年,提出基于网络的IDS系统,有NSM,NADIR, DIDS等
90年代,不断有新的思想提出,如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统
2000年2月,对Yahoo!、N等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮
2001年~今,RedCode、求职信等新型病毒的不断出现,进一步促进了IDS的发展。
7
入侵检测系统的基本结构
8
入侵检测系统的基本结构
(1) 事件产生器
事件产生器采集和监视被保护系统的数据,这些数据可以是网络的数据包,也可以是从系统日志等其他途径搜集到的信息。并且将这个数据进行保存,一般是保存到数据库中。
(2) 事件分析器
事件分析器的功能主要分为两个方面:一是用于分析事件产生器搜集到的数据,区分数据的正确性,发现非法的或者具有潜在危险的、异常的数据现象,通知响应单元做出入侵防范;一是对数据库保存的数据做定期的统计分析,发现某段时期内的异常表现,进而对该时期内的异常数据进行详细分析。
9
(3) 响应单元
响应单元是协同事件分析器工作的重要组成部分,一旦事件分析器发现具有入侵企图的异常数据,响应单元就要发挥作用,对具有入侵企图的攻击施以拦截、阻断、反追踪等手段,保护被保护系统免受攻击和破坏。
(4) 事件数据库
事件数据库记录事件分析单元提供的分析结果,同时记录下所有来自于事件产生器的事件,用来进行以后的分析与检查。
10