文档介绍:第18讲入侵检测技术入侵检测系统的概念入侵检测系统1DS(IntrusionDetectionSystem)指的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。SecuritySystem公司的RealSecureIntrusionDetection公司的KaneSecurityMonitorAxentTechnologies公司的OmniGuard/IntruderAlert中科网威的“天眼”入侵检测系统启明星辰的SkyBell(天阗)入侵检测系统选购原则(1)产品的攻击检测数量为多少?是否支持升级?(2)对于网络入侵检测系统,最大可处理流量(PPS)是多少?(3)产品容易被攻击者躲避吗?(4)能否自定义异常事件?(5)产品系统结构是否合理?(6)产品的误报和漏报率如何?(7)系统本身是否安全?(8)产品实时监控性能如何?(9)系统是否易用?(包括:界面易用、帮助易用、策略编辑易用、日志报告易用、报警事件优化技术)(10)特征库升级与维护的费用怎样?(11)产品是否通过了国家权威机构的评测?入侵检测系统面临的挑战一个有效的入侵检测系统应限制误报出现的次数,但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和计算机的访问。误报是入侵检测系统最头疼的问题,攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报,而诱导没有警觉性的管理员人把入侵检测系统关掉。误报没有一个入侵检测能无敌于误报,因为没有一个应用系统不会发生错误,原因主要有四个方面。1、缺乏共享数据的机制2、缺乏集中协调的机制3、缺乏揣摩数据在一段时间内变化的能力4、缺乏有效的跟踪分析入侵检测系统的类型和性能比较根据入侵检测的信息来源不同,可以将入侵检测系统分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。1、基于主机的入侵检测系统:主要用于保护运行关键应用的服务器。它通过监视与分析土机的审计记录和日志文件:来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。2、基于网络的入侵检测系统:主要用于实时监控网络关键路径的信息,它监听网络上的所有分组来采集数据,分析可疑现象。入侵检测的方法目前入侵检测方法有三种分类依据:1、根据物理位置进行分类。2、根据建模方法进行分类。3、根据时间分析进行分类。常用的方法有三种:静态配置分析、异常性检测方法和基于行为的检测方法。静态配置分析静态配置分析通过检查系统的配置,诸如系统文件的内容,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(比如,系统配置信息)。采用静态分析方法主要有以下几方面的原因:入侵者对系统攻击时可能会留下痕迹,可通过检查系统的状态检测出来。异常性检测方法异常性检测技术是一种在不需要操作系统及其安全性缺陷的专门知识的情况下,就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的有效方法。但是。在许多环境中,为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事。因为并不是所有入侵者的行为都能够产生明显的异常性,所以在入侵检测系统中,仅使用异常性检测技术不可能检测出所有的入侵行为。而且,有经验的入侵者还可以通过缓慢地改变他的行为,来改变入侵检测系统中的用户正常行为模式,使其入侵行为逐步变为合法,这样就可以避开使用异常性检测技术的入侵检测系统的检测。