1、.入侵檢測系統(tǒng)IDS.黑客攻擊日益猖獗,防范問題日趨嚴(yán)峻v政府、軍事、郵電和金融網(wǎng)絡(luò)是黑客攻擊的主要目標(biāo)。即便已經(jīng)擁有高性能防火墻等安全產(chǎn)品，依然抵擋不住這些黑客對網(wǎng)絡(luò)和系統(tǒng)的破壞。據(jù)統(tǒng)計，幾乎每20秒全球就有一起黑客事件發(fā)生，僅美國每年所造成的經(jīng)濟損失就超過100億美元。.網(wǎng)絡(luò)入侵的特點v網(wǎng)絡(luò)入侵的特點沒有地域和時間的限制；通過網(wǎng)絡(luò)的攻擊往往混雜在大量正常的網(wǎng)絡(luò)活動之間，隱蔽性強；入侵手段更加隱蔽和復(fù)雜。.為什么需要IDS？v單一防護產(chǎn)品的弱點防御方法和防御策略的有限性動態(tài)多變的網(wǎng)絡(luò)環(huán)境來自外部和內(nèi)部的威脅.為什么需要IDS？v關(guān)于防火墻網(wǎng)絡(luò)邊界的設(shè)備，只能抵擋外部來的入侵行為自身存在弱點，

2、也可能被攻破對某些攻擊保護很弱即使透過防火墻的保護，合法的使用者仍會非法地使用系統(tǒng)，甚至提升自己的權(quán)限僅能拒絕非法的連接請求，但是對于入侵者的攻擊行為仍一無所知.為什么需要IDS？v入侵很容易入侵教程隨處可見各種工具唾手可得.入侵檢測的概念v入侵檢測（Intrusion Detection）：通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)的關(guān)鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。v入侵檢測系統(tǒng)（IDS）：入侵檢測系統(tǒng)是軟件與硬件的組合，是防火墻的合理補充，是防火墻之后的第二道安全閘門。v入侵檢測的內(nèi)容：試圖闖入、成功闖入、冒充其他用戶、違反安全策略、合法用戶的泄漏、

3、獨占資源以及惡意使用。.入侵檢測的職責(zé)vIDS系統(tǒng)主要有兩大職責(zé)：實時檢測和安全審計，具體包含4個方面的內(nèi)容 識別黑客常用入侵與攻擊 監(jiān)控網(wǎng)絡(luò)異常通信 鑒別對系統(tǒng)漏洞和后門的利用 完善網(wǎng)絡(luò)安全管理 .入侵檢測系統(tǒng)的功能v監(jiān)控用戶和系統(tǒng)的活動v查找非法用戶和合法用戶的越權(quán)操作v檢測系統(tǒng)配置的正確性和安全漏洞v評估關(guān)鍵系統(tǒng)和數(shù)據(jù)的完整性v識別攻擊的活動模式并向網(wǎng)管人員報警v對用戶的非正?；顒舆M行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律 v操作系統(tǒng)審計跟蹤管理，識別違反政策的用戶活動v檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性.入侵檢測系統(tǒng)模型(Denning).入侵檢測系統(tǒng)模型(CIDF).入侵檢測系統(tǒng)的組成特點v入

4、侵檢測系統(tǒng)一般是由兩部分組成：控制中心和探測引擎?？刂浦行臑橐慌_裝有控制軟件的主機，負(fù)責(zé)制定入侵監(jiān)測的策略，收集來自多個探測引擎的上報事件，綜合進行事件分析，以多種方式對入侵事件作出快速響應(yīng)。探測引擎負(fù)責(zé)收集數(shù)據(jù)，作處理后，上報控制中心?？刂浦行暮吞綔y引擎是通過網(wǎng)絡(luò)進行通訊的，這些通訊的數(shù)據(jù)一般經(jīng)過數(shù)據(jù)加密。.入侵檢測的工作過程v信息收集檢測引擎從信息源收集系統(tǒng)、網(wǎng)絡(luò)、狀態(tài)和行為信息。v信息分析從信息中查找和分析表征入侵的異常和可疑信息。v告警與響應(yīng)根據(jù)入侵性質(zhì)和類型，做出相應(yīng)的告警和響應(yīng)。.信息收集v入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為v需要在計算機

5、網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段和不同主機）收集信息，這樣做的理由就是從一個來源的信息有可能看不出疑點，但從幾個來源的信息的不一致性卻是可疑行為或入侵的最好標(biāo)識。.信息收集v入侵檢測的效果很大程度上依賴于收集信息的可靠性和正確性v要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性v特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強的堅固性，防止被篡改而收集到錯誤的信息 .信息收集v系統(tǒng)和網(wǎng)絡(luò)日志文件v目錄和文件中的不期望的改變v程序執(zhí)行中的不期望行為v物理形式的入侵信息.17信息分析v模式匹配-誤用檢測（Misuse Detection）維護一個入侵特征知識庫準(zhǔn)確性高v統(tǒng)計分析-異常檢測（Anomaly Detec

6、tion） 統(tǒng)計模型誤報、漏報較多v完整性分析 關(guān)注某個文件或?qū)ο笫欠癖桓氖潞蠓治?模式匹配v模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為v一般來講，一種攻擊模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權(quán)限）來表示。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達式來表示安全狀態(tài)的變化）.統(tǒng)計分析v統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）v測量屬性的平均值和偏差被用來與網(wǎng)絡(luò)、系統(tǒng)的行

7、為進行比較，任何觀察值在正常值范圍之外時，就認(rèn)為有入侵發(fā)生.完整性分析v完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓陌ㄎ募湍夸浀膬?nèi)容及屬性在發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效.響應(yīng)動作v主動響應(yīng)v被動響應(yīng).入侵檢測性能關(guān)鍵參數(shù)v誤報(false positive)：如果系統(tǒng)錯誤地將異?；顒佣x為入侵v漏報(false negative)：如果系統(tǒng)未能檢測出真正的入侵行為.23 入侵檢測系統(tǒng)分類（一）v按照分析方法（檢測方法）異常檢測模型（Anomaly Detection ):首先總結(jié)正常操作應(yīng)該具有的特征（用戶輪廓），當(dāng)用戶活動與正常行為有重大偏離時即被認(rèn)為是入侵 誤用檢測模型

8、（Misuse Detection)：收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵 .異常檢測模型v如果系統(tǒng)錯誤地將異?；顒佣x為入侵，稱為誤報(false positive) ；如果系統(tǒng)未能檢測出真正的入侵行為則稱為漏報(false negative)。v特點：異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率。因為不需要對每種入侵行為進行定義，因此能有效檢測未知的入侵。同時系統(tǒng)能針對用戶行為的改變進行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會消耗更多的系統(tǒng)資源。 .誤用檢測模型v如果入侵特征與正常的用戶行為能匹

9、配，則系統(tǒng)會發(fā)生誤報；如果沒有特征能與某種新的攻擊行為匹配，則系統(tǒng)會發(fā)生漏報。v特點：采用特征匹配，誤用檢測能明顯降低錯報率，但漏報率隨之增加。攻擊特征的細(xì)微變化，會使得誤用檢測無能為力。.入侵檢測系統(tǒng)分類（二）v根據(jù)檢測對象分類基于主機的IDS（Host-Based IDS）vHIDS一般主要使用操作系統(tǒng)的審計日志作為主要數(shù)據(jù)源輸入，試圖從日志判斷濫用和入侵事件的線索。 基于網(wǎng)絡(luò)的IDS（Network-Based IDS）vNIDS在計算機網(wǎng)絡(luò)中的關(guān)鍵點被動地監(jiān)聽網(wǎng)絡(luò)上傳輸?shù)脑剂髁?，對獲取的網(wǎng)絡(luò)數(shù)據(jù)進行分析處理，從中獲取有用的信息，以識別、判定攻擊事件。 混合型IDS.基于網(wǎng)絡(luò)的IDS（

10、NIDS）v是網(wǎng)絡(luò)上的一個監(jiān)聽設(shè)備v通過網(wǎng)絡(luò)適配器捕獲數(shù)據(jù)包并分析數(shù)據(jù)包v根據(jù)判斷方法分為基于知識的數(shù)據(jù)模式判斷和基于行為的行為判斷方法v能夠檢測超過授權(quán)的非法訪問vIDS發(fā)生故障不會影響正常業(yè)務(wù)的運行 v配置簡單.基于主機的IDS（HIDS）vHIDS是配置在被保護的主機上的，用來檢測針對主機的入侵和攻擊v主要分析的數(shù)據(jù)包括主機的網(wǎng)絡(luò)連接狀態(tài)、審計日志、系統(tǒng)日志。v實現(xiàn)原理配置審計信息系統(tǒng)對審計數(shù)據(jù)進行分析(日志文件).NIDS和HIDS比較.入侵檢測的分類 (混合IDS)v基于網(wǎng)絡(luò)的入侵檢測產(chǎn)品和基于主機的入侵檢測產(chǎn)品都有不足之處，單純使用一類產(chǎn)品會造成主動防御體系不全面。但是，它們的缺憾

11、是互補的。如果這兩類產(chǎn)品能夠無縫結(jié)合起來部署在網(wǎng)絡(luò)內(nèi)，則會構(gòu)架成一套完整立體的主動防御體系，綜合了基于網(wǎng)絡(luò)和基于主機兩種結(jié)構(gòu)特點的入侵檢測系統(tǒng)，既可發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可從系統(tǒng)日志中發(fā)現(xiàn)異常情況。.入侵檢測系統(tǒng)分類（三）v根據(jù)系統(tǒng)工作方式來分：在線入侵檢測(IPS)，一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機的連接，并收集證據(jù)和實施數(shù)據(jù)恢復(fù)。這個檢測過程是不斷循環(huán)進行的。離線入侵檢測，根據(jù)計算機系統(tǒng)對用戶操作所做的歷史審計記錄判斷用戶是否具有入侵行為，如果有就斷開連接，并記錄入侵證據(jù)和進行數(shù)據(jù)恢復(fù)。.入侵檢測的部署vIDS的部署模式：共享媒介HUB交換環(huán)境隱蔽模式Tap模式In-line模式.入

12、侵檢測的部署v檢測器部署位置放在邊界防火墻之內(nèi)放在邊界防火墻之外放在主要的網(wǎng)絡(luò)中樞放在一些安全級別需求高的子網(wǎng).入侵檢測的部署部署一Internet部署二部署部署三三部署部署四四.入侵檢測的部署v檢測器放置于防火墻的DMZ區(qū)域可以查看受保護區(qū)域主機被攻擊狀態(tài)可以看出防火墻系統(tǒng)的策略是否合理可以看出DMZ區(qū)域被黑客攻擊的重點.入侵檢測的部署v檢測器放置于路由器和邊界防火墻之間可以審計所有來自Internet上面對保護網(wǎng)絡(luò)的攻擊數(shù)目可以審計所有來自Internet上面對保護網(wǎng)絡(luò)的攻擊類型.入侵檢測的部署v檢測器放在主要的網(wǎng)絡(luò)中樞監(jiān)控大量的網(wǎng)絡(luò)數(shù)據(jù)，可提高檢測黑客攻擊的可能性可通過授權(quán)用戶的權(quán)利周界

13、來發(fā)現(xiàn)未授權(quán)用戶的行為.當(dāng)前主流產(chǎn)品介紹vComputer Associates公司SessionWall-3/eTrust Intrusion DetectionvCisco公司NetRangerIDSvIntrusion Detection公司Kane Security MonitorvAxent Technologies公司OmniGuard/Intruder Alert.當(dāng)前主流產(chǎn)品介紹vInternet Security System公司RealSecurevNFR公司Intrusion Detection Applicance 4.0v中科網(wǎng)威“天眼”入侵檢測系統(tǒng)v啟明星辰SkyB

14、ell(天闐）v免費開源軟件snort.入侵測系統(tǒng)的優(yōu)點v入侵檢測系統(tǒng)能夠增強網(wǎng)絡(luò)的安全性，它的優(yōu)點：能夠使現(xiàn)有的安防體系更完善；能夠更好地掌握系統(tǒng)的情況；能夠追蹤攻擊者的攻擊線路；界面友好，便于建立安防體系；能夠抓住肇事者。.入侵檢測系統(tǒng)的不足v入侵檢測系統(tǒng)不是萬能的，它同樣存在許多不足之處：不能夠在沒有用戶參與的情況下對攻擊行為展開調(diào)查；不能夠在沒有用戶參與的情況下阻止攻擊行為的發(fā)生；不能克服網(wǎng)絡(luò)協(xié)議方面的缺陷；不能克服設(shè)計原理方面的缺陷；響應(yīng)不夠及時，簽名數(shù)據(jù)庫更新得不夠快。經(jīng)常是事后才檢測到，適時性不好。.入侵檢測技術(shù)的發(fā)展趨勢 v大規(guī)模分布式入侵檢測，傳統(tǒng)的入侵檢測技術(shù)一般只局限于單一的主機或網(wǎng)絡(luò)框架，顯然不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的監(jiān)測，不同的入侵檢測系統(tǒng)之間也不能協(xié)同工作。因此，必須發(fā)展大規(guī)模的分布式入侵檢測技術(shù)。v寬帶高速網(wǎng)絡(luò)的實時入侵檢測技術(shù)，大量