IDS1

入侵检测技术王建民Phone:13933017276E-Mail:wangjm@stdu.edu.cn主要内容入侵检测技术概述入侵方法与手段入侵检测系统入侵检测流程基于主机的入侵检测技术基于网络的入侵检测技术入侵检测系统的标准与评估Snort分析入侵检测的发展趋势参考资料入侵检测技术薛静锋人民邮电出版社2007入侵检测技术唐正军清华大学出版社2004网络入侵检测原理与技术胡昌振北京理工大学出版社2006入侵检测罗守山北京邮电大学出版社2004课程特点比较难掌握实践性强涉及的知识面广熟悉网络安全：防火墙、协议分析、入侵检测防盗门、放大镜、巡逻兵基本要求认真看教材多参考相关资料多动手多看最新的技术第1章入侵检测概述第1章入侵检测概述概述:网络安全基本概念入侵检测的产生与发展入侵检测的基本概念网络安全的实质保障系统中的人、设备、设施、软件、数据以及各种供给品等要素避免各种偶然的或人为的破坏或攻击，使它们发挥正常，保障系统能安全可靠地工作。为了提高网络安全性，需要从多个层次和环节入手，分别分析应用系统、宿主机、操作系统、数据库管理系统、网络管理系统、子网、分布式计算机系统和全网中的弱点，采取措施加以防范。网络系统的安全对策与入侵检测近年来，尽管对计算机安全的研究取得了很大进展，但安全计算机系统的实现和维护仍然非常困难，因为我们无法确保系统的安全性达到某一确定的安全级别。入侵检测是最近10余年发展起来的一种动态的监控、预防或抵御系统入侵行为的安全机制。主要通过监控网络、系统的状态、行为以及系统的使用情况，来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。网络安全的P2DR模型与入侵检测Policy（安全策略）Protection（防护）Detection（检测）Response（响应）入侵检测的早期研究1980年，JamesAnderson在技术报告中指出，审计记录可以用于识别计算机误用。他提出了入侵尝试（intrusionattempt）或威胁（threat）的概念，并将其定义为：潜在、有预谋的未经授权访问信息、操作信息，致使系统不可靠或无法使用的企图。1983年，SRI用统计方法分析IBM大型机的SMF记录。总的来说，由于80年代初期网络还没有今天这样普遍和复杂，网络之间也没有完全连通，因此关于入侵检测的研究主要是基于主机的事件日志分析。而且由于入侵行为在当时是相当少见的，因此入侵检测在早期并没有受到人们的重视。主机IDS研究1986年，SRI的DorothyE.Denning首次将入侵检测的概念作为一种计算机系统安全防御措施提出，并且建立了一个独立于系统、程序应用环境和系统脆弱性的通用入侵检测系统模型。1988年，SRI开始开发IDES（IntrusionDetectionExpertSystem）原型系统，它是一个实时入侵检测系统。从1992年到1995年，SRI加强优化IDES，在以太网的环境下实现了产品化的NIDES。1988年，LosAlamos国家实验室的TracorAppliedSciences和HaystackLaboratories采用异常检测和基于Signature的检测，开发了Haystack系统。1989年，LosAlamos国家实验室的HankVaccaro为NCSC和DOE开发了W&S系统。1989年，PRC公司开发了ISOA。网络IDS研究1990年出现的NSM（NetworkSecurityMonitor，网络安全监视器），是UCD（Carlifornia大学的Davis分校）设计的面向局域网的IDS。1994年，美国空军密码支持中心的一群研究人员创建了一个健壮的网络入侵检测系统ASIM。1996年，UCD（Carlifornia大学的Davis分校）的ComputerSecurity实验室，以开发广域网上的入侵检测系统为目的，开发了GrIDS。1997年，Cisco公司兼并了Wheelgroup，并开始将网络入侵检测整合到Cisco路由器中。从1996年到1999年，SRI开始EMERALD的研究，它是NIDES的后继者。主机和网络IDS的集成分布式入侵检测系统（DIDS）最早试图把基于主机的方法和网络监视方法集成在一起。DIDS的最初概念是采用集中式控制技术，向DIDS中心控制器发报告。DIDS主管安全管理员用户界面专家系统通信管理器主机代理LAN代理主机事件发生器LAN事件发生器主机监视器LAN监视器入侵检测的概念入侵：是指任何试图危及计算机资源的完整性、机密性或可用性的行为。入侵检测：对入侵行为的发觉。它通过从计算机网络或系统中的若干关键点收集信息，并对这些信息进行分析，从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测系统：进行入侵检测的软件与硬件的组合便是入侵检测系统（简称IDS）。入侵检测的作用监控、分析用户和系统的活动审计系统的配置和弱点评估关键系统和数据文件的完整性识别攻击的活动模式对异常活动进行统计分析对操作系统进行审计跟踪管理，识别违反政策的用户活动访问控制受保护系统内部有职权的人员防火墙入侵检测系统漏洞扫描系统外部访问内部访问监视内部人员监视外部人员实时监测系统定时扫描系统入侵检测的优点提高信息安全构造的其他部分的完整性提高系统的监控从入口点到出口点跟踪用户的活动识别和汇报数据文件的变化侦测系统配置错误并纠正他们识别特殊攻击类型，并向管理人员发出警报，进行防御入侵检测的缺点不能弥补差的认证机制如果没有人的干预，不能管理攻击调查不能知道安全策略的内容不能弥补网络协议上的弱点不能弥补系统提供质量或完整性的问题不能分析一个堵塞的网络不能处理有关packet-level的攻击研究入侵检测的必要性-1在实践当中，建立完全安全系统根本是不可能的。Miller给出一份有关现今流行的操作系统和应用程序研究报告，指出软件中不可能没有缺陷。另外，设计和实现一个整体安全系统相当困难。要将所有已安装的带安全缺陷的系统转换成安全系统需要相当长的时间。如果口令是弱口令并且已经被破解，那么访问控制措施不能够阻止受到危害的授权用户的信息丢失或者破坏。静态安全措施不足以保护安全对象属性。通常，在一个系统中，担保安全特性的静态方法可能过于简单不充分，或者系统过度地限制用户。例如，静态技术未必能阻止违背安全策略造成浏览数据文件；而强制访问控制仅允许用户访问具有合适的通道的数据，这样就造成系统使用麻烦。因此，一种动态的方法如行为跟踪对检测和尽可能阻止安全突破是必要的。研究入侵检测的必要性-2加密技术方法本身存在着一定的问题。安全系统易受内部用户滥用特权的攻击。安全访问控制等级和用户的使用效率成反比，访问控制和保护模型本身存在一定的问题。在软件工程中存在软件测试不充足、软件生命周期缩短、大型软件复杂性等难解问题，工程领域的困难复杂性，使得软件不可能没有错误，而系统软件容错恰恰被表明是安全的弱点。修补系统软件缺陷不能令人满意。由于修补系统软件缺陷，计算机系统不安全状态将持续相当长一段时间。研究入侵检测的必要性-3基于上述几类问题的解决难度，一个实用的方法是建立比较容易实现的安全系统，同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统，现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言，系统存在被攻击的可能性。如果系统遭到攻击，只要尽可能地检测到，甚至是实时地检测到，然后采取适当的处理措施。入侵检测系统一般不是采取预防的措施以防止入侵事件的发生。入侵检测非常必要，它将有效弥补传统安全保护措施的不足。小结网络安全的实质网络安全的P2DR模型入侵检测的研究入侵检测的概念入侵检测的作用研究入侵检测的必要性