网络安全技术培训

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

李转琴入侵检测技术入侵检测技术课程为什么需要IDS(intrusionDetectionSystem)IDS的发展历程IDS的作用及相关术语IDS的实现方式IDS的实现技术IDS的部署IDS的性能指标IDS事件分析IDS的发展入侵检测系统什么是入侵检测•入侵–对信息系统的非授权访问及(或)未经许可在信息系统中进行操作•入侵检测–对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程防火墙的局限%c1%1c%c1%1cDirc:\防火墙的局限防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。确保网络的安全,就要对网络内部进行实时的检测,这就需要IDS无时不在的防护!为什么需要IDSIDS的作用及相关术语IDS发展历程IDS的实现方式IDS的实现技术IDS的部署IDS的性能指标IDS事件分析IDS的发展入侵检测系统监控室=控制中心后门保安=防火墙摄像机=探测引擎CardKey形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它也是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄象机,还包括保安员的摄象机,能够对入侵行为自动地进行反击:阻断连接、关闭道路(与防火墙联动)。入侵检测系统的作用入侵检测系统作用从不知到有知从被动到主动从事后到事前从预警到保障全面监测、及时响应加强管理、提高威慑总结教训、优化策略预警机制、保障意识入侵检测系统作用•监控网络和系统•发现入侵企图或异常现象•实时报警•主动响应•审计跟踪•falsepositives(虚警)检测系统在检测时把系统的正常行为判为入侵行为的错误被称为虚警。检测系统在检测过程中出现虚警的概率称为系统的虚警率•falsenegatives(漏警)检测系统在检测时把某些入侵行为判为正常行为的错误现象称为漏警。检测系统在检测过程中出现漏警的概率称为系统的漏警率入侵检测相关术语入侵检测相关术语•PatternMatchingSignature模式匹配•CommonIntrusionDetectionFrame组件–事件产生器(Eventgenerators)–事件分析器(Eventanalyzers)–响应单元(Responseunits)–事件数据库(Eventdatabases)•Honeypot(蜜罐)蜜罐是可以模拟脆弱性主机诱惑攻击者在其上浪费时间,延缓对真正目标的攻击为什么需要IDSIDS的作用及相关术语IDS发展历程IDS的实现方式IDS的实现技术IDS的部署IDS的性能指标IDS的发展入侵检测系统IDS发展历程•1980年4月,JamesP.Anderson为美国空军做了一份题为《ComputerSecurityThreatMonitoringandSurveillance》(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念。•从1984年到1986年,乔治敦大学的DorothyDenning和SRI/CSL(SRI公司计算机科学实验室)的PeterNeumann研究出了一个实时入侵检测系统模型,取名为IDES(入侵检测专家系统)。•1988年,SRI/CSL的TeresaLunt等人改进了Denning的入侵检测模型,并开发出了一个IDES•1990年是入侵检测系统发展史上的一个分水岭。这一年,加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM(NetworkSecurityMonitor)。为什么需要IDS(intrusionDetectionSystem)IDS的作用及相关术语IDS的实现方式IDS的实现技术IDS的部署IDS的性能指标IDS事件分析IDS的发展入侵检测系统主机IDS运行于被检测的主机之上,通过查询、监听当前系统的各种资源的使用运行状态,发现系统资源被非法使用和修改的事件,进行上报和处理。其监测的资源主要包括:网络、文件、进程、系统日志等主机IDS网络IDS网络IDS通过抓取网络上的所有报文,分析处理后,报告异常和重要的数据模式和行为模式,使网络安全管理员清楚地了解网络上发生的事件,并能够采取行动阻止可能的破坏。网络IDS与主机IDS区别•成本较低•检测基于主机的系统漏掉的攻击•攻击者不易转移证据•操作系统无关性•检测未成功的攻击和不良意图•安装在被保护的网段中混杂模式监听•操作系统无关性•不会增加网络中主机的负载网络IDS网络IDS与主机IDS区别•安装于被保护的主机中•主要分析主机内部活动–系统日志–系统调用–文件完整性检查•占用一定的系统资源•不要求额外的硬件设备•确定攻击是否成功•适用被加密的和交换的环境主机IDSIDS的基本结构实现主机引擎功能原理网络检测防护模块文件检测防护模块注册表检测防护模块IIS检测防护模块安全日志检测模块应用日志检测模块检测策略事件定义告警日志日志文件日志库数据库告警界面配置界面邮件告警手机告警报告主机引擎控制中心控制命令交互反馈网络引擎原理抓包口分析处理事件处理事件响应定时上报实时上报状态监控通讯口控制中心引擎操作系统联动口策略串口引擎配置接收策略下发控制中心功能通讯口父控中心子控中心数据库界面显示日志告警通告自身管理引擎管理日志分析管理员报表原始报文基于通用操作系统流量子控管理策略管理用户管理流量告警事件告警流量值为什么需要IDS(intrusionDetectionSystem)IDS的作用及相关术语IDS的实现方式IDS的实现技术IDS的部署IDS的性能指标IDS事件分析IDS的发展入侵检测系统IDS实现技术滥用检测技术(基于知识的检测)异常检测技术(基于行为的检测)基于知识的检测(1)基于知识的检测指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。因为很大一部分的入侵是利用了系统的脆弱性,通过分析入侵过程的特征、条件、排列以及事件间关系能具体描述入侵行为的迹象。基于知识的检测也被称为违规检测(MisuseDetection)。这种方法由于依据具体特征库进行判断,所以检测准确度很高,并且因为检测结果有明确的参照,也为系统管理员做出相应措施提供了方便。基于知识的入侵检测(2)•主要实现技术:基于知识的入侵检测系统只是在表示入侵模式(知识)的方式以及在系统的审计迹中检查入侵模式的机制上有所区别。–专家系统(早期系统IDES、NIDES、W&S等)。–入侵签名分析,由于这种技术在实现上简单有效,现有的商用入侵检测系统产品中多采用这种技术。–状态迁移分析(USTAT)–模式匹配,SandeepKumar设计的模式匹配检测模型中,使用CPN(ColoredPetriNetwork)来描述入侵者的攻击模式。基于知识的检测--专家系统将有关入侵的知识转化成if-then结构的规则,即将构成入侵所要求的条件转化为if部分,将发现入侵后采取的相应措施转化成then部分。当其中某个或某部分条件满足时,系统就判断为入侵行为发生。其中的if-then结构构成了描述具体攻击的规则库,状态行为及其语义环境可根据审计事件得到,推理机根据规则和行为完成判断工作。基于知识的检测---模型匹配模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行为的知识被描述为:攻击者目的,攻击者达到此目的的可能行为步骤,以及对系统的特殊使用等。根据这些知识建立攻击脚本库,每一脚本都由一系列攻击行为组成。模式匹配00050dac6f2d600b0d04dcbaa08004500.P.......M....E.10015731054000800600000a0a0231d850.W1.@........1.P20111106a30050df62322e413a9cf15018.....P.b2.A:..P.3016d0f6e50000474554202f70726f6475......GET/produ406374732f776972656c6573732f696d61cts/wireless/ima506765732f686f6d655f636f6c6c616765ges/home_collage60322e6a706720485454502f312e310d0a2.jpgHTTP/1.1..704163636570743a202a2f2a0d0a526566Accept:*/*..Ref80657265723a20687474703a2f2f777777erer::en-us.d00a4163636570742d456e636f64696e67.Accept-Encodinge03a20677a69702c206465666c6174650d:gzip,deflate.f00a557365722d4167656e743a204d6f7a.User-Agent:Moz100696c6c612f342e302028636f6d706174illa/4.0(compat11069626c653b204d53494520352e30313bible;MSIE5.01;1202057696e646f7773204e5420352e3029WindowsNT5.0)1300d0a486f73743a207777772e616d6572..Host:基于知识的检测--状态转换分析状态转换法将入侵过程看作一个行为序列,这个行为序列导致系统从初始状态转入被入侵状态。分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态,以及导致状态转换的转换条件,即导致系统进入被入侵状态必须执行的操作(特征事件)。然后用状态转换图来表示每一个状态和特征事件,这些事件被集成于模型中,所以检测时不需要一个个地查找审计记录。但是,状态转换是针对事件序列分析,所以不善于分析过分复杂的事件,而且不能检测与系统状态无关的入侵。Petri网分析一分钟内4次登录失败协议分析的优点●提高了性能:协议分析利用已知结构的通信协议,与模式匹配系统中传统的穷举分析方法相比,在处理数据帧和连接时更迅速、有效。●提高了准确性:与非智能化的模式匹配相比,协议分析减少了虚警和误判的可能性,命令解析(语法分析)和协议解码技术的结合,在命令字符串到达操作系统或应用程序之前,模拟它的执行,以确定它是否具有恶意。●基于状态的分析:当协议分析入侵检测系统引擎评估某个包时,它考虑了在这之前相关的数据包内容,以及接下来可能出现的数据包。与此相反,模式匹配入侵检测系统孤立地考察每个数据包。●反规避能力:因为协议分析入侵检测系统具有判别通信行为真实意图的能力,它较少地受到黑客所用的像URL编码、干扰信息、TCP/IP分片等入侵检测系统规避技术的影响。●系统资源开销小:协议分析入侵检测系统的高效性降低了在网络和主机探测中的资源开销,而模式匹配技术却是个可怕的系统资源消费者。协议分析00050dac6f2d600b0d04dcbaa08004500.P.......M....E.1

1 / 79
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功