第十二讲-入侵检测技术原理及应用-MSE安全攻防课件.ppt

1、 绕过系统安全机制的非授权行为。绕过系统安全机制的非授权行为。 危害计算机、网络的机密性、完整性和可用性或者绕过计算机、网络的安危害计算机、网络的机密性、完整性和可用性或者绕过计算机、网络的安全机制的尝试。入侵通常是由从互联网访问系统的攻击者、或者试图获得额全机制的尝试。入侵通常是由从互联网访问系统的攻击者、或者试图获得额外或者更高的非法权限的授权用户等引起的。外或者更高的非法权限的授权用户等引起的。 是一种对计算机系统或网络事件进行监测并分析这些入侵事件特征的过程。是一种对计算机系统或网络事件进行监测并分析这些入侵事件特征的过程。 自动进行这种监测和分析过程的软件或硬件产品。自动进行这种监测

2、和分析过程的软件或硬件产品。控制台控制台CONSOLE传感器传感器SENSOR传感器传感器SENSOR传感器传感器SENSOR传感器传感器SENSOR传感器传感器SENSORp 入侵检测系统（入侵检测系统（IDS） 一个或多个下列组建的组合：传感器、分析器和管理器。p 安全策略安全策略 预定义的、正式的成文的说明，它定义了组织机构内网络或特定主机上允许发生的目的为支持组织机构要求的活动。它包括但不限于下列活动：哪一台主机拒绝外部网络访问等。IETF IDWG（Intrusion Detection Working Group）Draft：Intrusion Detection Message

3、Exchange Requirements 标准APIE 事件生成器 A 事件分析器 D 事件数据库 C 系统特定的控制器l 标准接口标准接口 - 数据搜集、分析和响应组件的互连框架 - 可扩展的体系 - 核心技术的重用 - 方便技术转让 - 减少成本 l IDS框架、分层通信、CISL语言、API1980年James P. Anderson 可以使用审计记录以标识误用 威胁分类的分类学 建议在审计子系统的基础上进行改进以检测误用1985 年SRI由美国海军（SPAWAR）资助以建立Intrusion Detection Expert System(IDES)入侵检测专家系统（入侵检测专家系统

4、（IDES） 的初步原型。 第一个系统中同时使用了statistical and rule-based基于统计和基基于统计和基于规则于规则的方法。 1986 年Dorothy Denning发表了“An Intrusion-Detection Model-一个入侵检测的模型一个入侵检测的模型” ，入侵检测领域开创性的工作。 基本的行为分析机制。 一些可能的实现系统的方法。1989 年Todd Heberlien，California, Davis大学的一个学生写了Network Security Monitor(NSM)网络安全监视器（网络安全监视器（NSM），系统设计用于捕获TCP/IP包并

5、检测异构网络中的异常行动。 1992 年计算机误用检测系统（计算机误用检测系统（CMDS）Computer Misuse Detection System(CMDS) Screen Application International Corporation(SAIC) 基于在海军报告调查中完成的工作 Stalker （ Haystack Labs. ）基于为空军完成的原Haystack工作，第一个商业化的主机IDS，用于UNIX1994 年A group of researchers at the 空军加密支持中心（Air Force Cryptological Support Center）

6、的一组研究人员创建了鲁棒的网络入侵检测系统，广泛用于空军。 来自于一家商业化公司 的开发人员开始商业化网络入侵检测技术。1997 年 Cisco收购了 Wheelgroup并开始将网络入侵检测加入路由器中。 Internet Security Systems发布了 Windows NT的网络入侵检测系统。 开始了网络入侵检测的革命。1998 年 Centrax公司发布了 eNTrax，用于Windows NT的分布主机入侵检测系统 Centrax是由CMDS的开发人员组成，后来加入了建立Stalker的技术队伍。 u实时系统可以不间断地提供信息收集、分析和汇报，实时系统提供了多种实时报警，并对

7、攻击自动做出反应u在事后分析的方法中，入侵检测系统将事件信息的记录到文件中，并且由入侵检测系统在事后对这些文件进行分析，找出入侵或误用的特征 u断开进攻者使用的连接 u重新配置网络设施u这种响应机制可让系统管理员在职权范围内采取主动措施，使被检测到的攻击造成的损失最小化u即时发送的与事件有关的信息，通知重要人员u电子邮件、寻呼机、手机短消息、传真等收到收到报报警警攻攻击检测击检测主主动动响响应应产产生生临时临时阻阻挡挡策略策略内部内部违规违规用用户户攻攻击击报报警、警、记录记录阻断入侵行阻断入侵行为为NIDSNIDS控制台控制台路由器路由器防火墙防火墙核心交核心交换机换机Web 服务器服务器电

8、子邮件服务器电子邮件服务器FTP 服务器服务器DMZ公共服务网管服务内部服务办公区办公自动化办公自动化数据库数据库办公办公用户用户办公办公用户用户办公办公用户用户IDS管理管理中心中心部署位置部署位置 1 优点：优点：记录源自于互联网目标为本地网络的攻击次数记录源自于互联网目标为本地网络的攻击次数记录源自于互联网目标为本地网络的攻击类型记录源自于互联网目标为本地网络的攻击类型部署位置部署位置 2 优点：优点：查看源自于外部穿透网络边界防护的攻击查看源自于外部穿透网络边界防护的攻击重点关注网络防火墙策略和性能的问题重点关注网络防火墙策略和性能的问题查看目标针对于查看目标针对于DMZ区中区中Web

9、/邮件等服务器的攻击邮件等服务器的攻击即使不能识别入攻击，有时识别被攻击后返回的流量即使不能识别入攻击，有时识别被攻击后返回的流量部署位置部署位置 4 优点：优点：检测对关键系统和资源的攻击检测对关键系统和资源的攻击将有限资源集中在被认为具有最大价值的网络资产上将有限资源集中在被认为具有最大价值的网络资产上部署位置部署位置 3 优点：优点：监控大量的网络流量，增加定位攻击的可能性监控大量的网络流量，增加定位攻击的可能性检测组织机构安全边界内部的授权人员的非授权活动检测组织机构安全边界内部的授权人员的非授权活动控制台路由器路由器防火墙防火墙核心交核心交换机换机Web 服务器服务器电子邮件服务器电

10、子邮件服务器FTP 服务器服务器DMZDMZ公共服务公共服务公司内网公司内网路由器路由器防火墙防火墙核心交核心交换机换机网管服务网管服务内部服务内部服务办公自动化办公自动化数据库数据库控制台SPANSPAN或镜或镜像端口像端口控制台路由器路由器防火墙防火墙核心交核心交换机换机Web 服务器服务器电子邮件服务器电子邮件服务器FTP 服务器服务器DMZDMZ公共服务公共服务公司内网公司内网类类 型型说说 明明拒绝服务攻击和分布式拒绝服务攻击通过消耗系统资源使目标主机的部分或全部服务功能丧失。例如，SYN FLOOD攻击，PING FLOOD攻击，WINNUK攻击等。非授权访问攻击攻击者企图读取、写或执行被保护的资源。如FTP ROOT攻击，EMAIL WIZ攻击等。预攻击嗅探攻击者试图从网络中获取用户名、口令等敏感信息。如SATAN扫描、端口扫描、IP HALF扫描等。可疑行为非“正常”的网络访问，很可能是需要注意的不安全事件。如IP地址复用，无法识别IP协议的事件。协议分析对协议进行解析，帮助管理员发现可能的危险事件。如FTP口令解析，EMAIL主题解析等。普通网络事件识别各种网络协议包的源、目的IP地址，源、目的端口号，协议类型等。