入侵检测系统课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《入侵检测系统课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 入侵 检测 系统 课件
- 资源描述:
-
1、第八章 入侵检测系统2023-1-72内容提要内容提要 入侵检测技术用来发现攻击行为,进而采取正确的响应措施,是安全防御的重要环节。通过本章学习使学生能够掌握入侵检测系统的基本原理,在了解Snort工作原理的基础上,掌握其安装和使用方法,了解入侵防御技术的特点及其和入侵检测的区别。2023-1-73第八章第八章 入侵检测系统入侵检测系统 8.1 入侵检测系统概述8.2 入侵检测系统的组成8.3 入侵检测的相关技术8.4 入侵检测系统Snort8.5 入侵防御系统8.6 实验:基于snort的入侵检测系统安装和使用8.7 小结 习题2023-1-748.1 8.1 入侵检测系统概述入侵检测系统概
2、述 入侵检测系统全称为入侵检测系统全称为Intrusion Detection SystemIntrusion Detection System(IDSIDS),国际计算机安全协会(),国际计算机安全协会(International International Computer Security AssociationComputer Security Association,ICSAICSA)入侵检测系统)入侵检测系统论坛将其论坛将其定义为:通过从计算机网络或计算机系统中的若定义为:通过从计算机网络或计算机系统中的若干关键点收集信息进行分析,从中发现网络或系统中是否干关键点收集信息进行分析,
3、从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。有违反安全策略的行为和遭到攻击的迹象。相对于防火墙来说,入侵检测通常被认为是一种相对于防火墙来说,入侵检测通常被认为是一种动态动态的防护手段的防护手段。与其他安全产品不同的是,入侵检测系统需。与其他安全产品不同的是,入侵检测系统需要较复杂的技术,它将得到的数据进行分析,并得出有用要较复杂的技术,它将得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大地的结果。一个合格的入侵检测系统能大大地简化简化管理员的管理员的工作,使管理员能够更容易地工作,使管理员能够更容易地监视监视、审计审计网络和计算机系网络和计算机系统,统,扩
4、展扩展了管理员的安全管理能力,了管理员的安全管理能力,保证保证网络和计算机系网络和计算机系统的安全运行。统的安全运行。2023-1-758.1 8.1 入侵检测系统概述(续)入侵检测系统概述(续)防火墙防火墙是所有保护网络的方法中最能普遍接受的是所有保护网络的方法中最能普遍接受的方法,能阻挡外部入侵者,但方法,能阻挡外部入侵者,但对内部攻击无能为力对内部攻击无能为力;同时,防火墙绝对不是坚不可摧的,即使是某些防火同时,防火墙绝对不是坚不可摧的,即使是某些防火墙本身也会引起一些安全问题。防火墙不能墙本身也会引起一些安全问题。防火墙不能防止通向防止通向站点的后门,不提供对内部的保护,无法防范数据驱
5、站点的后门,不提供对内部的保护,无法防范数据驱动型的攻击,不能防止用户由动型的攻击,不能防止用户由InternetInternet上下载被病毒上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输感染的计算机程序或将该类程序附在电子邮件上传输。入侵检测是防火墙的入侵检测是防火墙的合理补充合理补充,它帮助系统对付网,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力络攻击,扩展了系统管理员的安全管理能力(包括安全包括安全审计、监视、进攻识别和响应审计、监视、进攻识别和响应),提高了信息安全基础,提高了信息安全基础结构的完整性。结构的完整性。2023-1-768.1 入侵检测系统概述(续)
6、入侵检测系统概述(续)相关术语相关术语攻击攻击攻击者利用工具,出于某种动机,对目标系统采取的行动,攻击者利用工具,出于某种动机,对目标系统采取的行动,其后果是获取其后果是获取/破坏破坏/篡改目标系统的数据或访问权限篡改目标系统的数据或访问权限事件事件在攻击过程中发生的可以识别的行动或行动造成的后果在攻击过程中发生的可以识别的行动或行动造成的后果。在在入侵检测系统中,事件常常具有一系列属性和详细的描述信入侵检测系统中,事件常常具有一系列属性和详细的描述信息可供用户查看。息可供用户查看。也可以也可以将入侵检测系统需要分析的数据统将入侵检测系统需要分析的数据统称为事件(称为事件(eventevent
7、)2023-1-77入侵入侵 对信息系统的非授权访问及(或)未经许可在信息系统对信息系统的非授权访问及(或)未经许可在信息系统中进行操作中进行操作入侵检测入侵检测对企图入侵、正在进行的入侵或已经发生的入侵进行识对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程别的过程入侵检测系统(入侵检测系统(IDSIDS)用于辅助进行入侵检测或者独立进行入侵检测的用于辅助进行入侵检测或者独立进行入侵检测的自动化自动化工具工具8.1 8.1 入侵检测系统概述(续)入侵检测系统概述(续)2023-1-78 入侵检测(入侵检测(Intrusion DetectionIntrusion Detection)技
8、术是一种动态)技术是一种动态的网络检测技术,的网络检测技术,主要用于识别对计算机和网络资源的主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象,则应当做户的未经授权活动。一旦发现网络入侵现象,则应当做出适当的反应出适当的反应:对于正在进行的网络攻击,则采取适当:对于正在进行的网络攻击,则采取适当的方法来阻断攻击(与防火墙联动),以减少系统损失;的方法来阻断攻击(与防火墙联动),以减少系统损失;对于已经发生的网络攻击,则应通过分析日志记录找到对于已经发生的网络攻击,则应通过分析日志
9、记录找到发生攻击的原因和入侵者的踪迹,作为增强网络系统安发生攻击的原因和入侵者的踪迹,作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。络中是否有违反安全策略的行为和遭到袭击的迹象。8.1 8.1 入侵检测系统概述(续)入侵检测系统概述(续)2023-1-798.1 8.1 入侵检测系统概述(续)入侵检测系统概述(续)入侵检测系统(入侵检测系统(IDSIDS)由)由入侵检测的软件与硬件组合入
10、侵检测的软件与硬件组合而而成,被认为是防火墙之后的第二道安全闸门,在成,被认为是防火墙之后的第二道安全闸门,在不影响网络不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护击和误操作的实时保护。这些都通过它执行以下任务来实现:。这些都通过它执行以下任务来实现:1 1)监视、分析用户及系统活动。)监视、分析用户及系统活动。2 2)系统构造和弱点的审计。)系统构造和弱点的审计。3 3)识别反映已知进攻的活动模式并向相关人士报警。)识别反映已知进攻的活动模式并向相关人士报警。4 4)异常行为模式的统计分析。)异常行为模
11、式的统计分析。5 5)评估重要系统和数据文件的完整性。)评估重要系统和数据文件的完整性。6 6)操作系统的审计跟踪管理,并识别用户违反安全策)操作系统的审计跟踪管理,并识别用户违反安全策略的行为。略的行为。2023-1-710入侵检测系统的作用入侵检测系统的作用监控网络和系统监控网络和系统发现入侵企图或异常现象发现入侵企图或异常现象实时报警实时报警主动响应主动响应审计跟踪审计跟踪 形象地说,它就是网络摄形象地说,它就是网络摄像像机,能够捕获并记录网络上机,能够捕获并记录网络上的所有数据,同时它也是智能摄的所有数据,同时它也是智能摄像像机,能够分析网络数据并机,能够分析网络数据并提炼出可疑的、异
12、常的网络数据,它还是提炼出可疑的、异常的网络数据,它还是X X光摄光摄像像机,能够机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄像像机,还包括保安员的摄机,还包括保安员的摄像像机机。2023-1-7118.1 8.1 入侵检测系统概述(续)入侵检测系统概述(续)2023-1-7128.1 8.1 入侵检测系统概述(续入侵检测系统概述(续)入侵检测的发展历程入侵检测的发展历程 19801980年年,概念的诞生,概念的诞生1984198419861986年,模型的发展年,模型的发展 19901990年,形成网络年,形成网络IDSID
13、S和主机和主机IDSIDS两大阵营两大阵营九十年代后至今,百家争鸣、繁荣昌盛九十年代后至今,百家争鸣、繁荣昌盛2023-1-713入侵检测的实现方式入侵检测的实现方式 入侵检测系统根据数据包来源的不同,采用不用的实入侵检测系统根据数据包来源的不同,采用不用的实现方式,一般地可分为网络型、主机型,也可是这两种类现方式,一般地可分为网络型、主机型,也可是这两种类型的混合应用。型的混合应用。基于网络的入侵检测系统(基于网络的入侵检测系统(NIDSNIDS)基于主机的入侵检测系统(基于主机的入侵检测系统(HIDSHIDS)混合型入侵检测系统(混合型入侵检测系统(Hybrid IDSHybrid IDS
14、)2023-1-714入侵检测的实现方式入侵检测的实现方式 1 1、网络、网络IDSIDS:网络网络IDSIDS是网络上的一个监听设备是网络上的一个监听设备(或一个专用主机或一个专用主机),通过监听网络上的所有报文,根据协议进行分析,并报告通过监听网络上的所有报文,根据协议进行分析,并报告网络中的非法使用者信息。网络中的非法使用者信息。安装在被保护的网段(共享网络、交换环境中交换机要安装在被保护的网段(共享网络、交换环境中交换机要 支持端口映射)中支持端口映射)中混杂模式监听混杂模式监听分析网段中所有的数据包分析网段中所有的数据包实时检测和响应实时检测和响应2023-1-7158.1 8.1
15、入侵检测系统概述(续)入侵检测系统概述(续)图图8-1 8-1 网络网络IDSIDS工作模型工作模型 NY2023-1-7168.1 8.1 入侵检测系统概述(续)入侵检测系统概述(续)网络网络IDS优势优势(1)(1)实时分析网络数据实时分析网络数据,检测网络系统的非法行为;,检测网络系统的非法行为;(2)(2)网络网络IDSIDS系统系统单独架设单独架设,不占用其它计算机系统的任何资,不占用其它计算机系统的任何资源;源;(3)(3)网络网络IDSIDS系统是一个系统是一个独立的网络设备独立的网络设备,可以做到对黑客透,可以做到对黑客透明,因此其本身的安全性高;明,因此其本身的安全性高;(4
16、)(4)它既可以用于实时监测系统,也是记录审计系统,可以它既可以用于实时监测系统,也是记录审计系统,可以做到做到实时保护实时保护,事后取证分析事后取证分析;(5)(5)通过通过与防火墙的联动与防火墙的联动,不但可以对攻击预警,还可以更,不但可以对攻击预警,还可以更有效地阻止非法入侵和破坏。有效地阻止非法入侵和破坏。(6)(6)不会增加网络中主机的负担不会增加网络中主机的负担。2023-1-7178.1 8.1 入侵检测系统概述(续)入侵检测系统概述(续)网络网络IDS的劣势的劣势(1)(1)交换环境和高速环境需附加条件交换环境和高速环境需附加条件(2)(2)不能处理加密数据不能处理加密数据(3
17、)(3)资源及处理能力局限资源及处理能力局限(4)(4)系统相关的脆弱性系统相关的脆弱性2023-1-718 入侵检测的实现方式入侵检测的实现方式 2 2、主机、主机IDSIDS 运行于被检测的主机之上,通过查询、监听当前系统运行于被检测的主机之上,通过查询、监听当前系统的各种资源的使用运行状态,发现系统资源被非法使用和的各种资源的使用运行状态,发现系统资源被非法使用和修改的事件,进行上报和处理。修改的事件,进行上报和处理。安装于被保护的主机中安装于被保护的主机中 主要主要分析主机内部活动分析主机内部活动 占用一定的系统资源占用一定的系统资源2023-1-719主机主机IDS优势优势(1)(1
18、)精确地判断攻击行为是否成功。精确地判断攻击行为是否成功。(2)(2)监控主机上特定用户活动、系统运行情况监控主机上特定用户活动、系统运行情况(3)HIDS(3)HIDS能够检测到能够检测到NIDSNIDS无法检测的攻击无法检测的攻击(4)(4)HIDSHIDS适用加密的和交换的环境适用加密的和交换的环境(5)(5)不需要额外的硬件设备不需要额外的硬件设备2023-1-720主机主机IDS的劣势的劣势(1)HIDS(1)HIDS对被保护主机的影响对被保护主机的影响(2)HIDS(2)HIDS的安全性受到宿主操作系统的限制的安全性受到宿主操作系统的限制(3)HIDS(3)HIDS的数据源受到审计
19、系统限制的数据源受到审计系统限制(4)(4)被木马化的系统内核能够骗过被木马化的系统内核能够骗过HIDSHIDS(5)(5)维护维护/升级不方便升级不方便2023-1-7213 3、两种实现方式的比较、两种实现方式的比较:1)1)如果攻击不经过网络如果攻击不经过网络,基于网络的基于网络的IDSIDS无法检测到只无法检测到只能通过使用基于主机的能通过使用基于主机的IDSIDS来检测;来检测;2 2)基于网络的基于网络的IDSIDS通过检查所有的包头来进行检测通过检查所有的包头来进行检测,而,而基于主机的基于主机的IDSIDS并不查看包头。并不查看包头。主机主机IDSIDS往往不能识别基于往往不能
20、识别基于IPIP的拒绝服务攻击和碎片攻击的拒绝服务攻击和碎片攻击;3)3)基于网络的基于网络的IDSIDS可以研究数据包的内容,查找特定攻可以研究数据包的内容,查找特定攻击中使用的命令或语法,这类攻击可以被实时检查包序列击中使用的命令或语法,这类攻击可以被实时检查包序列的的IDSIDS迅速识别;而基于主机的系统无法看到负载,因此也迅速识别;而基于主机的系统无法看到负载,因此也无法识别嵌入式的数据包攻击。无法识别嵌入式的数据包攻击。2023-1-7224 4、混合型入侵检测系统(、混合型入侵检测系统(Hybrid IDSHybrid IDS)在新一代的入侵检测系统中将把现在的基于网络和基在新一代
21、的入侵检测系统中将把现在的基于网络和基于主机这两种检测技术很好地集成起来,提供集成化的攻于主机这两种检测技术很好地集成起来,提供集成化的攻击签名检测报告和事件关联功能。击签名检测报告和事件关联功能。可以深入地研究入侵事件入侵手段本身及被入侵目标可以深入地研究入侵事件入侵手段本身及被入侵目标的漏洞等的漏洞等。2023-1-723入侵检测系统的功能(小结)入侵检测系统的功能(小结)n1、监视并分析用户和系统的活动,查找非法用户和合法用户的越权操作;n2、检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;n3、对用户的非正常活动进行统计分析,发现入侵行为的规律;n4、检查系统程序和数据一致性与正
22、确性,如计算和比较文件系统的校验;n5、能够实时对检测到的入侵行为作出反应;n6、操作系统的审计跟踪管理。2023-1-7248.2 入侵检测系统的组成 根据不同的网络环境和系统的应用,入侵检测系统在根据不同的网络环境和系统的应用,入侵检测系统在具体实现上也有所不同。从系统构成上看,具体实现上也有所不同。从系统构成上看,入侵检测系统入侵检测系统至少包括数据提取、人侵分析、响应处理三个部分至少包括数据提取、人侵分析、响应处理三个部分,另外,另外还可能还可能结合安全知识库、数据存储等功能模块结合安全知识库、数据存储等功能模块,提供更为,提供更为完善的安全检测及数据分析功能。如完善的安全检测及数据分
23、析功能。如19871987年年DenningDenning提出提出的通用入侵检测模型主要由六部分构成,的通用入侵检测模型主要由六部分构成,IDESIDES与它的后继与它的后继版本版本NIDESNIDES都完全基于都完全基于DenningDenning的模型;另外,在总结现有的模型;另外,在总结现有的入侵检测系统的基础上提出了一个入侵检测系统的通用的入侵检测系统的基础上提出了一个入侵检测系统的通用模型如图模型如图8-28-2所示。所示。2023-1-7258.2 入侵检测系统的组成 通用入侵检测框架通用入侵检测框架 (Common Intrusion Detection(Common Intru
24、sion Detection FrameworkFramework,CIDF)CIDF)把一个入侵检测系统分为以下组件把一个入侵检测系统分为以下组件:图图8-2 CIDF8-2 CIDF的入侵检测通用模型的入侵检测通用模型2023-1-7268.2 入侵检测系统的组成 CIDFCIDF把一个入侵检测系统分为以下组件把一个入侵检测系统分为以下组件:事件产生器:事件产生器:负责原始数据采集,并将收集到的原始数据转负责原始数据采集,并将收集到的原始数据转换为事件,向系统的其他部分提供此事件,又称传感器换为事件,向系统的其他部分提供此事件,又称传感器(sensor)(sensor)。事件分析器:事件分
25、析器:接收事件信息,对其进行分析,判断是否为入接收事件信息,对其进行分析,判断是否为入侵行为或异常现象,最后将判断结果变为警告信息。侵行为或异常现象,最后将判断结果变为警告信息。事件数据库:事件数据库:存放各种中间和最终入侵信息的地方,并从事存放各种中间和最终入侵信息的地方,并从事件产生器和事件分析器接收需要保存的事件,一般会将数件产生器和事件分析器接收需要保存的事件,一般会将数据长时间保存。据长时间保存。事件响应器:事件响应器:是根据入侵检测的结果,对入侵的行为作出适是根据入侵检测的结果,对入侵的行为作出适当的反映,可选的响应措施包括主动响应和被动响应。当的反映,可选的响应措施包括主动响应和
展开阅读全文