入侵檢測系統

111、入侵檢測的概念一、什么是入侵檢測入侵檢測的內容：試圖闖入、成功闖入、冒充其他用戶、違反安全策略、合法用戶的泄漏、獨占資源以及惡意使用。入侵檢測（IntrusionDetection）：通過從計算機網絡或計算機系統的關鍵點收集信息并進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測系統（IDS）：入侵檢測的軟件與硬件的組合，是防火墻的合理補充，是防火墻之后的第二道安全閘門。21、入侵檢測的概念一、什么是入侵檢測入侵檢測的內容：試圖闖入1、入侵檢測的概念：模型一、什么是入侵檢測Dennying的通用入侵檢測模型。模型缺點是它沒有包含已知系統漏洞或攻擊方法的知識31、入侵檢測的概念：模型一、什么是入侵檢測Dennying的1、入侵檢測的概念：任務一、什么是入侵檢測

·監視、分析用戶及系統活動，查找非法用戶和合法用戶的越權操作；·系統構造和弱點的審計，并提示管理員修補漏洞；·識別反映已知進攻的活動模式并報警，能夠實時對檢測到的入侵行為進行反應；·異常行為模式的統計分析，發現入侵行為的規律；·評估重要系統和數據文件的完整性；·操作系統的審計跟蹤管理，并識別用戶違反安全策略的行為。41、入侵檢測的概念：任務一、什么是入侵檢測·監視、分1、入侵檢測的概念一、什么是入侵檢測傳統安全防范技術的不足傳統的操作系統加固技術和防火墻隔離技術等都是靜態安全防御技術，對網絡環境下日新月異的攻擊手段缺乏主動的反應。入侵檢測技術通過對入侵行為的過程與特征的研究使安全系統對入侵事件和入侵過程能做出實時響應。51、入侵檢測的概念一、什么是入侵檢測傳統安全防范技術的不足52、入侵檢測的分類一、什么是入侵檢測根據所采用的技術可以分為：1）異常檢測：異常檢測的假設是入侵者活動異常于正常主體的活動，建立正常活動的“活動簡檔”，當前主體的活動違反其統計規律時，認為可能是“入侵”行為。2）特征檢測：特征檢測假設入侵者活動可以用一種模式來表示，系統的目標是檢測主體活動是否符合這些模式。62、入侵檢測的分類一、什么是入侵檢測根據所采用的技術可以分為2、入侵檢測的分類一、什么是入侵檢測根據所監測的對象來分：1）基于主機的入侵檢測系統（HIDS）：通過監視與分析主機的審計記錄檢測入侵。能否及時采集到審計是這些系統的弱點之一，入侵者會將主機審計子系統作為攻擊目標以避開入侵檢測系統。2）基于網絡的入侵檢測系統（NIDS）：通過在共享網段上對通信數據的偵聽采集數據，分析可疑現象。這類系統不需要主機提供嚴格的審計，對主機資源消耗少，并可以提供對網絡通用的保護而無需顧及異構主機的不同架構。72、入侵檢測的分類一、什么是入侵檢測根據所監測的對象來分：72、入侵檢測的分類一、什么是入侵檢測根據系統的工作方式分為：1）離線檢測系統：離線檢測系統是非實時工作的系統，它在事后分析審計事件，從中檢查入侵活動。2）在線檢測系統：在線檢測系統是實時聯機的檢測系統，它包含對實時網絡數據包分析，實時主機審計分析。其工作過程是實時入侵檢測在網絡連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網絡模型對用戶當前的操作進行判斷，一旦發現入侵跡象立即斷開入侵者與主機的連接，并收集證據和實施數據恢復。82、入侵檢測的分類一、什么是入侵檢測根據系統的工作方式分為：3、信息收集一、什么是入侵檢測第一步是信息收集，包括系統、網絡、數據及用戶活動的狀態和行為。需要在系統中的不同關鍵點（網段和主機）收集信息，這樣做的理由就是從一個來源的信息有可能看不出疑點，但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。1.系統和網絡日志文件2.目錄和文件中的不期望的改變3.程序執行中的不期望行為4.物理形式的入侵信息93、信息收集一、什么是入侵檢測第一步是信息收集，包括系統、網4、信號分析一、什么是入侵檢測對收集到的上述四類信息，通過三種技術手段進行分析：模式匹配：用于實時的入侵檢測統計分析：用于實時的入侵檢測完整性分析：用于事后分析。104、信號分析一、什么是入侵檢測對收集到的上述四類信息，通過三4、信號分析一、什么是入侵檢測1.模式匹配模式匹配就是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較，從而發現違背安全策略的行為。優點：只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。它與病毒防火墻采用的方法一樣，檢測準確率和效率都相當高。缺點：需要不斷的升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。114、信號分析一、什么是入侵檢測1.模式匹配114、信號分析一、什么是入侵檢測2.統計分析對系統對象（如用戶、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值與網絡、系統的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發生。例如，某帳戶突然在凌晨兩點試圖登錄。優點：可檢測到未知的入侵和更為復雜的入侵缺點：誤報、漏報率高，不適應用戶正常行為的突然改變。統計分析方法如基于專家系統的、基于模型推理的和基于神經網絡的分析方法。124、信號分析一、什么是入侵檢測2.統計分析12一、什么是入侵檢測3.完整性分析：利用消息摘要Hash函數計算完整性分析關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性，它在發現被木馬、病毒更改的應用程序方面特別有效。檢查系統保存有每個文件的數字摘要數據庫，通過重新計算文件的數字文摘并與數據庫中的值相比較來判斷文件是否被修改。優點：攻克文件完整性檢查系統，無論是時間上還是空間上都是不可能的。配置靈活，可以有選擇地監測重要文件。13一、什么是入侵檢測3.完整性分析：利用消息摘要Hash函數計二、入侵檢測產品分析文件完整性檢查的弱點：一般以批處理方式實現，不用于實時響應。該方法作為網絡安全的必要補充，定期運行。文件完整性檢查系統依賴于本地的文摘數據庫。這些數據可能被入侵者修改。防范對策：將摘要數據庫放在只讀介質上。文件完整性檢查非常耗時。系統正常的升級會帶來大量的文件更新。例如，WindowsNT系統中升級MS-Outlook將會帶來1800多個文件變化。14二、入侵檢測產品分析文件完整性檢查的弱點：141、基于網絡的入侵檢測二、入侵檢測產品分析基于網絡的入侵檢測系統使用原始網絡包作為數據源。通常采用四種技術來識別攻擊標志：模式、表達式或字節匹配頻率或穿越閾值低級事件的相關性統計學意義上的非常規現象檢測一旦檢測到了攻擊行為，IDS的響應模塊提供多種選項以通知、報警并對攻擊采取相應的反應。通常都包括通知管理員、中斷連接，收集證據。151、基于網絡的入侵檢測二、入侵檢測產品分析基于網絡的入侵檢測1、基于網絡的入侵檢測二、入侵檢測產品分析優點：1）成本低：可在幾個關鍵訪問點上進行配置，不要求在各主機上裝載并管理軟件。2）通過檢測數據包的頭部可發現基于主機的IDS所漏掉的攻擊（如：DOS、碎片包Teardrop攻擊）。基于主機的IDS無法查看包的頭部。3.攻擊者不易銷毀證據：可實時記錄攻擊者的有關信息（不僅包括攻擊的方法，還包括可識別黑客身份和對其進行起訴的信息）。黑客一旦入侵到主機內部都會修改審記記錄，抹掉作案痕跡。161、基于網絡的入侵檢測二、入侵檢測產品分析優點：161、基于網絡的入侵檢測二、入侵檢測產品分析4.實時檢測和響應：可以在攻擊發生的同時將其檢測出來，并做出更快的響應。例如，對拒絕服務攻擊發出TCP復位信號，在該攻擊對目標主機造成破壞前將其中斷。而基于主機的系統只有在可疑的登錄信息被記錄下來以后才能識別攻擊并做出反應。而這時關鍵系統可能早就遭到了破壞。5.能檢測未成功的攻擊和不良意圖。基于主機的系統無法查到未遂的攻擊，而這些丟失的信息對于評估和優化安全策略至關重要。6.操作系統無關性171、基于網絡的入侵檢測二、入侵檢測產品分析4.實時檢測和響1、基于網絡的入侵檢測二、入侵檢測產品分析網絡入侵檢測系統的弱點：只檢查它直接連接網段的通信；為了不影響性能，通常采用簡單的特征檢測算法，難以實現復雜計算與分析；會將大量的數據傳給檢測分析系統；難以處理加密會話。目前通過加密通道的攻擊尚不多，但這個問題會越來越突出。

181、基于網絡的入侵檢測二、入侵檢測產品分析網絡入侵檢測系統的2、基于主機的入侵檢測二、入侵檢測產品分析通常是安裝在被重點檢測的主機之上，主要是對該主機的網絡實時連接以及系統審計日志進行智能分析和判斷。如果其中主體活動十分可疑(特征或違反統計規律)，入侵檢測系統就會采取相應措施。優點：1．比基于網絡的IDS更加準確地判斷攻擊是否成功。2．監視特定的系統活動：監視用戶和訪問文件的活動，包括文件訪問、改變文件權限；記錄帳戶或文件的變更，發現并中止改寫重要系統文件或者安裝特洛伊木馬的企圖。192、基于主機的入侵檢測二、入侵檢測產品分析通常是安裝在被重點2、基于主機的入侵檢測二、入侵檢測產品分析3．檢測被基于網絡IDS漏掉的、不經過網絡的攻擊。4．可用于加密的和交換的環境。交換設備可將大型網絡分成許多的小型網絡部件加以管理，所以很難確定配置基于網絡的IDS的最佳位置。基于主機的入侵檢測系統可安裝在所需的重要主機上，在交換的環境中具有更高的能見度。由于加密方式位于協議堆棧內，所以基于網絡的IDS可能對某些攻擊沒有反應，基于主機的IDS沒有這方面的限制，因為這時數據流已經被解密了。202、基于主機的入侵檢測二、入侵檢測產品分析3．檢測被基于網絡2、基于主機的入侵檢測二、入侵檢測產品分析5．接近實時的檢測和響應目前，基于主機的顯著減少了從攻擊驗證到作出響應的時間延遲，大多數情況下，系統能在遭到破壞之前發現并阻止入侵者攻擊。6．不要求維護及管理額外硬件設備。7．記錄花費更加低廉：盡管很容易就能使基于網絡的IDS提供廣泛覆蓋，但其價格通常是昂貴的。配置一個簡單的入侵監測系統要花費$10,000以上，而基于主機的入侵檢測系統對于單獨－代理標價僅幾百美元，并且客戶只需很少的費用用于最初的安裝。212、基于主機的入侵檢測二、入侵檢測產品分析5．接近實時的檢二、入侵檢測產品分析基于主機的入侵檢測系統的弱點：1、會降低應用系統的效率。此外，安裝了主機入侵檢測系統后，擴大了安全管理員訪問權限。2、依賴于服務器固有的日志與監視能力。如果服務器沒有配置日志功能，則必需重新配置。

3、全面布署，代價較大。若部分安裝，則存在保護盲點。4、無法監測網絡上的情況。對入侵行為的分析的工作量將隨著主機數目增加而增加。22二、入侵檢測產品分析基于主機的入侵檢測系統的弱點：223、混合入侵檢測二、入侵檢測產品分析基于網絡的和基于主機的IDS對攻擊的反應方式有：告警、存貯和主動響應。單純使用一類產品的防御體系是不完整的，兩類產品結合起來部署，可以優勢互補。既可發現網絡中的攻擊信息，也可從系統日志中發現異常情況。233、混合入侵檢測二、入侵檢測產品分析基于網絡的和基于主機的I1、技術分類三、入侵檢測技術分析入侵檢測技術分為兩種：特征檢測、異常檢測。多數IDS以特征檢測為主，異常檢測為輔。1）特征檢測（誤用檢測、模式發現）假設入侵者活動可以用某種模式來表示，系統的目標是檢測主體活動是否與這些模式匹配。關鍵：入侵模式描述，區分入侵與正常行為。優點：誤報少。局限：不能發現未知的攻擊。241、技術分類三、入侵檢測技術分析入侵檢測技術分為兩種：特征1、技術分類三、入侵檢測技術分析2）異常檢測（異常發現）按照統計規律，建立主體正常活動的“簡檔”，若當前主體活動偏離“簡檔”相比較，則認為該活動可能是“入侵”行為。例：流量統計分析，將異常時間的異常網絡流量視為可疑。難點：建立“簡檔”；統計算法；異常閾值選擇。避免對入侵的誤判或漏判。局限性：“入侵”與“異常”并非一一對應。而且系統的軌跡難于計算和更新。251、技術分類三、入侵檢測技術分析2）異常檢測（異常發現）22、常用檢測方法三、入侵檢測技術分析IDS常用的檢測方法:特征檢測、統計檢測與專家系統。據公安部計算機信息系統安全產品質量監督檢驗中心的報告，國內送檢的入侵檢測產品中95％是屬于使用入侵模板進行模式匹配的特征檢測產品，其他5％是采用概率統計的統計檢測產品與基于日志的專家知識庫系產品。262、常用檢測方法三、入侵檢測技術分析IDS常用的檢測方法:2、常用檢測方法三、入侵檢測技術分析1）特征檢測：對攻擊方式作出確定性的描述

事件模式。當被審計的事件與已知的入侵事件模式相匹配時報警。目前常用的是數據包特征模式匹配。準確率高，對付已知攻擊。2）統計檢測：常用于異常檢測。測量參數包括：審計事件的數量、間隔時間、資源消耗情況等。常用的統計模型有：272、常用檢測方法三、入侵檢測技術分析1）特征檢測：對攻擊2、常用檢測方法三、入侵檢測技術分析操作模型：測量結果與一些固定指標（經驗值，統計值）相比較，例：在短時間內的多次登錄失敗，可能是口令嘗試攻擊；概率模型：計算參數的方差，設定其置信區間，當測量值超過置信區間的范圍時表明有可能是異常；或者當概率很低的事件發生時，可能發生入侵。用戶歷史行為：當用戶改變他們的行為習慣時，這種異常就會被檢測出來。282、常用檢測方法三、入侵檢測技術分析操作模型：測量結果與一2、常用檢測方法三、入侵檢測技術分析3）專家系統：根據專家對可疑行為的經驗形成一套推理規則。專家系統的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。入侵的特征抽取與表達，是入侵檢測專家系統的關鍵。在系統實現中，將有關入侵的知識轉化為if-then結構（也可以是復合結構），條件部分為入侵特征，then部分是系統防范措施。292、常用檢測方法三、入侵檢測技術分析3）專家系統：293、入侵的發展趨勢三、入侵檢測技術分析多樣化與復雜化：采用多種手段，提高成功率。隱蔽化：掩蓋攻擊者身份和目的。欺騙性：間接攻擊；IP地址欺騙攻擊規模擴大：電子戰與信息戰。攻擊的分布化：DDoS在很短時間內造成被攻擊主機的癱瘓，且在攻擊的初期不易被發覺。攻擊對象轉移：網絡

網絡防護系統。303、入侵的發展趨勢三、入侵檢測技術分析多樣化與復雜化：采用4、入侵檢測技術發展方向三、入侵檢測技術分析分布式入侵檢測：兩層含義1）針對分布式網絡攻擊的檢測方法2）使用分布式的方法來檢測分布式的攻擊，關鍵技術為檢測信息的協同處理解決異構系統及大規模網絡的入侵檢測，發展分布式入侵檢測技術與通用入侵檢測架構。智能化入侵檢測：314、入侵檢測技術發展方向三、入侵檢測技術分析分布式入侵檢測三、入侵檢測技術分析神經網絡、遺傳算法、模糊技術、免疫原理等方法，用于入侵特征的辨識。利用專家系統，具有自學習能力，實現知識庫的不斷更新與擴展。應用智能體(Agent)技術進行入侵檢測。應該將常規高效的IDS與智能檢測模塊結合使用。應用層入侵檢測：許多入侵的語義只有在應用層才能理解。使IDS不僅能檢測Web類的通用協議，還能處理如LotusNotes、數據庫系統等其他的應用系統。32三、入侵檢測技術分析神經網絡、遺傳算法、模糊技術、免疫原理等1、入侵檢測的評估四、入侵檢測產品1)能保證自身的安全。2)系統運行與維護的開銷小。3)誤報率和漏報率要低。4)支持多種網絡，對網絡性能影響小。5)能檢測的入侵特征數量。6)是否支持IP碎片重組、TCP流重組。TCP流重組是網絡IDS分析應用層協議的基礎。如檢查郵件內容、附件，FTP數據，非法HTTP請求等。331、入侵檢測的評估四、入侵檢測產品1)能保證自身的安全。32、入侵檢測的產品四、入侵檢測產品Cisco公司的NetRanger傳感器(sensor)：采集數據（網絡包、日志），分析數據，發出報警信息等。控制臺(console)：圖形化界面，中央管理機構。接收報警，啟動對策。NetworkAssociates公司的CyberCopInternetSecuritySystem公司的RealSecure

342、入侵檢測的產品四、入侵檢測產品Cisco公司的NetRa3、入侵檢測產品選擇要點四、入侵檢測產品1.系統的價格2.特征庫升級與維護的費用3.網絡IDS的最大可處理流量(包/秒PPS)

4.漏報率、誤報率5.產品的可伸縮性：系統支持的傳感器數目、入侵特征庫大小、傳感器與控制臺之間通信帶寬，對審計日志溢出的處理。353、入侵檢測產品選擇要點四、入侵檢測產品1.系統的價格35四、入侵檢測產品6.運行與維護系統的開銷：