入侵检测与安全审计课件
Step2:分析样本
对每次采集到的样本进行计算,得出一系列的参数变量来对这些行为进行 描述,从而产生行为轮廓,将每次采样后得到的行为轮廓与以后轮廓进行 合并,最终得到系统和用户的正常行为轮廓。
入侵检测与安全审计
Step3:检查入侵行为
通过将当前采集到的行为轮廓与正常行为轮廓相比较,来检测 是否存在网络入侵行为。
第四章 入侵检测与安全审计
入侵检测与安全审计
主要内容
• 入侵检测系统基础 • 入侵检测分析方法 • 入侵检测系统实例 • 安全审计
概念 功能 I基DS于的异基常本的结检构测 技 术分基分类于布误式用入的侵检检测测系 技统术 典型的入侵检测系 统——snort IDS的应用
入侵检测与安全审计
使用统计学的方法来学习和检测用户的行为。
• 预测模式生成法
利用动态的规则集来检测入侵。
• 神经网络方法
将神经网络用于对系统和用户行为的学习。
入侵检测与安全审计
2.1.1 基于统计学的异常检测系统
步骤: Step1:收集样本
对系统和用户的行为按照一定的时间间隔进行采样,样本的内容包括每个 会话的登录、退出情况,CPU和内存的占用情况,硬盘等存储介质的使用 情况等。
1.1 入侵检测基础
Internet
× 路由器 防火墙
内部网络 SSN网络
邮件服务器 WWW服务器 FTP服务器
考虑: 如何防火墙被攻破了,该怎么来保护系统的安全?
入侵检测与安全审计
• 入侵检测(ID)
是对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结 果,以保证系统资源的机密性、完整性和可用性。 通过对数据包的分析,从数据流中过滤出可疑数据包,通过与已知的入侵 方式进行比较,确定入侵是否发生以及入侵的类型并进行报警。
• 特点
• 经济性:IDS不能妨碍系统的正常运行。 • 时效性:及时地发现入侵行为。 • 安全性:保证自身安全。 • 可扩展性:机制与数据分离;体系结构的可扩展性。
入侵检测与安全审计
• 工作流程
数
数
结
数据
据 提
数据
据 分
事件
果 处
事件
取
析
理
入侵检测与安全审计
❖数据提取模块
为系统提供数据,经过简单的处理后提交给数据分析模块。
入侵检测与安全审计
• 优点
• 检测准确度较高
• 可以检测到没有明显行 为特征的入侵
• 成本较低
• 不会因网络流量影响性 能
• 适合加密和交换环境
• 缺点
• 实时性较差 • 无法检测数据包的全部 • 检测效果取决于日志系
统 • 占用主机资源 • 隐蔽性较差
入侵检测与安全审计
• 基于网络的入侵检测系统
作为一个独立的个体放置在被保护的网络上,使用原始的网络 分组数据包作为进行攻击分析的数据源。
基于网络的入侵检测系统
网络数据 原始网 收集器 络数据
网络数据 相关网 过滤器 络数据
网络数据 检测结果 分析器
安全 管理 人员
入侵检测系统
主机A
主机B
主机C
入侵检测与安全审计
主机D
• 优点
• 可以提供实时的网络行
入侵检测与安全审计
Honeypot模型
虚拟网络主机 可疑数据流
高层交换
Internet
防火墙
内部网
入侵检测与安全审计
关键 应用系统
2.1 基于异常的入侵检测
也称为基于行为的检测技术,在总结出的正常行为规律基础上,检 查入侵和滥用行为特征与其之间的差异,以此来判断是否有入侵行 为。 • 基于统计学方法的异常检测系统
为检测
• 可以同时保护多台网络 主机
• 具有良好的隐蔽性
• 有效保护入侵证据
• 不影响被保护主机的性 能
• 缺点
• 防止入侵欺骗的能力较
差
• 在交换式网络环境中难 以配置
• 检测性能受硬件条件限 制
• 不能处理加密后的数据
入侵检测与安全审计
1.4 蜜罐技术
• 原理
蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易攻击的主 机,给攻击者提供一个容易攻击的目标。 ✓ 用来观测黑客如何探测并最终入侵系统; ✓ 用于拖延攻击者对真正目标的攻击。
• 入侵检测系统(IDS)
为完成入侵检测任务而设计的计算机系统称为入侵检测系统(Intrusion Detection System, IDS),这是防火墙之后的第二道安全闸门。
入侵检测与安全审计
• 功能
• 发现和制止来自系统内部/外部的攻击,迅速采取保护措施 • 记录入侵行为的证据,动态调整安全策略
算法:
M1,M2,…,Mn表示行为轮廓中的特征变量,S1,S2,…,Sn分别表示各 个变量的异常性测量值,Si的值越大就表示异常性越大。ai表示 变量Mi的权重值。将各个异常性测量值的平均加权求和得出特
征值 M a 1 S 1 2 a 2 S 2 2 . .a n S .n 2 ( a i 0 , 1 i n )
基于主机的入侵检测系统
审计数据 原始审 收集器 计数据
审计数据 相关审 过滤器 计数据
审计数据 检测结果 分析器
安全 管理 人员
入பைடு நூலகம்检测与安全审计
根据检测对象的不同,基于主机的IDS可分为: ❖ 网络连接检测
对试图进入该主机的数据流进行检测,分析确定是否有入侵行为。
❖ 主机文件检测
检测主机上的各种相关文件,发现入侵行为或入侵企图。
然后选取阈值,例如选择标准偏差
M (n1)
2
其中均值取μ=M/n,如果S值超出了μ±dσ的范围就认为异常。
入侵检测与安全审计
2.1.2 预测模式生成法
利用动态的规则集来检测入侵,这些规则是由系统的归纳引擎,根 据已发生的事件的情况来预测将来发生的事件的概率来产生的,归 纳引擎为每一种事件设置可能发生的概率。 归纳出来的规律一般为: E1,…,Ek: -(Ek+1,P(Ek+1)),…,(En,P(En)) 例如: 规则A,B: -(C,50%),(D, 30%),(E,15%),(F,5%),如果AB已经发生,而F多 次发生,远远大于5%,或者发生了事件G,都认为是异常行为。
❖数据分析模块
两方面功能:一是分析数据提取模块搜集到的数据;二是对数据库保存的 数据做定期的统计分析。
❖结果处理模块
作用在于告警与反应。
❖事件数据库
记录分析结果,并记录下所有的时间,用于以后的分析与检查。
入侵检测与安全审计
1.2 IDS分类
• 基于主机的入侵检测系统
用于保护单台主机不受网络攻击行为的侵害, 需要安装在被保护的主机上。
