四章入侵检测技术讲解学习
– 一般采用分布监控、集中分析 的体系结构
2020/5/18
4.3 入侵检测的分析技术
在完成信息收集后,接下来要进行的 工作就是对这些信息进行分析,看其 中是否包含了可疑的攻击行为。
入侵检测分析技术主要分成两类:
– 误用检测:收集已有的入侵技术并建立 知识库,通过匹配查找来判断当前行为 是否为入侵。
2020/5/18
4.3.1 误用检测(2)
专家系统
– 检测原理:根据安全专家对可疑行为的分 析经验来形成一套推理规则,然后再在此 基础之上构建相应的专家系统。 安全专家的知识被表达成“if-then”格式。 其中,每条规则的if部分代表某个入侵特 征,then部分为系统的响应措施。当if条 件满足时即判断为入侵行为,并做出响应
根据检测时采用的分析技术
基于误用检测的IDS:依据病毒的行为特征来检测病毒 基于异常检测的IDS:依据正常用户或程序的行为特征来检
测病毒
根据检测到入侵时采取的行动
被动IDS:检测到入侵时,发出警报并记录下包的信息 主动IDS:不但给出警报,还会对恶意行为作出响应
4.2 入侵检测的监控技术
信息收集是入侵检测的第一步,而入 侵检测监控技术解决了“从何处获取 包含了攻击信息的数据”这一问题。 三类监控技术:
。 2020/5/18
4.3.1 误用检测(3)
状态转移分析
– 检测原理:将状态转换图应用于入侵行为的 分析。 分析时首先针对每一种入侵方法确定系统的 初始状态和被入侵状态,以及导致状态转换 的转换条件,即导致系统进入被入侵状态必 须执行的操作。然后用状态转换图来表示每 一个状态和特征事件。这样,一个入侵行为
缺点
– 需占用被监控系统的系统资源 – 全面部署HIDS的代价较大 – 无法检测来自网络的攻击,存在
检测盲点
4.2.2 基于网络的监控(1)
基于网络的入侵检测系统(Networkbased IDS,NIDS) 用来保护网络 中的多台主机,它以网络中的数据包 作为分析对象
由于需处理大量数据,NIDS一般位 于专用硬件平台上
– 异常检测:系统管理员首先为网络通信 2020/5/18 流量、分组典型大小等指标定义一个基
4.3.1 误用检测(1)
模式匹配
–检测原理:将数据包的内容与代表某种 恶意事件或流量的特征串进行逐字节地 比较
–优点:分析速度快,误报率低 –缺点:计算量大,尤其是模式库规模较
大的情况下;只能检测给定类型的攻击 ,对稍微变形的攻击特征就束手无策
所在主机的网卡需设为混杂模式
4.2.2 基于网络的监控(2)
部署NIDS时需考虑的问题
– NIDS的部署位置?
• 与网络本身的拓扑结构、管理员希望达到的 监控目的有关。
– 如何处理交换式网络?
• 使用带调试端口的交换机; • 使用Hub或Trap。
2020/5/18
4.2.2 基于网络的监控(3)
2020/5/18 就被描绘成一系列导致目标系统从初始状态
4.3.2 异常检测(1)
统计方法
– 检测原理:首先,检测器为系统对象创建一个统计描述, 统计正常情况下的一些属性的值。当观察值在正常值范围 之外时,则认为出现了攻击事件。
– 细分为基于阀值和基于轮廓的检测技术 • 基于阀值:统计事件在一定时间内发生频率,当其发 生频率超出正常值时,则认为出现了攻击事件。 • 基于轮廓:对用户过去的行为特征进行刻画,然后检 查当前活动与这些特征(若干参数)间的差异,该方 法以分析审计日志为基础 。
作为一种积极主动的安 全防护技术,对各种被动防 护技术起到了极其有益的补 充
它从计算机网络或计算 机系统中的若干关键点处收 集信息,并对其分析,从中 发现网络或系统中是否有违 反安全策略的行为或被攻击 的迹象
4.1 入侵检测系统概述—— IDS的分类
根据监视数据的来源
基于主机的IDS:以主机上发生的各种事情为监控对象 基于网络的IDS:以网络上的数据包为监控对象
NIDS的优点
– 能够检测来自网络的攻击
– 采用旁路技术,不会成为系统中 的瓶颈
– 系统容易部署
– 操作系统无关性
NIDS的缺点
– 在交换式网络环境下需添加额外 的硬件设施
2020/5/18
– 网络流量较大时处理能力有限
4.2.3 混合型监控
混合型IDS的基本特点
– 结合了HIDS和NIDS的特点,既 可以发现网络中的攻击行为, 又可以从系统日志中发现异常 情况
– 系统日志 – 网络连接 – 文件系统
……
应根据主机的特点来选择最合适的产品。例如,对于一个 Web服务器来说,更多的攻击可能来自于网络,故应在其上 安装有网络监控功能的HIDS。
4.2.1 基于主机的监控(2)
HIDS的优点
– 对分析“可能的攻击行为”非常 有用
– 能够判断攻击是否成功 – 与NIDS相比,具有较低的误报率
2020/5/18
4.3.2 异常检测(2)
人工免疫
– 检测原理:模仿生物有机体的免疫系统工作机制,使得受保护 的系统能够将非自体的非法行为和自体的合法行为区分开来。
下表给出了生物系统和人工免疫系统中相关对象的对应关系 :
使用Snort搭建NIDS IPS简介 IDS的发展趋势 实验
4.1 入侵检测系统概述—— IDS的产生
被动安全防御技术的不足:
防火墙:80%以上的攻 击来源于组织内部;串联的 工作方式使其无法进行复杂 的检测
安全访问控制:黑客可 以通过身份窃取、利用系统 漏洞等手段绕开安全访问控 制机制
……
入侵检测技术的产生:
2020/5/18
第四章 入侵检测技术
本章要点
– 入侵检测的原理 – 入侵检测涉及到的
关键技术 – 入侵检测软件的使
用
第四章 入侵检测技术
本章内容
§4.1 §4.2 §4.3 §4.4
入侵检测系统概述 入侵检测的监视技术 入侵检测的分析技术 IDS的体系结构
§4.5 §4.6 §4.7 §4.8
– 基于主机的监控 – 基于网络的监控 – 混合型监控
2020/5/18
4.2.1 基于主机的监控(1)
基于主机的入侵检测系统(host-based IDS,HIDS) 用来保 护单台主机,负责监视系统内发生的各种活动,并在可疑事 件发生时给出警报或做出响应 。 HIDS可对系统中的多种对象进行监控,包括:
