入侵检测技术.ppt
第1章 入侵检测概述
曹元大主编,人民邮电出版社,2007年
入侵检测概述
1
第1章 入侵检测概述
概述:
网络安全基本概念 入侵检测的产生与发展 入侵检测的基本概念
入侵检测概述
2
网络安全的实质
保障系统中的人、设备、设施、软件、数据以及各种供 给品等要素避免各种偶然的或人为的破坏或攻击,使它 们发挥正常,保障系统能安全可靠地工作 。
防御
入侵检测概述 12
入侵检测的缺点
不能弥补差的认证机制 如果没有人的干预,不能管理攻击调查 不能知道安全策略的内容 不能弥补网络协议上的弱点 不能弥补系统提供质量或完整性的问题 不能分析一个堵塞的网络 不能处理有关packet-level的攻击
入侵检测概述 13
研究入侵检测的必要性-1
入侵检测是最近10余年发展起来的一种动态的监控、预 防或抵御系统入侵行为的安全机制。主要通过监控网 络、系统的状态、行为以及系统的使用情况,来检测系 统用户的越权使用以及系统外部的入侵者利用系统的安 全缺陷对系统进行入侵的企图。
入侵检测概述
4
网络安全的P2DR模型与入侵检测
Policy(安全策略) Protection(防护) Detection(检测) Response(响应)
从1996年到1999年,SRI开始EMERALD的研究,它是 NIDES的后继者。
入侵检测概述
8
主机和网络IDS的集成
分布式入侵检测系统 (DIDS)最早试图把 基于主机的方法和网 络监视方法集成在一 起。
DIDS的最初概念是采 用集中式控制技术, 向DIDS中心控制器发 报告。
DIDS主管 专家系统 用户界面
静态安全措施不足以保护安全对象属性。通常,在一个系统 中,担保安全特性的静态方法可能过于简单不充分,或者系统 过度地限制用户。例如,静态技术未必能阻止违背安全策略造 成浏览数据文件;而强制访问控制仅允许用户访问具有合适的 通道的数据,这样就造成系统使用麻烦。因此,一种动态的方 法如行为跟踪对检测和尽可能阻止安全突破是必要的。
在实践当中,建立完全安全系统根本是不可能的。Miller给出 一份有关现今流行的操作系统和应用程序研究报告,指出软件 中不可能没有缺陷。另外,设计和实现一个整体安全系统相当 困难。
要将所有已安装的带安全缺陷的系统转换成安全系统需要相当 长的时间。
如果口令是弱口令并且已经被破解,那么访问控制措施不能够 阻止受到危害的授权用户的信息丢失或者破坏。
为了提高网络安全性,需要从多个层次和环节入手,分 别分析应用系统、宿主机、操作系统、数据库管理系 统、网络管理系统、子网、分布式计算机系统和全网中 的弱点,采取措施加以防范。
入侵检测概述
3
网络系统的安全对策与入侵检测
近年来,尽管对计算机安全的研究取得了很大进展,但 安全计算机系统的实现和维护仍然非常困难,因为我们 无法确保系统的安全性达到某一确定的安全级别。
入侵检测概述
5
入侵检测的早期研究
1980年,James Anderson在技术报告中指出,审计记录 可以用于识别计算机误用。他提出了入侵尝试 (intrusion attempt)或威胁(threat)的概念,并 将其定义为:潜在、有预谋的未经授权访问信息、操作 信息,致使系统不可靠或无法使用的企图。
从1992年到1995年,SRI加强优化IDES,在以太网的环境下实现了 产品化的NIDES。
1988年,Los Alamos国家实验室的Tracor Applied Sciences和 Haystack Laboratories采用异常检测和基于Signature的检测,开 发了Haystack系统。
入侵检测概述 15
研究入侵检测的必要性-3
基于上述几类问题的解决难度,一个实用的方法是 建立比较容易实现的安全系统,同时按照一定的安 全策略建立相应的安全辅助系统。
入侵检测系统就是这样一类系统,现在安全软件的 开发方式基本上就是按照这个思路进行的。
就目前系统安全状况而言,系统存在被攻击的可能 性。如果系统遭到攻击,只要尽可能地检测到,甚 至是实时地检测到,然后采取适当的处理措施。
1994年,美国空军密码支持中心的一群研究人员创建了 一个健壮的网络入侵检测系统ASIM。
1996年,UCD(Carlifornia大学的Davis分校)的 Computer Security实验室,以开发广域网上的入侵检 测系统为目的,开发了GrIDS。
1997年,Cisco公司兼并了Wheelgroup,并开始将网络 入侵检测整合到Cisco路由器中。
对异常活动进行统计分 析
对操作系统进行审计跟 踪管理,识别违反政策 的用户活动
监视外 监视内 实时监 部人员 部人员 测系统
入侵检测系统
定时扫 描系统
漏洞扫 描系统
入侵检测概述
11
入侵检测的优点
提高信息安全构造的其他部分的完整性 提高系统的监控 从入口点到出口点跟踪用户的活动 识别和汇报数据文件的变化 侦测系统配置错误并纠正他们 识别特殊攻击类型,并向管理人员发出警报,进行
通信管理器
安全管理 员
主机代理
主机事件 发生器
LAN代理
LAN事件 发生器
主机监视器
LAN监视器
入侵检测概述
9
入侵检测的概念
入侵:是指任何试图危及计算机资源的完整性、机密性 或可用性的行为。
入侵检测:对入侵行为的发觉。它通过从计算机网络或 系统中的若干关键点收集信息,并对这些信息进行分 析,从而发现网络或系统中是否有违反安全策略的行为 和遭到袭击的迹象。
入侵检测概述 14
研究入侵检测的必要性-2
加密技术方法本身存在着一定的问题。 安全系统易受内部用户滥用特权的攻击。 安全访问控制等级和用户的使用效率成反比,访问
控制和保护模型本身存在一定的问题。 在软件工程中存在软件测试不充足、软件生命周期
缩短、大型软件复杂性等难解问题,工程领域的困 难复杂性,使得软件不可能没有错误,而系统软件 容错恰恰被表明是安全的弱点。 修补系统软件缺陷不能令人满意。由于修补系统软 件缺陷,计算机系统不安全状态将持续相当长一段 时间。
入侵检测系统:进行入侵检测的软件与硬件的组合便是 入侵检测系统(简称IDS)。
入侵检测概述 10
入侵检测的作用
监控、分析用户和系统 的活动
审计系统的配置和弱点
评估关键系统和数据文 件的完整性
外部访 问
Hale Waihona Puke 内部有职权 的人员防 火 墙
内部访 问
受
访
保
问 控 制
护 系
统
识别攻击的活动模式
1986年,SRI的Dorothy E. Denning首次将入侵检测的概念作为一 种计算机系统安全防御措施提出,并且建立了一个独立于系统、程 序应用环境和系统脆弱性的通用入侵检测系统模型。
1988年,SRI开始开发IDES(Intrusion Detection Expert System)原型系统,它是一个实时入侵检测系统。
1989年,Los Alamos国家实验室的Hank Vaccaro为NCSC和DOE开发 了W&S系统。
1989年,PRC公司开发了ISOA。
入侵检测概述
7
网络IDS研究
1990年出现的NSM(Network Security Monitor,网络 安全监视器),是UCD(Carlifornia大学的Davis分 校)设计的面向局域网的IDS。
入侵检测系统一般不是采取预防的措施以防止入侵 事件的发生。
入侵检测非常必要,它将有效弥补传统安全保护措 施的不足。
入侵检测概述 16
小结
网络安全的实质 网络安全的P2DR模型 入侵检测的研究 入侵检测的概念 入侵检测的作用 研究入侵检测的必要性
入侵检测概述 17
1983年,SRI用统计方法分析IBM大型机的SMF记录。
总的来说,由于80年代初期网络还没有今天这样普遍和 复杂,网络之间也没有完全连通,因此关于入侵检测的 研究主要是基于主机的事件日志分析。而且由于入侵行 为在当时是相当少见的,因此入侵检测在早期并没有受 到人们的重视。
入侵检测概述
6
主机IDS研究