第1章 入侵检测概述
曹元大主编，人民邮电出版社，2007年
入侵检测概述
1
第1章 入侵检测概述
概述:
网络安全基本概念 入侵检测的产生与发展 入侵检测的基本概念
入侵检测概述
2
网络安全的实质
保障系统中的人、设备、设施、软件、数据以及各种供 给品等要素避免各种偶然的或人为的破坏或攻击，使它 们发挥正常，保障系统能安全可靠地工作 。
防御
入侵检测概述 12
入侵检测的缺点
不能弥补差的认证机制 如果没有人的干预，不能管理攻击调查 不能知道安全策略的内容 不能弥补网络协议上的弱点 不能弥补系统提供质量或完整性的问题 不能分析一个堵塞的网络 不能处理有关packet-level的攻击
入侵检测概述 13
研究入侵检测的必要性-1
入侵检测是最近10余年发展起来的一种动态的监控、预 防或抵御系统入侵行为的安全机制。主要通过监控网 络、系统的状态、行为以及系统的使用情况，来检测系 统用户的越权使用以及系统外部的入侵者利用系统的安 全缺陷对系统进行入侵的企图。
入侵检测概述
4
网络安全的P2DR模型与入侵检测
Policy（安全策略） Protection（防护） Detection（检测） Response（响应）
从1996年到1999年，SRI开始EMERALD的研究，它是 NIDES的后继者。
入侵检测概述
8
主机和网络IDS的集成
分布式入侵检测系统 （DIDS）最早试图把 基于主机的方法和网 络监视方法集成在一 起。
DIDS的最初概念是采 用集中式控制技术， 向DIDS中心控制器发 报告。
DIDS主管 专家系统 用户界面
静态安全措施不足以保护安全对象属性。通常，在一个系统 中，担保安全特性的静态方法可能过于简单不充分，或者系统 过度地限制用户。例如，静态技术未必能阻止违背安全策略造 成浏览数据文件；而强制访问控制仅允许用户访问具有合适的 通道的数据，这样就造成系统使用麻烦。因此，一种动态的方 法如行为跟踪对检测和尽可能阻止安全突破是必要的。
在实践当中，建立完全安全系统根本是不可能的。Miller给出 一份有关现今流行的操作系统和应用程序研究报告，指出软件 中不可能没有缺陷。另外，设计和实现一个整体安全系统相当 困难。
要将所有已安装的带安全缺陷的系统转换成安全系统需要相当 长的时间。
如果口令是弱口令并且已经被破解，那么访问控制措施不能够 阻止受到危害的授权用户的信息丢失或者破坏。
为了提高网络安全性，需要从多个层次和环节入手，分 别分析应用系统、宿主机、操作系统、数据库管理系 统、网络管理系统、子网、分布式计算机系统和全网中 的弱点，采取措施加以防范。
入侵检测概述
3
网络系统的安全对策与入侵检测
近年来，尽管对计算机安全的研究取得了很大进展，但 安全计算机系统的实现和维护仍然非常困难，因为我们 无法确保系统的安全性达到某一确定的安全级别。
入侵检测概述
5
入侵检测的早期研究
1980年，James Anderson在技术报告中指出，审计记录 可以用于识别计算机误用。他提出了入侵尝试 （intrusion attempt）或威胁（threat）的概念，并 将其定义为：潜在、有预谋的未经授权访问信息、操作 信息，致使系统不可靠或无法使用的企图。
从1992年到1995年，SRI加强优化IDES，在以太网的环境下实现了 产品化的NIDES。
1988年，Los Alamos国家实验室的Tracor Applied Sciences和 Haystack Laboratories采用异常检测和基于Signature的检测，开 发了Haystack系统。
入侵检测概述 15
研究入侵检测的必要性-3
基于上述几类问题的解决难度，一个实用的方法是 建立比较容易实现的安全系统，同时按照一定的安 全策略建立相应的安全辅助系统。
入侵检测系统就是这样一类系统，现在安全软件的 开发方式基本上就是按照这个思路进行的。
就目前系统安全状况而言，系统存在被攻击的可能 性。如果系统遭到攻击，只要尽可能地检测到，甚 至是实时地检测到，然后采取适当的处理措施。
1994年，美国空军密码支持中心的一群研究人员创建了 一个健壮的网络入侵检测系统ASIM。
1996年，UCD（Carlifornia大学的Davis分校）的 Computer Security实验室，以开发广域网上的入侵检 测系统为目的，开发了GrIDS。
1997年，Cisco公司兼并了Wheelgroup，并开始将网络 入侵检测整合到Cisco路由器中。
对异常活动进行统计分 析
对操作系统进行审计跟 踪管理，识别违反政策 的用户活动
监视外 监视内 实时监 部人员 部人员 测系统
入侵检测系统
定时扫 描系统
漏洞扫 描系统
入侵检测概述
11
入侵检测的优点
提高信息安全构造的其他部分的完整性 提高系统的监控 从入口点到出口点跟踪用户的活动 识别和汇报数据文件的变化 侦测系统配置错误并纠正他们 识别特殊攻击类型，并向管理人员发出警报，进行
通信管理器
安全管理 员
主机代理
主机事件 发生器
LAN代理
LAN事件 发生器
主机监视器
LAN监视器
入侵检测概述
9
入侵检测的概念
入侵：是指任何试图危及计算机资源的完整性、机密性 或可用性的行为。
入侵检测：对入侵行为的发觉。它通过从计算机网络或 系统中的若干关键点收集信息，并对这些信息进行分 析，从而发现网络或系统中是否有违反安全策略的行为 和遭到袭击的迹象。
入侵检测概述 14
研究入侵检测的必要性-2
加密技术方法本身存在着一定的问题。 安全系统易受内部用户滥用特权的攻击。 安全访问控制等级和用户的使用效率成反比，访问
控制和保护模型本身存在一定的问题。 在软件工程中存在软件测试不充足、软件生命周期
缩短、大型软件复杂性等难解问题，工程领域的困 难复杂性，使得软件不可能没有错误，而系统软件 容错恰恰被表明是安全的弱点。 修补系统软件缺陷不能令人满意。由于修补系统软 件缺陷，计算机系统不安全状态将持续相当长一段 时间。
入侵检测系统：进行入侵检测的软件与硬件的组合便是 入侵检测系统（简称IDS）。
入侵检测概述 10
入侵检测的作用
监控、分析用户和系统 的活动
审计系统的配置和弱点
评估关键系统和数据文 件的完整性
外部访 问
Hale Waihona Puke 内部有职权 的人员防 火 墙
内部访 问
受
访
保
问 控 制
护 系
统
识别攻击的活动模式
1986年，SRI的Dorothy E. Denning首次将入侵检测的概念作为一 种计算机系统安全防御措施提出，并且建立了一个独立于系统、程 序应用环境和系统脆弱性的通用入侵检测系统模型。
1988年，SRI开始开发IDES（Intrusion Detection Expert System）原型系统，它是一个实时入侵检测系统。
1989年，Los Alamos国家实验室的Hank Vaccaro为NCSC和DOE开发 了W&S系统。
1989年，PRC公司开发了ISOA。
入侵检测概述
7
网络IDS研究
1990年出现的NSM（Network Security Monitor，网络 安全监视器），是UCD（Carlifornia大学的Davis分 校）设计的面向局域网的IDS。
入侵检测系统一般不是采取预防的措施以防止入侵 事件的发生。
入侵检测非常必要，它将有效弥补传统安全保护措 施的不足。
入侵检测概述 16
小结
网络安全的实质 网络安全的P2DR模型 入侵检测的研究 入侵检测的概念 入侵检测的作用 研究入侵检测的必要性
入侵检测概述 17
1983年，SRI用统计方法分析IBM大型机的SMF记录。
总的来说，由于80年代初期网络还没有今天这样普遍和 复杂，网络之间也没有完全连通，因此关于入侵检测的 研究主要是基于主机的事件日志分析。而且由于入侵行 为在当时是相当少见的，因此入侵检测在早期并没有受 到人们的重视。
入侵检测概述
6
主机IDS研究