第八章入侵检测系统
8.1 入侵检测系统概述 8.2 入侵检测系统的组成 8.3 入侵检测的相关技术
8.4 入侵检测系统Snort
8.5 入侵防御系统 8.6 实验:基于snort的入侵检测系统安装和使用
8.7 小结
习题
2019/2/12
3
8.1
入侵检测系统概述
入侵检测系统全称为Intrusion Detection System (IDS),国际计算机安全协会(International Computer Security Association,ICSA)入侵检测系统 论坛将其定义为:通过从计算机网络或计算机系统中的若 干关键点收集信息进行分析,从中发现网络或系统中是否 有违反安全策略的行为和遭到攻击的迹象。 相对于防火墙来说,入侵检测通常被认为是一种动态 的防护手段。与其他安全产品不同的是,入侵检测系统需 要较复杂的技术,它将得到的数据进行分析,并得出有用 的结果。一个合格的入侵检测系统能大大地简化管理员的 工作,使管理员能够更容易地监视、审计网络和计算机系 统,扩展了管理员的安全管理能力,保证网络和计算机系 统的安全运行。
2019/2/12
4
8.1
入侵检测系统概述(续)
防火墙是所有保护网络的方法中最能普遍接受的 方法,能阻挡外部入侵者,但对内部攻击无能为力; 同时,防火墙绝对不是坚不可摧的,即使是某些防火 墙本身也会引起一些安全问题。防火墙不能防止通向 站点的后门,不提供对内部的保护,无法防范数据驱 动型的攻击,不能防止用户由Internet上下载被病毒 感染的计算机程序或将该类程序附在电子邮件上传输。 入侵检测是防火墙的合理补充,它帮助系统对付网 络攻击,扩展了系统管理员的安全管理能力(包括安全 审计、监视、进攻识别和响应),提高了信息安全基础 结构的完整性。
2019/2/12 5
8.1 入侵检测系统概述(续)
相关术语
攻击 •攻击者利用工具,出于某种动机,对目标系统采取的行动, 其后果是获取/破坏/篡改目标系统的数据或访问权限 事件 •在攻击过程中发生的可以识别的行动或行动造成的后果。在 入侵检测系统中,事件常常具有一系列属性和详细的描述信 息可供用户查看。也可以将入侵检测系统需要分析的数据统 称为事件(event)
入侵检测系统根据数据包来源的不同,采用不用的实现 方式,一般地可分为网络型、主机型,也可是这两种类型 的混合应用。 •基于网络的入侵检测系统(NIDS) •基于主机的入侵检测系统(HIDS) •混合型入侵检测系统(Hybrid IDS)
2019/2/12 13
入侵检测的实现方式 1、网络IDS:
网络IDS是网络上的一个监听设备(或一个专用主机), 通过监听网络上的所有报文,根据协议进行分析,并报告 网络中的非法使用者信息。 –安装在被保护的网段(共享网络、交换环境中交换机要 支持端口映射)中 –混杂模式监听 –分析网段中所有的数据包 –实时检测和响应
2019/2/12 10
8.1
入侵检测系统概述(续)
2019/2/12
11
8.1
入侵检测系统概述(续)
入侵检测的发展历程
1980年,概念的诞生
1984~1986年,模型的发展
1990年,形成网络IDS和主机IDS两大阵营
九十年代后至今,百家争鸣、繁荣昌盛
2019/2/12
12
入侵检测的实现方式
8.2 入侵检测系统的组成
CIDF把一个入侵检测系统分为以下组件: 事件产生器:负责原始数据采集,并将收集到的原始数据转 换为事件,向系统的其他部分提供此事件,又称传感器 (sensor)。 事件分析器:接收事件信息,对其进行分析,判断是否为入 侵行为或异常现象,最后将判断结果变为警告信息。 事件数据库:存放各种中间和最终入侵信息的地方,并从事 件产生器和事件分析器接收需要保存的事件,一般会将数 据长时间保存。 事件响应器:是根据入侵检测的结果,对入侵的行为作出适 当的反映,可选的响应措施包括主动响应和被动响应。
2019/2/12 9
入侵检测系统的作用
•监控网络和系统 •发现入侵企图或异常现象 •实时报警 •主动响应 •审计跟踪 形象地说,它就是网络摄像机,能够捕获并记录网络上的 所有数据,同时它也是智能摄像机,能够分析网络数据并提 炼出可疑的、异常的网络数据,它还是X光摄像机,能够穿 透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄像 机,还包括保安员的摄像机。
2019/2/12 24
8.2 入侵检测系统的组成
通用入侵检测框架 (Common Intrusion Detection Framework,CIDF)把一个入侵检测系统分为以下组件:
事件产生器 E 事件分析器 A
D 事件数据库
R 响应单元
图8-2 CIDF的入侵检测通用模型
2019/2/12 25
具体实现上也有所不同。从系统构成上看,入侵检测系统 至少包括数据提取、人侵分析、响应处理三个部分,另外 还可能结合安全知识库、数据存储等功能模块,提供更为 完善的安全检测及数据分析功能。如1987年Denning提出 的通用入侵检测模型主要由六部分构成,IDES与它的后继 版本NIDES都完全基于Denning的模型;另外,在总结现有 的入侵检测系统的基础上提出了一个入侵检测系统的通用 模型如图8-2所示。
2019/2/12 16
8.1
入侵检测系统概述(续)
网络IDS的劣势 (1) 交换环境和高速环境需附加条件 (2) 不能处理加密数据
(3) 资源及处理能力局限
(4) 系统相关的脆弱性
2019/2/12
17
入侵检测的实现方式 2、主机IDS
运行于被检测的主机之上,通过查询、监听当前系统
的各种资源的使用运行状态,发现系统资源被非法使用和 修改的事件,进行上报和处理。 – 安装于被保护的主机中 – 主要分析主机内部活动 – 占用一定的系统资源
2019/2/12 14
8.1
入侵检测系统概述(续)
网 络 数 据
读取网络数据 网络报文数据
协议分析
事件数据库 比较数据
N
Y
上报事件
图8-1 网络IDS工作模型
2019/2/12 15
8.1
入侵检测系统概述(续)
网络IDS优势 (1) 实时分析网络数据,检测网络系统的非法行为; (2) 网络IDS系统单独架设,不占用其它计算机系统的任何资 源; (3) 网络IDS系统是一个独立的网络设备,可以做到对黑客透 明,因此其本身的安全性高; (4) 它既可以用于实时监测系统,也是记录审计系统,可以 做到实时保护,事后取证分析; (5) 通过与防火墙的联动,不但可以对攻击预警,还可以更 有效地阻止非法入侵和破坏。 (6)不会增加网络中主机的负担。
2019/2/12 18
主机IDS优势 (1) 精确地判断攻击行为是否成功。 (2) ຫໍສະໝຸດ 控主机上特定用户活动、系统运行情况
(3) HIDS能够检测到NIDS无法检测的攻击
(4) HIDS适用加密的和交换的环境 (5) 不需要额外的硬件设备
2019/2/12
19
主机IDS的劣势
(1) HIDS对被保护主机的影响
4、混合型入侵检测系统(Hybrid IDS)
在新一代的入侵检测系统中将把现在的基于网络和基
于主机这两种检测技术很好地集成起来,提供集成化的攻
击签名检测报告和事件关联功能。
可以深入地研究入侵事件入侵手段本身及被入侵目标 的漏洞等。
2019/2/12
22
入侵检测系统的功能(小结)
1、监视并分析用户和系统的活动,查找非法用户和合法用户的越 权操作; 2、检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞;
第八章 入侵检测系统
内容提要
入侵检测技术用来发现攻击行为,进而采取正确的响应措施, 是安全防御的重要环节。通过本章学习使学生能够掌握入侵检测 系统的基本原理,在了解Snort工作原理的基础上,掌握其安装和
使用方法,了解入侵防御技术的特点及其和入侵检测的区别。
2019/2/12
2
第八章 入侵检测系统
27
8.2 入侵检测系统的组成(续)
IDS的基本结构
引擎的主要功能 为:原始数据读取、 数据分析、产生事件、 策略匹配、事件处理、 通信等功能
2019/2/12
图8-3 引擎的工作流程
28
8.2 入侵检测系统的组成(续)
IDS的基本结构
控制中心的主要功能为:通信、事件读取、事件显示、策 略定制、日志分析、系统帮助等。
2019/2/12 6
8.1
入侵
入侵检测系统概述(续)
•对信息系统的非授权访问及(或)未经许可在信息系统 中进行操作
入侵检测
•对企图入侵、正在进行的入侵或已经发生的入侵进行识 别的过程 入侵检测系统(IDS) •用于辅助进行入侵检测或者独立进行入侵检测的自动化 工具
2019/2/12 7
8.1
入侵检测系统概述(续)
3、对用户的非正常活动进行统计分析,发现入侵行为的规律;
4、检查系统程序和数据一致性与正确性,如计算和比较文件系统 的校验;
5、能够实时对检测到的入侵行为作出反应;
6、操作系统的审计跟踪管理。
2019/2/12
23
8.2 入侵检测系统的组成
根据不同的网络环境和系统的应用,入侵检测系统在
2019/2/12
8
8.1
入侵检测系统概述(续)
入侵检测系统(IDS )由入侵检测的软件与硬件组合而 成,被认为是防火墙之后的第二道安全闸门,在不影响网络 性能的情况下能对网络进行监测,提供对内部攻击、外部攻 击和误操作的实时保护。这些都通过它执行以下任务来实现: 1)监视、分析用户及系统活动。 2)系统构造和弱点的审计。 3)识别反映已知进攻的活动模式并向相关人士报警。 4)异常行为模式的统计分析。 5)评估重要系统和数据文件的完整性。 6)操作系统的审计跟踪管理,并识别用户违反安全策 略的行为。
