保密安全与密码技术-8IDS.ppt

1、保密安全与密码技术第八讲 入侵检测系统IDSn入侵知识简介n入侵检测技术n入侵检测系统的选择和使用课程内容课程目标n了解入侵检测的概念、术语n了解入侵检测产品部署方案n了解入侵检测产品选型原则n了解入侵检测技术发展方向入侵知识简介n入侵(Intrusion)入侵是指未经授权蓄意尝试访问信息、窜改信息，使系统不可靠或不能使用的行为。入侵企图破坏计算机资源的完整性、机密性、可用性、可控性n入侵者入侵者可以是一个手工发出命令的人，也可是一个基于入侵脚本或程序的自动发布命令的计算机。入侵知识简介n目前主要漏洞：缓冲区溢出拒绝服务攻击漏洞代码泄漏、信息泄漏漏洞配置修改、系统修改漏洞脚本执行漏洞远程命令执

2、行漏洞其它类型的漏洞n侵入系统的主要途径物理侵入本地侵入远程侵入网络入侵的一般步骤n进行网络攻击是一件系统性很强的工作，其主要工作流程是：目标探测和信息收集自身隐藏利用漏洞侵入主机稳固和扩大战果清除日志网络入侵步骤总览选中攻击目标获取普通用户权限擦除入侵痕迹安装后门新建帐号获取超级用户权限攻击其它主机获取或修改信息从事其它非法活动扫描网络利用系统已知的漏洞、通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令，从而发现突破口。入侵检测系统概述n概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式背景介绍信息社会出现的新问

3、题信息时代到来，电子商务、电子政务，网络改变人们的生活，人类进入信息化社会计算机系统与网络的广泛应用，商业和国家机密信息的保护以及信息时代电子、信息对抗的需求存储信息的系统面临的极大的安全威胁潜在的网络、系统缺陷危及系统的安全传统的安全保密技术都有各自的局限性，不能够确保系统的安全信息系统的安全问题操作系统的脆弱性计算机网络的资源开放、信息共享以及网络复杂性增大了系统的不安全性数据库管理系统等应用系统设计中存在的安全性缺陷缺乏有效的安全管理黑客攻击猖獗网络网络内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒后门、隐蔽通

4、道后门、隐蔽通道蠕虫蠕虫背景介绍我国安全形势非常严峻1998年2月25日：黑客入侵中国公众多媒体通信网广州蓝天BBS系统并得到系统的最高权限，系统失控长达15小时。为国内首例网上黑客案件。1998年9月22日，黑客入侵扬州工商银行电脑系统，将72万元注入其户头，提出26万元。为国内首例利用计算机盗窃银行巨款案件。1999年4月16日：黑客入侵中亚信托投资公司上海某证券营业部，造成340万元损失。1999年11月23日：银行内部人员通过更改程序，用虚假信息从本溪某银行提取出86万元。背景介绍我国安全形势非常严峻（续）2000年2月1日：黑客攻击了大连市赛伯网络服务有限公司，造成经济损失20多万元

5、。2000年2月1日至2日：中国公共多媒体信息网兰州节点 “飞天网景信息港”遭到黑客攻击。2000年3月2日：黑客攻击世纪龙公司21CN。2000年3月6日至8日：黑客攻击实华开EC123网站达16次，同一时期，号称全球最大的中文网上书店“当当书店”也遭到多次黑客攻击。2000年3月8日：山西日报国际互联网站遭到黑客数次攻击，被迫关机，这是国内首例黑客攻击省级党报网站事件。2000年3月8日：黑客攻击国内最大的电子邮局-拥有200万用户的广州163，系统无法正常登录。入侵检测系统概述n概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式入侵检测的提出什

6、么是入侵检测系统入侵检测系统是一套监控计算机系统或网络系统中发生的事件，根据规则进行安全审计的软件或硬件系统。为什么需要IDS？n入侵很容易入侵教程随处可见各种工具唾手可得n防火墙不能保证绝对的安全网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部防火墙是锁，入侵检测系统是监视器入侵检测的提出入侵检测的任务n通过事先发现风险来阻止入侵事件的发生，提前发现试图攻击或滥用网络系统的人员n检测其它安全工具没有发现的网络工具事件。n提供有效的审计信息，详细记录黑客的入侵过程，从而帮助管理员发现网络的脆弱性。n检测来自内部的攻击事件和越权访问85以上的攻击事件来自于内部的攻击防火

7、墙只能防外，难于防内n入侵检测系统作为防火墙系统的一个有效的补充。入侵检测系统可以有效的防范防火墙开放的服务入侵入侵检测的提出入侵检测的发展历史1980年，James Anderson最早提出入侵检测概念1987年，DEDenning首次给出了一个入侵检测的抽象模型，并将入侵检测作为一种新的安全防御措施提出。1988年，Morris蠕虫事件直接刺激了IDS的研究1988年，创建了基于主机的系统,有IDES，Haystack等1989年，提出基于网络的IDS系统,有NSM，NADIR，DIDS等90年代，不断有新的思想提出，如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统

8、2000年2月，对Yahoo！、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮2001年今，RedCode、求职信等新型病毒的不断出现，进一步促进了IDS的发展。入侵检测的提出入侵检测系统概述n概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式入侵检测相关术语nIDS(Intrusion Detection Systems)入侵检测系统nPromiscuous 混杂模式nSignatures 特征nAlerts警告nAnomaly异常nConsole控制台nSensor传感器入侵检测系统概述n概要背景介绍入侵检测的提出

9、入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式入侵检测系统分类n概要Host-Based IDSNetwork-Based IDSStack-Based IDSHost-Based IDS(HIDS)nHIDS优点性能价格比高细腻性，审计内容全面视野集中适用于加密及交换环境nHIDS缺点额外产生的安全问题HIDS依赖性强如果主机数目多，代价过大不能监控网络上的情况n基于主机的入侵检测系统，系统安装在主机上面，对本主机进行安全检测Network-Based IDS(NIDS)基于网络的入侵检测系统，系统安装在比较重要的网段内nNIDS优点检测范围广无需改变主机配置和性能独立

10、性和操作系统无关性安装方便nNIDS缺点不能检测不同网段的网络包很难检测复杂的需要大量计算的攻击协同工作能力弱难以处理加密的会话Stack-Based IDS(NNIDS)网络节点入侵检测系统安装在网络节点的主机中结合了NIDS和HIDS的技术适合于高速交换环境和加密数据入侵检测系统概述n概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式入侵检测系统构件入侵检测系统构件n事件产生器(Event generators)事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。n事件数据库(Event databases)事件数据库是存放

11、各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。入侵检测系统构件n事件分析器(Event analyzers)事件分析器分析得到的数据，并产生分析结果。n响应单元(Response units)响应单元则是对分析结果作出作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应,甚至发动对攻击者的反击，也可以只是简单的报警。入侵检测系统概述n概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式入侵检测系统部署方式SwitchIDS SensorMonitored ServersConsole通过端口镜像实现通过端口镜像

12、实现（SPAN/Port Monitor）检测器部署位置n放在边界防火墙之内n放在边界防火墙之外n放在主要的网络中枢n放在一些安全级别需求高的子网Internet检测器部署示意图部署一部署二部署三部署三部署四部署四入侵检测系统部署方式n检测器放置于防火墙的DMZ区域可以查看受保护区域主机被攻击状态可以看出防火墙系统的策略是否合理可以看出DMZ区域被黑客攻击的重点n检测器放置于路由器和边界防火墙之间可以审计所有来自Internet上面对保护网络的攻击数目可以审计所有来自Internet上面对保护网络的攻击类型入侵检测系统部署方式n检测器放在主要的网络中枢监控大量的网络数据，可提高检测黑客攻击的可

13、能性可通过授权用户的权利周界来发现为授权用户的行为n检测器放在安全级别高的子网对非常重要的系统和资源的入侵检测入侵检测系统概述n概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式入侵检测原理与技术n概要IDS工作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势入侵检测引擎工作流程监听部分n网络接口混杂模式n根据设置过滤一些数据包n过滤程序的算法的重要性监听器设置如下规则进行过滤：Only check the following packetn源地址为192.168.0.1协议分析协议

14、IPXICMPOSPFTCPUDPFTPTelnetPOP3SMTPHTTPDNSTFTPIGMPEGPGGPNFSIPPPPIPV6ATMNetBEUI数据分析n根据相应的协议调用相应的数据分析函数n一个协议数据有多个数据分析函数处理n数据分析的方法是入侵检测系统的核心n快速的模式匹配算法引擎管理n协调和配置给模块间工作n数据分析后处理方式AlertLogCall Firewall入侵检测的分析方式n异常检测（Anomaly Detection）统计模型误报较多n误用检测（Misuse Detection）维护一个入侵特征知识库（CVE）准确性高n完整性分析 入侵检测原理与技术n概要IDS工

15、作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势异常检测n基本原理正常行为的特征轮廓检查系统的运行情况是否偏离预设的门限？异常检测n异常检测的优点：可以检测到未知的入侵 可以检测冒用他人帐号的行为 具有自适应，自学习功能 不需要系统先验知识异常检测n异常检测的缺点：漏报、误报率高n入侵者可以逐渐改变自己的行为模式来逃避检测n合法用户正常行为的突然改变也会造成误警 统计算法的计算量庞大，效率很低 统计点的选取和参考库的建立比较困难误用检测n采用匹配技术检测已知攻击提前建立已出现的入侵行为特征检测当前用户行为特征误用检测n误用检

16、测的优点算法简单系统开销小 准确率高效率高误用检测n误用检测的缺点n被动只能检测出已知攻击 新类型的攻击会对系统造成很大的威胁 n模式库的建立和维护难模式库要不断更新知识依赖于n硬件平台n操作系统n系统中运行的应用程序完整性分析通过检查系统的当前系统配置，诸如系统文件的内容或者系统表，来检查系统是否已经或者可能会遭到破坏。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。入侵检测原理与技术n概要IDS工作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势入侵检测实现技术n基于统计方法的入侵检测技术审计系统实时地检测用户对系统的使用情况，根据系统内部保持的用户行为的概率统计模型进行监测，当发现有可疑的用户行为发生时，保持跟踪并监测、记录该用户的行为。n基于神经网络的入侵检测技术采用神经网络技术，根据实时检测到的信息有效地加以处理作出攻击可能性的判断。神经网络技术可以用于解决传统的统计分析技术所面临的以下问题：难于建立