北京大学：《网络信息安全》课程教学资源（讲稿）第九讲 入侵检测分析

《网络与信息安全》教程 第九讲入侵检测分析 主讲:段云所副教授 北京大学计算机系 does(.edu.cn

网络与信息安全 网络与信息安全 教程 第 九讲 入侵检测分析 主讲 段云所 副教授 北京大学计算机系 北京大学计算机系 doyes@pku.edu.cn doyes@pku.edu.cn

入侵检测技术IDS 1定义 入侵检测是通过从计算机网络或 系统中的若干关键点收集信息并对其 进行分析,从中发现网络或系统中是 否有违反安全策略的行为和遭到入侵 的迹象的一种安全技术

入侵检测技术IDS 1定义 入侵检测是通过从计算机网络或 系统中的若干关键点收集信息并对其 进行分析 从中发现网络或系统中是 否有违反安全策略的行为和遭到入侵 的迹象的一种安全技术

入侵检测是防火墙的合理补充,帮助系统 对付网络攻击,扩展了系统管理员的安全管理 能力(包括安全审计、监视、进攻识别和响 应),提高了信息安全基础结构的完整性。入 侵检测被认为是防火墙之后的第二道安全闸门, 在不影响网络性能的情况下能对网络进行监测, 从而提供对内部攻击、外部攻击和误操作的实 时保护 入侵检测也是保障系统动态安全的核心技 术之

入侵检测是防火墙的合理补充 帮助系统 对付网络攻击 扩展了系统管理员的安全管理 能力 包括安全审计 监视 进攻识别和响 应 提高了信息安全基础结构的完整性 入 侵检测被认为是防火墙之后的第二道安全闸门 在不影响网络性能的情况下能对网络进行监测 从而提供对内部攻击 外部攻击和误操作的实 时保护 入侵检测也是保障系统动态安全的核心技 术之一

IDS通常执行以下任务: ◆监视、分析用户及系统活动; 系统构造和弱点的审计; ◆识别反映已知进攻的活动模式并报警; 异常行为模式的统计分析; 评估重要系统和数据文件的完整性; 操作系统的审计跟踪管理,并识别用户 违反安全策略的行为

IDS通常执行以下任务 ♦ 监视 分析用户及系统活动 ♦ 系统构造和弱点的审计 ♦ 识别反映已知进攻的活动模式并报警 ♦ 异常行为模式的统计分析 ♦ 评估重要系统和数据文件的完整性 ♦ 操作系统的审计跟踪管理 并识别用户 违反安全策略的行为

传统安全防范技术的不足 ◆传统的操作系统加固技术和防火墙隔离 技术等都是静态安全防御技术,对网络 环境下日新月异的攻击手段缺乏主动的 反应。 ◆入侵检测技术通过对入侵行为的过程与 特征的研究,使安全系统对入侵事件和 入侵过程能做出实时响应

传统安全防范技术的不足 ♦传统的操作系统加固技术和防火墙隔离 技术等都是静态安全防御技术 对网络 环境下日新月异的攻击手段缺乏主动的 反应 ♦入侵检测技术通过对入侵行为的过程与 特征的研究 使安全系统对入侵事件和 入侵过程能做出实时响应

Q2IS的分类 ◆IDS一般从实现方式上分为两种:基于主 机的IDS和基于网络的DS。一个完备的 入侵检测系统IDS一定是基于主机和基于 网络两种方式兼备的分布式系统。 ◆不管使用哪一种工作方式,都用不同的 方式使用了上述两种分析技术,都需要 查找攻击签名( Attack Signature)。所谓 攻击签名,就是用一种特定的方式来表 示已知的攻击方式

2 IDS的分类 ♦ IDS一般从实现方式上分为两种 基于主 机的IDS和基于网络的IDS 一个完备的 入侵检测系统IDS一定是基于主机和基于 网络两种方式兼备的分布式系统 ♦不管使用哪一种工作方式 都用不同的 方式使用了上述两种分析技术 都需要 查找攻击签名 Attack Signature 所谓 攻击签名 就是用一种特定的方式来表 示已知的攻击方式

21基于网络的IDS 基于网络的IDS使用原始的网络分组 数据包作为进行攻击分析的数据源, 般利用一个网络适配器来实时监视和分 析所有通过网络进行传输的通信。一日 检测到攻击,IDS应答模块通过通知、报 警以及中断连接等方式来对攻击作出反 应

2.1 基于网络的IDS 基于网络的IDS使用原始的网络分组 数据包作为进行攻击分析的数据源 一 般利用一个网络适配器来实时监视和分 析所有通过网络进行传输的通信 一旦 检测到攻击 IDS应答模块通过通知 报 警以及中断连接等方式来对攻击作出反 应

基于网终的入侵检测系统的主要优点有 (1)成本低。 2)攻击者转移证据很困难。 然(3实时检测和应答。一旦发生恶意访问或攻击,基于网 络的IDS检测可以随时发现它们,因此能够更快地作出 反应。从而将入侵活动对系统的破坏减到最低。 (4)能够检测未成功的攻击企图。 ◆(5)操作系统独立。基于网络的IDS并不依赖主机的操 作系统作为检测资源。而基于主机的系统需要特定的 操作系统才能发挥作用

基于网络的入侵检测系统的主要 优点有 1 成本低 2 攻击者转移证 据很困难 (3)实时检测和应答 一旦发生恶意访问或攻击 基于网 络的IDS检测 可 以 随时发现它们 因此 能够更快地作出 反应 从而 将入侵活动对系统的破坏减 到最低 (4) 能 够检测未成功的攻击企图 ♦ (5)操作系统独立 基于网络的IDS并不依赖主机的操 作系统作为检测 资 源 而基于主机的系统需要特定的 操作系统 才能发 挥作用

2.2基于主机的DS 基于主机的DS一般监视 Windows nt 上的系统、事件、安全日志以及UNX环 境中的 syslog文件。一旦发现这些文件发 生任何变化,IDS将比较新的日志记录与 攻击签名以发现它们是否匹配。如果匹 配的话,检测系统就向管理员发出入侵 报警并且发出采取相应的行动

2.2 .基于主机的IDS 基于主机的IDS一般监视Windows NT 上的系统 事件 安全日志以及UNIX环 境中的syslog文件 一旦发现这些文件发 生任何变化 IDS将比较新的日志记录与 攻击签名以发现它们是否匹配 如果匹 配的话 检测系统就向管理员发出入侵 报警并且发出采取相应的行动

基于主机的IDS的主要优势有 ◆(1)非常适用于加密和交换环境。 ◆(2接近实时的检测和应答。 ◆(3)不需要额外的硬件

基于主机的IDS的主要优势有 ♦ (1)非常适用于加密和交换环境 ♦ (2)接近实时的检测和应答 ♦ (3)不需要额外的硬件