中国科学技术大学：《网络信息安全 NETWORK SECURITY》课程教学资源（PPT课件讲稿）第十章 入侵检测系统

第10章入侵检测系统 网络安全 NETWORK SECURITY 入侵检测系统概述 入侵检测分类 3 入侵检测技术 入侵检测产品

2 第10章 入侵检测系统 1 2 入侵检测分类 3 入侵检测技术 4 入侵检测产品 入侵检测系统概述

一、入侵检测系统概述 网络安全 NETWORK SECURITY 入侵检测系统及起源 入侵检测系统的基本结构 3 入侵检测系统分类 基本术语

3 一 、入侵检测系统概述 1 2 入侵检测系统的基本结构 入侵检测系统及起源 3 4 基本术语 入侵检测系统分类

IDS存在与发展的必然性 网铬安全 NETWORK SECURITY 网络安全本身的复杂性，被动式的防御方式显 得力不从心。 有关防火墙：网络边界的设备；自身可以被攻 破；对某些攻击保护很弱；并非所有威肋均来 自防火墙外部。 ·入侵很容易：入侵教程随处可见；各种工具垂 手可得

4 IDS存在与发展的必然性 •网络安全本身的复杂性，被动式的防御方式显 得力不从心。 •有关防火墙：网络边界的设备；自身可以被攻 破；对某些攻击保护很弱；并非所有威胁均来 自防火墙外部。 •入侵很容易：入侵教程随处可见；各种工具垂 手可得

入侵检测系统概述 网络安全 NETWORK SECURITY Anderson.在1980年给出了入侵的定义：入侵是指在非授权的 情况下，试图存取信息、处理信息或破坏系统以使系统不可靠、 不可用的故意行为。 什么是入侵检测 ■入侵检测(Intrusion Detection)的定义：通过从计算机网络或计算 机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统 中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。 什么是入侵检测系统 ■入侵检测系统(IDS)：进行入侵检测的软件与硬件的组合。它使安全 管理员能够及时地处理入侵警报，尽可能减少入侵对系统造成的损害。 入侵被检测出来的过程包括监控在计算机系统或者网络中发生的事件， 再分析处理这些事件，检测出入侵事件

5 入侵检测系统概述 • Anderson在1980年给出了入侵的定义:入侵是指在非授权的 情况下,试图存取信息、处理信息或破坏系统以使系统不可靠、 不可用的故意行为。 • 什么是入侵检测 n 入侵检测（Intrusion Detection）的定义：通过从计算机网络或计算 机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统 中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。 • 什么是入侵检测系统 n 入侵检测系统（IDS）：进行入侵检测的软件与硬件的组合。它使安全 管理员能够及时地处理入侵警报，尽可能减少入侵对系统造成的损害。 入侵被检测出来的过程包括监控在计算机系统或者网络中发生的事件， 再分析处理这些事件，检测出入侵事件

入侵检测的起源(1/3) 网络安全 审计技术：产生、记录并检查按时间顺序排茢 的系统事件记录的过程 。 1980年，James P.Anderson的《计算机安 全威胁监控与监视》(《Computer Security Threat Monitoring and Surveillance》) ■ 第一次详细阐述了入侵检测的概念：潜在的有预谋 未经授权访问信息、操作信息、致使系统不可靠或 无法使用的企图。 计算机系统威胁分类：外部渗透、内部渗透和不法 行为 ■子 提出了利用审计跟踪数据监视入侵活动的思想 ■这份报告被公认为是入侵检测的开山之作

6 入侵检测的起源（1/3） • 审计技术：产生、记录并检查按时间顺序排列 的系统事件记录的过程。 • 1980年，James P. Anderson的《计算机安 全威胁监控与监视》（《Computer Security Threat Monitoring and Surveillance》） n 第一次详细阐述了入侵检测的概念：潜在的有预谋 未经授权访问信息、操作信息、致使系统不可靠或 无法使用的企图。 n 计算机系统威胁分类: 外部渗透、内部渗透和不法 行为 n 提出了利用审计跟踪数据监视入侵活动的思想 n 这份报告被公认为是入侵检测的开山之作

入侵检测的起源(2/3) 网络安全 NETWORK SECURITY 1986年，为检测用户对数据库异常访问，W.T.Tener在IBM 主机上用COBOL开发的Discovery系统，成为最早的基于主机 的IDS雏形之一。 ● 1987年，乔治敦大学的Dorothy Denning和SRI/CSL的 Peter Neumann研究出了一个实时入侵检测系统模型 IΦES（入侵检测专家系统)，首次将入侵检测的概念作为一种 解决计算机系统安全防御问题的措施提出。 ● 1990年，加州大学戴维斯分校的L.T.Heberlein等人开发出 NSM (Network Security Monitor) ■ 该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数 据转换成统一格式的情况下监控异种主机 ■ 入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的 IDS和基于主机的IDS

7 入侵检测的起源（2/3） • 1986年，为检测用户对数据库异常访问，W.T.Tener在IBM 主机上用COBOL开发的Discovery系统，成为最早的基于主机 的IDS雏形之一。 • 1987年，乔治敦大学的Dorothy Denning和SRI/CSL的 Peter Neumann研究出了一个实时入侵检测系统模型—— IDES（入侵检测专家系统），首次将入侵检测的概念作为一种 解决计算机系统安全防御问题的措施提出。 • 1990年，加州大学戴维斯分校的L. T. Heberlein等人开发出 了NSM（Network Security Monitor） n 该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数 据转换成统一格式的情况下监控异种主机 n 入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的 IDS和基于主机的IDS

入侵检测的起源(3/3) 网络安全 NETWORK SECURITY ·1988年之后，美国开展对分布式入侵检测系统 (DIDS)的研究，将基于主机和基于网络的检 测方法集成到一起。DIDS是分布式入侵检测系 统历史上的一个里程碑式的产品 。 ·从20世纪90年代到现在，入侵检测系统的研发 呈现出百家争鸣的繁荣局面，并在智能化和分 布式两个方向取得了长足的进展

8 入侵检测的起源（3/3） •1988年之后，美国开展对分布式入侵检测系统 （DIDS）的研究，将基于主机和基于网络的检 测方法集成到一起。DIDS是分布式入侵检测系 统历史上的一个里程碑式的产品。 •从20世纪90年代到现在，入侵检测系统的研发 呈现出百家争鸣的繁荣局面，并在智能化和分 布式两个方向取得了长足的进展

IDS基本结构 网络安全 NETWORK SECURITY ·IDS通常包括以下功能部件： ■事件产生器 ·事件分析器 ■事件数据库 ■响应单元

9 IDS基本结构 •IDS通常包括以下功能部件： n 事件产生器 n 事件分析器 n 事件数据库 n 响应单元

事件产生器(1/4) 网络安全 NETWORK SECURITY 负责原始数据采集，并将收集到的原始数据转 换为事件，向系统的其他部分提供此事件 ● 收集内容：系统、网络数据及用户活动的状态 和行为，需要在计算机网络系统中的若干不同 关键点（不同网段和不同主机）收集信息 ·系统或网络的日志文件 ■网络流量 ·系统目录和文件的异常变化 ■程序执行中的异常行为

10 事件产生器（1/4） •负责原始数据采集，并将收集到的原始数据转 换为事件，向系统的其他部分提供此事件。 •收集内容：系统、网络数据及用户活动的状态 和行为，需要在计算机网络系统中的若干不同 关键点（不同网段和不同主机）收集信息 n 系统或网络的日志文件 n 网络流量 n 系统目录和文件的异常变化 n 程序执行中的异常行为

事件产生器(1/4) 网络安全 NETWORK SECURITY 注意： ·入侵检测很大程度上依赖于收集信息的可靠性和正 确性 ■要保证用来检测网络系统的软件的完整性 ■特别是入侵检测系统软件本身应具有相当强的坚固 性， ●防止被篡改而收集到错误的信息

11 事件产生器（1/4） •注意： n 入侵检测很大程度上依赖于收集信息的可靠性和正 确性 n 要保证用来检测网络系统的软件的完整性 n 特别是入侵检测系统软件本身应具有相当强的坚固 性， •防止被篡改而收集到错误的信息