《计算机系统安全》课程PPT教学课件：第十一章 入侵检测系统

计算机系统安全 第十一章 入侵检测系统

1 计算机系统安全 第十一章 入侵检测系统

什么是入侵检测 1、入侵检测的概念 入侵检测的内容:试图闯入、成功闯入、冒充 其他用户、违反安全策略、合法用户的泄漏 独占资源以及恶意使用。 入侵检测( Intrusion detection):通过从计算 机网络或计算机系统的关键点收集信息并进 分析,从中发现网络或系统中是否有违反安全 策略的行为和被攻击的迹象 入侵检测系统(IDS):入侵检测的软件与硬 件的组合,是防火墙的合理补充,是防火墙之 后的第二道安全闸门

2 1、入侵检测的概念 一、什么是入侵检测 入侵检测的内容：试图闯入、成功闯入、冒充 其他用户、违反安全策略、合法用户的泄漏、 独占资源以及恶意使用。 入侵检测（Intrusion Detection）：通过从计算 机网络或计算机系统的关键点收集信息并进行 分析，从中发现网络或系统中是否有违反安全 策略的行为和被攻击的迹象。 入侵检测系统（IDS）：入侵检测的软件与硬 件的组合，是防火墙的合理补充，是防火墙之 后的第二道安全闸门

什么是入侵检测 1、入侵检测的概念:模型 规则设计 时钟 与修改 创建 学习 主体活动 审计记录」规则集提取规则|异常记录 处理引擎 更 新/历史活动状况 活动简档新建活动状况 Denying的通用入侵检测模型。模型缺点是它没有包含已知 系统漏洞或攻击方法的知识

3 1、入侵检测的概念：模型 一、什么是入侵检测 Dennying的通用入侵检测模型。模型缺点是它没有包含已知 系统漏洞或攻击方法的知识

什么是入侵检测 1、入侵检测的概念:任务 监视、分析用户及系统活动,查找非法用户和合法 用户的越权操作; 系统构造和弱点的审计,并提示管理员修补漏洞; 识别反映已知进攻的活动模式并报警,能够实时对 检测到的入侵行为进行反应; 异常行为模式的统计分析,发现入侵行为的规律; 评估重要系统和数据文件的完整性; 操作系统的审计跟踪管理,并识别用户违反安全策 略的行为

4 1、入侵检测的概念：任务 一、什么是入侵检测 ·监视、分析用户及系统活动，查找非法用户和合法 用户的越权操作； ·系统构造和弱点的审计，并提示管理员修补漏洞； ·识别反映已知进攻的活动模式并报警，能够实时对 检测到的入侵行为进行反应； ·异常行为模式的统计分析，发现入侵行为的规律； ·评估重要系统和数据文件的完整性； ·操作系统的审计跟踪管理，并识别用户违反安全策 略的行为

什么是入侵检测 1、入侵检测的概念 传统安全防范技术的不足 传统的操作系统加固技术和防火墙隔离技术 等都是静态安全防御技术,对网络环境下日 新月异的攻击手段缺乏主动的反应 入侵检测技术通过对入侵行为的过程与特征 的研究使安全系统对入侵事件和入侵过程能 做出实时响应

5 1、入侵检测的概念 一、什么是入侵检测 传统安全防范技术的不足 传统的操作系统加固技术和防火墙隔离技术 等都是静态安全防御技术，对网络环境下日 新月异的攻击手段缺乏主动的反应。 入侵检测技术通过对入侵行为的过程与特征 的研究使安全系统对入侵事件和入侵过程能 做出实时响应

什么是入侵检测 2、入侵检测的分类 根据所采用的技术可以分为: 1)异常检测:异常检测的假设是入侵者活动 异常于正常主体的活动,建立正常活动的 “活动简档”,当前主体的活动违反其统计 规律时,认为可能是“入侵”行为 2)特征检测:特征检测假设入侵者活动可以 用一种模式来表示,系统的目标是检测主体 活动是否符合这些模式

6 2、入侵检测的分类 一、什么是入侵检测 根据所采用的技术可以分为： 1）异常检测：异常检测的假设是入侵者活动 异常于正常主体的活动，建立正常活动的 “活动简档” ，当前主体的活动违反其统计 规律时，认为可能是“入侵”行为。 2）特征检测：特征检测假设入侵者活动可以 用一种模式来表示，系统的目标是检测主体 活动是否符合这些模式

什么是入侵检测 2、入侵检测的分类 根据所监测的对象来分: 1)基于主机的入侵检测系统(HIDS):通过监视 与分析主机的审计记录检测入侵。能否及时采集到 审计是这些系统的弱点之一,入侵者会将主机审计 子系统作为攻击目标以避开入侵检测系统。 2)基于网络的入侵检测系统(NDS):通过在共 享网段上对通信数据的侦听采集数据,分析可疑现 象。这类系统不需要主机提供严格的审计,对主机 资源消耗少,并可以提供对网络通用的保护而无需 顾及异构主机的不同架构

7 2、入侵检测的分类 一、什么是入侵检测 根据所监测的对象来分： 1）基于主机的入侵检测系统（HIDS）：通过监视 与分析主机的审计记录检测入侵。能否及时采集到 审计是这些系统的弱点之一，入侵者会将主机审计 子系统作为攻击目标以避开入侵检测系统。 2）基于网络的入侵检测系统（NIDS）：通过在共 享网段上对通信数据的侦听采集数据，分析可疑现 象。这类系统不需要主机提供严格的审计，对主机 资源消耗少，并可以提供对网络通用的保护而无需 顾及异构主机的不同架构

什么是入侵检测 2、入侵检测的分类 根据系统的工作方式分为: 离线检测系统:离线检测系统是非实时工作的 系统,它在事后分析审计事件,从中检查入侵活动 2)在线检测系统:在线检测系统是实时联机的检 测系统,它包含对实时网络数据包分析,实时主机 审计分析。其工作过程是实时入侵检测在网络连接 过程中进行,系统根据用户的历史行为模型、存储 在计算机中的专家知识以及神经网络模型对用户当 前的操作进行判断,一旦发现入侵迹象立即断开入 侵者与主机的连接,并收集证据和实施数据恢复

8 2、入侵检测的分类 一、什么是入侵检测 根据系统的工作方式分为： 1）离线检测系统：离线检测系统是非实时工作的 系统，它在事后分析审计事件，从中检查入侵活动。 2）在线检测系统：在线检测系统是实时联机的检 测系统，它包含对实时网络数据包分析，实时主机 审计分析。其工作过程是实时入侵检测在网络连接 过程中进行，系统根据用户的历史行为模型、存储 在计算机中的专家知识以及神经网络模型对用户当 前的操作进行判断，一旦发现入侵迹象立即断开入 侵者与主机的连接，并收集证据和实施数据恢复

什么是入侵检测 3、信息收集 第一步是信息收集,包括系统、网络、数据及用户活 动的状态和行为。需要在系统中的不同关键点(网段 和主机)收集信息,这样做的理由就是从一个来源的 信息有可能看不出疑点,但从几个源来的信息的不 致性却是可疑行为或入侵的最好标识。 1系统和网络日志文件 2目录和文件中的不期望的改变 3程序执行中的不期望行为 4.物理形式的入侵信息

9 3、信息收集 一、什么是入侵检测 第一步是信息收集，包括系统、网络、数据及用户活 动的状态和行为。需要在系统中的不同关键点（网段 和主机）收集信息，这样做的理由就是从一个来源的 信息有可能看不出疑点，但从几个源来的信息的不一 致性却是可疑行为或入侵的最好标识。 1.系统和网络日志文件 2.目录和文件中的不期望的改变 3.程序执行中的不期望行为 4. 物理形式的入侵信息

什么是入侵检测 4、信号分析 对收集到的上述四类信息,通过三种技术手 段进行分析: 模式匹配:用于实时的入侵检测 统计分析:用于实时的入侵检测 完整性分析:用于事后分析

10 4、信号分析 一、什么是入侵检测 对收集到的上述四类信息，通过三种技术手 段进行分析： 模式匹配：用于实时的入侵检测 统计分析：用于实时的入侵检测 完整性分析：用于事后分析