陕西师范大学：《计算机系统安全》课程教学资源（PPT讲稿）第十部分 入侵检测

入侵检测 入侵检测概述 入侵检测系统分类 入侵检测系统的分析方式 入侵检测系统的优点与局限性

1 入侵检测 入侵检测概述 入侵检测系统分类 入侵检测系统的分析方式 入侵检测系统的优点与局限性

背景介绍 信息系统的安全问题 ■操作系统的脆弱性 计算机网络的资源开放、信息共享以及网络复杂性增 大了系统的不安全性 ■数据库管理系统等应用系统设计中存在的安全性缺陷 ■缺乏有效的安全管理

2 背景介绍 信息系统的安全问题 ■ 操作系统的脆弱性 ■ 计算机网络的资源开放、信息共享以及网络复杂性增 大了系统的不安全性 ■ 数据库管理系统等应用系统设计中存在的安全性缺陷 ■ 缺乏有效的安全管理

黑客攻击猖獗 特洛伊木马 黑客攻击后门、隐蔽通道计算机病毒 9 网络 拒绝服务攻击 逻辑炸弹 蠕虫 内部、外部泄密

3 黑客攻击猖獗 网络 内部、外部泄密 拒绝服务攻击 逻辑炸弹 特洛伊木马 黑客攻击 计算机病毒 后门、隐蔽通道 蠕虫

入侵检测的提出 什么是入侵检测系统 ■入侵检测是从计算机网络或计算机系统中的若干关键 点搜集信息并对其进行分析,从中发现网络或系统中 是否有违反安全策略的行为和遭到袭击的迹象的一种 机制。 ■入侵检测系统是一套监控计算机系统或网络系统中发 生的事件,根据规则进行安全审计的软件或硬件系统

4 入侵检测的提出 什么是入侵检测系统 ■ 入侵检测是从计算机网络或计算机系统中的若干关键 点搜集信息并对其进行分析，从中发现网络或系统中 是否有违反安全策略的行为和遭到袭击的迹象的一种 机制。 ■ 入侵检测系统是一套监控计算机系统或网络系统中发 生的事件，根据规则进行安全审计的软件或硬件系统

入侵检测的提出 为什么需要Ds? 入侵很容易 ■入侵教程随处可见 各种工具唾手可得 回防火墙不能保证绝对的安全 ■网络边界的设备 ■自身可以被攻破 ■对某些攻击保护很弱 ■不是所有的威胁来自防火墙外部 ■防火墙是锁,入侵检测系统是监视器

5 入侵检测的提出 为什么需要IDS？ ₪ 入侵很容易 ■ 入侵教程随处可见 ■ 各种工具唾手可得 ₪ 防火墙不能保证绝对的安全 ■ 网络边界的设备 ■ 自身可以被攻破 ■ 对某些攻击保护很弱 ■ 不是所有的威胁来自防火墙外部 ■ 防火墙是锁，入侵检测系统是监视器

入侵检测的提出 入侵检测的任务 回检测来自内部的攻击事件和越权访问 85%以上的攻击事件来自于内部的攻击 ■防火墙只能防外,难于防内 回入侵检测系统作为防火墙系统的一个有效的补充 ■入侵检测系统可以有效的防范防火墙开放的服务入侵 ■通过事先发现风险来阻止入侵事件的发生,提前发现试图攻击 或滥用网络系统的人员。 ■检测其它安全工具没有发现的网络工具事件。 ■提供有效的审计信息,详细记录黑客的入侵过程,从而帮助管 理员发现网络的脆弱性

6 入侵检测的提出 入侵检测的任务 ₪检测来自内部的攻击事件和越权访问 ■ 85％以上的攻击事件来自于内部的攻击 ■ 防火墙只能防外，难于防内 ₪入侵检测系统作为防火墙系统的一个有效的补充 ■ 入侵检测系统可以有效的防范防火墙开放的服务入侵 ■ 通过事先发现风险来阻止入侵事件的发生，提前发现试图攻击 或滥用网络系统的人员。 ■ 检测其它安全工具没有发现的网络工具事件。 ■ 提供有效的审计信息，详细记录黑客的入侵过程，从而帮助管 理员发现网络的脆弱性

入侵检测的提出 入侵检测的发展历史 ■1980年, James Anderson最早提出入侵检测概念 1987年,D.E. Denning首次给出了一个入侵检测的抽象模型, 并将入侵检测作为一种新的安全防御措施提出 ■1988年, Morris蠕虫事件直接刺激了Ds的研究 1988年,创建了基于主机的系统,有IDES, Haystack等 1989年,提出基于网络的DS系统有NsM,NADR,DDS等 90年代,不断有新的思想提出,如将人工智能、神经网络、模 糊理论、证据理论、分布计算技术等引入Ds系统 ■2000年2月,对 Yahoo!、 Amazon、CNN等大型网站的DDos 攻击引发了对Ds系统的新一轮研究热潮 ■2001年~今, Redcode、求职信等新型病毒的不断出现,进一 步促进了DS的发展

7 入侵检测的提出 入侵检测的发展历史 ■ 1980年，James Anderson最早提出入侵检测概念 ■ 1987年，D．E．Denning首次给出了一个入侵检测的抽象模型， 并将入侵检测作为一种新的安全防御措施提出。 ■ 1988年，Morris蠕虫事件直接刺激了IDS的研究 ■ 1988年，创建了基于主机的系统,有IDES，Haystack等 ■ 1989年，提出基于网络的IDS系统,有NSM，NADIR， DIDS等 ■ 90年代，不断有新的思想提出，如将人工智能、神经网络、模 糊理论、证据理论、分布计算技术等引入IDS系统 ■ 2000年2月，对Yahoo！、Amazon、CNN等大型网站的DDOS 攻击引发了对IDS系统的新一轮研究热潮 ■ 2001年～今，RedCode、求职信等新型病毒的不断出现，进一 步促进了IDS的发展

入侵检测系统的基本结构 响应单元输出:反应或事件 输出:高级中断事件 输出:事件的存储信息 事件分析器 事件数据库 输出:原始或低级事件 事件产生器 输入:原始事件源

8 入侵检测系统的基本结构 输出：反应或事件 输出：高级中断事件 输出：事件的存储信息 输出：原始或低级事件 输入：原始事件源 事件产生器 响应单元 事件分析器 事件数据库

入侵检测系统的基本结构 (1)事件产生器 事件产生器采集和监视被保护系统的数据,这些数据可以 是网络的数据包,也可以是从系统日志等其他途径搜集到的 信息。并且将这个数据进行保存,一般是保存到数据库中。 (2)事件分析器 事件分析器的功能主要分为两个方面:一是用于分析事件 产生器搜集到的数据,区分数据的正确性,发现非法的或者 具有潜在危险的、异常的数据现象,通知响应单元做出入侵 防范;一是对数据库保存的数据做定期的统计分析,发现某 段时期内的异常表现,进而对该时期内的异常数据进行详细 分析

9 入侵检测系统的基本结构 （1） 事件产生器 事件产生器采集和监视被保护系统的数据，这些数据可以 是网络的数据包，也可以是从系统日志等其他途径搜集到的 信息。并且将这个数据进行保存，一般是保存到数据库中。 （2） 事件分析器 事件分析器的功能主要分为两个方面：一是用于分析事件 产生器搜集到的数据，区分数据的正确性，发现非法的或者 具有潜在危险的、异常的数据现象，通知响应单元做出入侵 防范；一是对数据库保存的数据做定期的统计分析，发现某 段时期内的异常表现，进而对该时期内的异常数据进行详细 分析

(3)响应单元 响应单元是协同事件分析器工作的重要组成 部分,一旦事件分析器发现具有入侵企图的异常 数据,响应单元就要发挥作用,对具有入侵企图 的攻击施以拦截、阻断、反追踪等手段,保护被 保护系统免受攻击和破坏。 (4)事件数据库 事件数据库记录事件分析单元提供的分析结 果,同时记录下所有来自于事件产生器的事件, 用来进行以后的分析与检查。 10

10 （3） 响应单元 响应单元是协同事件分析器工作的重要组成 部分，一旦事件分析器发现具有入侵企图的异常 数据，响应单元就要发挥作用，对具有入侵企图 的攻击施以拦截、阻断、反追踪等手段，保护被 保护系统免受攻击和破坏。 （4） 事件数据库 事件数据库记录事件分析单元提供的分析结 果，同时记录下所有来自于事件产生器的事件， 用来进行以后的分析与检查