入侵检测 入侵检测概述 入侵检测系统分类 入侵检测系统的分析方式 入侵检测系统的优点与局限性
1 入侵检测 入侵检测概述 入侵检测系统分类 入侵检测系统的分析方式 入侵检测系统的优点与局限性
背景介绍 信息系统的安全问题 ■操作系统的脆弱性 计算机网络的资源开放、信息共享以及网络复杂性增 大了系统的不安全性 ■数据库管理系统等应用系统设计中存在的安全性缺陷 ■缺乏有效的安全管理
2 背景介绍 信息系统的安全问题 ■ 操作系统的脆弱性 ■ 计算机网络的资源开放、信息共享以及网络复杂性增 大了系统的不安全性 ■ 数据库管理系统等应用系统设计中存在的安全性缺陷 ■ 缺乏有效的安全管理
黑客攻击猖獗 特洛伊木马 黑客攻击后门、隐蔽通道计算机病毒 9 网络 拒绝服务攻击 逻辑炸弹 蠕虫 内部、外部泄密
3 黑客攻击猖獗 网络 内部、外部泄密 拒绝服务攻击 逻辑炸弹 特洛伊木马 黑客攻击 计算机病毒 后门、隐蔽通道 蠕虫
入侵检测的提出 什么是入侵检测系统 ■入侵检测是从计算机网络或计算机系统中的若干关键 点搜集信息并对其进行分析,从中发现网络或系统中 是否有违反安全策略的行为和遭到袭击的迹象的一种 机制。 ■入侵检测系统是一套监控计算机系统或网络系统中发 生的事件,根据规则进行安全审计的软件或硬件系统
4 入侵检测的提出 什么是入侵检测系统 ■ 入侵检测是从计算机网络或计算机系统中的若干关键 点搜集信息并对其进行分析,从中发现网络或系统中 是否有违反安全策略的行为和遭到袭击的迹象的一种 机制。 ■ 入侵检测系统是一套监控计算机系统或网络系统中发 生的事件,根据规则进行安全审计的软件或硬件系统
入侵检测的提出 为什么需要Ds? 入侵很容易 ■入侵教程随处可见 各种工具唾手可得 回防火墙不能保证绝对的安全 ■网络边界的设备 ■自身可以被攻破 ■对某些攻击保护很弱 ■不是所有的威胁来自防火墙外部 ■防火墙是锁,入侵检测系统是监视器
5 入侵检测的提出 为什么需要IDS? ₪ 入侵很容易 ■ 入侵教程随处可见 ■ 各种工具唾手可得 ₪ 防火墙不能保证绝对的安全 ■ 网络边界的设备 ■ 自身可以被攻破 ■ 对某些攻击保护很弱 ■ 不是所有的威胁来自防火墙外部 ■ 防火墙是锁,入侵检测系统是监视器
入侵检测的提出 入侵检测的任务 回检测来自内部的攻击事件和越权访问 85%以上的攻击事件来自于内部的攻击 ■防火墙只能防外,难于防内 回入侵检测系统作为防火墙系统的一个有效的补充 ■入侵检测系统可以有效的防范防火墙开放的服务入侵 ■通过事先发现风险来阻止入侵事件的发生,提前发现试图攻击 或滥用网络系统的人员。 ■检测其它安全工具没有发现的网络工具事件。 ■提供有效的审计信息,详细记录黑客的入侵过程,从而帮助管 理员发现网络的脆弱性
6 入侵检测的提出 入侵检测的任务 ₪检测来自内部的攻击事件和越权访问 ■ 85%以上的攻击事件来自于内部的攻击 ■ 防火墙只能防外,难于防内 ₪入侵检测系统作为防火墙系统的一个有效的补充 ■ 入侵检测系统可以有效的防范防火墙开放的服务入侵 ■ 通过事先发现风险来阻止入侵事件的发生,提前发现试图攻击 或滥用网络系统的人员。 ■ 检测其它安全工具没有发现的网络工具事件。 ■ 提供有效的审计信息,详细记录黑客的入侵过程,从而帮助管 理员发现网络的脆弱性
入侵检测的提出 入侵检测的发展历史 ■1980年, James Anderson最早提出入侵检测概念 1987年,D.E. Denning首次给出了一个入侵检测的抽象模型, 并将入侵检测作为一种新的安全防御措施提出 ■1988年, Morris蠕虫事件直接刺激了Ds的研究 1988年,创建了基于主机的系统,有IDES, Haystack等 1989年,提出基于网络的DS系统有NsM,NADR,DDS等 90年代,不断有新的思想提出,如将人工智能、神经网络、模 糊理论、证据理论、分布计算技术等引入Ds系统 ■2000年2月,对 Yahoo!、 Amazon、CNN等大型网站的DDos 攻击引发了对Ds系统的新一轮研究热潮 ■2001年~今, Redcode、求职信等新型病毒的不断出现,进一 步促进了DS的发展
7 入侵检测的提出 入侵检测的发展历史 ■ 1980年,James Anderson最早提出入侵检测概念 ■ 1987年,D.E.Denning首次给出了一个入侵检测的抽象模型, 并将入侵检测作为一种新的安全防御措施提出。 ■ 1988年,Morris蠕虫事件直接刺激了IDS的研究 ■ 1988年,创建了基于主机的系统,有IDES,Haystack等 ■ 1989年,提出基于网络的IDS系统,有NSM,NADIR, DIDS等 ■ 90年代,不断有新的思想提出,如将人工智能、神经网络、模 糊理论、证据理论、分布计算技术等引入IDS系统 ■ 2000年2月,对Yahoo!、Amazon、CNN等大型网站的DDOS 攻击引发了对IDS系统的新一轮研究热潮 ■ 2001年~今,RedCode、求职信等新型病毒的不断出现,进一 步促进了IDS的发展
入侵检测系统的基本结构 响应单元输出:反应或事件 输出:高级中断事件 输出:事件的存储信息 事件分析器 事件数据库 输出:原始或低级事件 事件产生器 输入:原始事件源
8 入侵检测系统的基本结构 输出:反应或事件 输出:高级中断事件 输出:事件的存储信息 输出:原始或低级事件 输入:原始事件源 事件产生器 响应单元 事件分析器 事件数据库
入侵检测系统的基本结构 (1)事件产生器 事件产生器采集和监视被保护系统的数据,这些数据可以 是网络的数据包,也可以是从系统日志等其他途径搜集到的 信息。并且将这个数据进行保存,一般是保存到数据库中。 (2)事件分析器 事件分析器的功能主要分为两个方面:一是用于分析事件 产生器搜集到的数据,区分数据的正确性,发现非法的或者 具有潜在危险的、异常的数据现象,通知响应单元做出入侵 防范;一是对数据库保存的数据做定期的统计分析,发现某 段时期内的异常表现,进而对该时期内的异常数据进行详细 分析
9 入侵检测系统的基本结构 (1) 事件产生器 事件产生器采集和监视被保护系统的数据,这些数据可以 是网络的数据包,也可以是从系统日志等其他途径搜集到的 信息。并且将这个数据进行保存,一般是保存到数据库中。 (2) 事件分析器 事件分析器的功能主要分为两个方面:一是用于分析事件 产生器搜集到的数据,区分数据的正确性,发现非法的或者 具有潜在危险的、异常的数据现象,通知响应单元做出入侵 防范;一是对数据库保存的数据做定期的统计分析,发现某 段时期内的异常表现,进而对该时期内的异常数据进行详细 分析
(3)响应单元 响应单元是协同事件分析器工作的重要组成 部分,一旦事件分析器发现具有入侵企图的异常 数据,响应单元就要发挥作用,对具有入侵企图 的攻击施以拦截、阻断、反追踪等手段,保护被 保护系统免受攻击和破坏。 (4)事件数据库 事件数据库记录事件分析单元提供的分析结 果,同时记录下所有来自于事件产生器的事件, 用来进行以后的分析与检查。 10
10 (3) 响应单元 响应单元是协同事件分析器工作的重要组成 部分,一旦事件分析器发现具有入侵企图的异常 数据,响应单元就要发挥作用,对具有入侵企图 的攻击施以拦截、阻断、反追踪等手段,保护被 保护系统免受攻击和破坏。 (4) 事件数据库 事件数据库记录事件分析单元提供的分析结 果,同时记录下所有来自于事件产生器的事件, 用来进行以后的分析与检查