第十一章入侵检测 朱天清
第十一章 入侵检测 朱天清
回顾:防火墙的缺点 不能防止来自内部网络的攻击 防火墙不能防范不经过防火墙的攻击,如 内部网用户通过拨号直接进入 Internet 作为一种被动的防护手段,防火墙不能防 范因特网上不断出现的新的威胁和攻击
回顾:防火墙的缺点 不能防止来自内部网络的攻击 防火墙不能防范不经过防火墙的攻击,如 内部网用户通过拨号直接进入Internet。 作为一种被动的防护手段,防火墙不能防 范因特网上不断出现的新的威胁和攻击。 ……
45.00% 40.00% 35.00% 30.00% 25.00% 20.00% 5.00% 10.00% 5.00% 0.00% 防病毒软件防火墙DS 其它
DS: Intrusion Detection System °入侵( Intrusion):对信息系统的非授权访问 及(或)未经许可在信息系统中进行操作 入侵检测( ntrusion Detection):安装在关键 节点,对(网络)系统的运行状态进行监视,对 企图入侵、正在进行的入侵或已经发生的入侵进 行识别的过程。 入侵检测系统:入侵检测的软件与硬件的组合 是防火墙的合理补充,是防火墙之后的第二道安 全闸门。 入侵检测的内容:试图闯入、成功闯入、冒充其 他用 违反安全策略、合法用户的泄漏、独占 资源以及恶意使用
IDS: Intrusion Detection System 入侵( Intrusion ):对信息系统的非授权访问 及(或)未经许可在信息系统中进行操作。 入侵检测(Intrusion Detection ):安装在关键 节点,对(网络)系统的运行状态进行监视,对 企图入侵、正在进行的入侵或已经发生的入侵进 行识别的过程。 入侵检测系统:入侵检测的软件与硬件的组合, 是防火墙的合理补充,是防火墙之后的第二道安 全闸门。 入侵检测的内容:试图闯入、成功闯入、冒充其 他用户、违反安全策略、合法用户的泄漏、独占 资源以及恶意使用
曲型的S技术 攻击机制 攻击工具 攻击命令 实时入侵检 漏洞扫描和评估 攻 攻击者
典型的IDS技术 攻击工具 攻击命令 攻击机制 攻击者 网络漏洞 目标网络 目标系统 系统漏洞 攻击过程 实 时 入 侵 检 测 漏洞扫描和评估
基于网络 基于主机 基于主机 入侵检测 入侵检测 入侵检测 Internet □解服务器国邮件服务器 交换机 企业 路 内部网 防火墙 换机 基于网络 入侵检测
DS起源与发展 审计技术:产生、记录并检查按时间顺序排列的 系统事件记录的过程 审计的目标 确定和保持系统活动中每个人的责任 重建事件 评估损失 监测系统的问题区 提供有效的灾难恢复 阻止系统的不正当使用 通常用审计日志的形式记录
IDS起源与发展 审计技术:产生、记录并检查按时间顺序排列的 系统事件记录的过程。 审计的目标: ◼ – 确定和保持系统活动中每个人的责任 ◼ – 重建事件 ◼ – 评估损失 ◼ – 监测系统的问题区 ◼ – 提供有效的灾难恢复 ◼ – 阻止系统的不正当使用 通常用审计日志的形式记录
Fie Eat yew Help ×日 典型的日志 A Enable Monitors j Sytem 8 Devices O Eie t Begiby Netwok Keyboad D Wser C4, DMe/Time Action PlocessStahu Fie 24/12/2004105830.5045080 Readfie a cas ewe Unknown St. C:\WINDOWS\wnSSWanit an 4/12/2004 1058305145224 CrealeFic B cass exe Success C\NDOwSwnSxSVPolci Use m4/12/2004 105830.5145225 Querydnfom. D carss. exe Eo: buffer. C: \wlNDOwSwnsxSVPolci 回412200410930514528Re HSSE Success C AINDOWSWWnSxSPolc d4122004109305145227Rea诞e Unknown St. C \INDOwSwwnxSVole 国412200410935245362ceFk白 carss eve Succes Activties to monitor C-\INDOWSWmSxSWant 24/12/20041058305245363 ReadFie a cass exe Succes CWINDOwSWWnSySWart 422004105305245364 Create Fie D cass.ex uccess C \WINDOW\winSxSWan ˇ Successful operaton 41220041059305245350ydm.已ce Error: buffer C\wINDOwS\WnSSwarl v Faied operaton Success 图412200410305245357ReFt nknown St. C. \\\wnnSxSWart 4/22004109030545674 CiealeFie wordpad exe Success C\INDOWS\yalem32FXI Processes to monitor 4/12/20041058305445675 wordpad ewe Success C: WINDOWS\system 3.FxsT D412200410903054560755em,团 wordpad exe Succes CWINDOWS\ystem 32Fxl 4220041058305445677 Queryinfom CWINDOWS\system 32FxT ANT. EXE 百472010刘45750hm ad eve Success C: \NDOWS\ystem\Fxn1 品品品 Aleve ece D4/12/2004 1058305445679 Sellrformet worded exe Succes C\WINDOWS\system32\Fxl Carse exe D4/2/20041058305445680 Create Fie 4 wordpad ese Succees C\\\Fxel dethi32eee worded exe Succes C: WINDOwS\syetem32FxsT 三4120041093057461 C\NDOWS\syetem 32Fx1 a 4/12/2004 1058.30.5746108 Setlrfomat. d wordpad ese Success C: WINDOWS\syetem32\) 回421200410930574610 Queryinfom wordpad exe Success C: WINDOWS\ystem32FXt 4/12200410930984622456homa C:WINDOWS\system32\Fxs 4/122004105830546225 Sellrtoet wordpad exe Succes: C A\INDOWS\ystem32FxlY C Only selected processe 但是大量的日志让管 理员无所适从,从中 找出需要的信息和安 全时间是一件非常繁 琐的事情。而且需要 管理员有大量的经验
典型的日志 但是大量的日志让管 理员无所适从,从中 找出需要的信息和安 全时间是一件非常繁 琐的事情。而且需要 管理员有大量的经验
DS起源与发展 1980年 Anderson提出:提出了精简审计的 概念,风险和威胁分类方法 1987年 Denning研究发展了实时入侵检测 系统模型 IDES入侵检测专家系统:IDES提出了反常 活动与计算机不正当使用之间的相关性。 ·80年代,基于主机的入侵检测 90年代,基于主机和基于网络入侵检测的 集成
IDS起源与发展 1980年Anderson提出:提出了精简审计的 概念,风险和威胁分类方法 1987年Denning研究发展了实时入侵检测 系统模型 IDES入侵检测专家系统:IDES提出了反常 活动与计算机不正当使用之间的相关性。 80年代,基于主机的入侵检测 90年代,基于主机和基于网络入侵检测的 集成
发展历史 网络IDS 1990-现在 概念诞生产生模型 模型发展 智能IDS 1980 80年代中期80年代后期90年代初 目前 异常检测 90年代初现在 基于主机
概念诞生 1980 产生模型 80年代中期 模型发展 80年代后期-90年代初 网络IDS 1990-现在 异常检测 90年代初-现在 智能IDS 目前 发展历史 基于主机