入侵检测系统 IDS.pptx
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《入侵检测系统 IDS.pptx》由会员分享,可在线阅读,更多相关《入侵检测系统 IDS.pptx(38页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、入侵检测系统入侵检测系统 IDS2 2本章概要本章针对入侵检测系统展开详尽的描述:pp 入侵检测系统的概念;pp 入侵检测系统的主要技术;pp 入侵检测系统的类型;pp 入侵检测系统的优缺点;pp 入侵检测系统的部署方式。第1页/共37页3 3课程目标通过本章的学习,读者应能够:pp 了解入侵检测系统工作基本原理;pp 了解入侵检测系统在整个安全防护体系中的作用;pp 掌握入侵检测系统的部署方式。第2页/共37页4 46.1 入侵检测系统的概念 当前,平均每20秒就发生一次入侵计算机网络的事件,超过1/3的互联网防火墙被攻破!面对接二连三的安全问题,人们不禁要问:到底是安全问题本身太复杂,以至
2、于不可能被彻底解决,还是仍然可以有更大的改善,只不过我们所采取安全措施中缺少了某些重要的环节。有关数据表明,后一种解释更说明问题。有权威机构做过入侵行为统计,发现有80来自于网络内部,也就是说,“堡垒”是从内部被攻破的。另外,在相当一部分黑客攻击中,黑客都能轻易地绕过防火墙而攻击网站服务器。这就使人们认识到:仅靠防火墙仍然远远不能将“不速之客”拒之门外,还必须借助于一个“补救”环节入侵检测系统。第3页/共37页5 56.1.1 什么是入侵检测系统?入侵检测系统(Intrusiondetetionsystem,简称IDS)是指监视(或者在可能的情况下阻止)入侵或者试图控制你的系统或者网络资源的行
3、为的系统。作为分层安全中日益被越普遍采用的成分,入侵检测系统能有效地提升黑客进入网络系统的门槛。入侵检测系统能够通过向管理员发出入侵或者入侵企图来加强当前的存取控制系统,例如防火墙;识别防火墙通常不能识别的攻击,如来自企业内部的攻击;在发现入侵企图之后提供必要的信息。第4页/共37页6 6入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干个关键点收集信息,并分析这些信息,检测网络中是否有违反安全策略的行为和遭到袭击的迹象。它的作用是监控网络和计算机系统是否出现被入侵或
4、滥用的征兆。作为监控和识别攻击的标准解决方案,IDS系统已经成为安防体系的重要组成部分。IDS系统以后台进程的形式运行。发现可疑情况,立即通知有关人员。第5页/共37页7 7防火墙为网络提供了第一道防线,入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。由于入侵检测系统是防火墙后的又一道防线,从而可以极大地减少网络免受各种攻击的损害。假如说防火墙是一幢大楼的门锁,那入侵检测系统就是这幢大楼里的监视系统。门锁可以防止小偷进入大楼,但不能保证小偷100地被拒之门外,更不能防止大楼内部个别人员的不良企图。而一旦小偷爬窗
5、进入大楼,或内部人员有越界行为,门锁就没有任何作用了,这时,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来的入侵者,同时也针对内部的入侵行为。第6页/共37页8 86.1.2 入侵检测系统的特点 对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该具有管理方便、配置简单的特性,从而使非专业人员非常容易地管理网络安全。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时做出响应,包括切断网络连接、记录事件和报警等。
6、因此,一个好的入侵检测系统应具有如下特点:第7页/共37页9 9 a.不需要人工干预即可不间断地运行。b.有容错功能。即使系统发生了崩溃,也不会丢失数据,或者在系统重新启动时重建自己的知识库。c.不需要占用大量的系统资源。d.能够发现异于正常行为的操作。如果某个IDS系统使系统由“跑”变成了“爬”,就不要考虑使用。第8页/共37页1010 e.能够适应系统行为的长期变化。例如系统中增加了一个新的应用软件,系统写照就会发生变化,IDS必须能适应这种变化。f.判断准确。相当强的坚固性,防止被篡改而收集到错误的信息。g.灵活定制。解决方案必须能够满足用户要求。h.保持领先。能及时升级。第9页/共37
7、页11116.1.3 入侵行为的误判 入侵行为判断的准确性是衡量IDS是否高效的重要技术指标,因为,IDS系统很容易出现判断失误,这些判断失误分为:正误判、负误判和失控误判三类。1.正误判(falsepositive)概念:把一个合法操作判断为异常行为。特点:导致用户不理会IDS的报警,类似于“狼来了”的后果,使得用户逐渐对IDS的报警淡漠起来,这种“淡漠”非常危险,将使IDS形同虚设。第10页/共37页1212 2.负误判(fasenegative)概念:把一个攻击动作判断为非攻击行为,并允许其通过检测。特点:背离了安全防护的宗旨,IDS系统成为例行公事,后果十分严重。3.失控误判(subv
8、ersion)概念:攻击者修改了IDS系统的操作,使它总是出现负误判的情况。特点:不易觉察,长此以往,对这些“合法”操作IDS将不会报警。第11页/共37页13136.2 入侵检测的主要技术一入侵分析技术入侵分析技术主要有三大类:签名、统计及数据完整性。第12页/共37页14146.2.1 签名分析法 签名分析法主要用来检测有无对系统的己知弱点进行的攻击行为。这类攻击可以通过监视有无针对特定对象的某种行为而被检测到。主要方法:从攻击模式中归纳出其签名,编写到IDS系统的代码里,再由IDS系统对检测过程中收集到的信息进行签名分析。签名分析实际上是一个模板匹配操作,匹配的一方是系统设置情况和用户操
9、作动作,一方是已知攻击模式的签名数据库。第13页/共37页15156.2.2 统计分析法 统计分析法是以系统正常使用情况下观察到的动作为基础,如果某个操作偏离了正常的轨道,此操作就值得怀疑。主要方法:首先根据被检测系统的正常行为定义出一个规律性的东西,在此称为“写照”,然后检测有没有明显偏离“写照”的行为。统计分析法的理论基础是统计学,此方法中,“写照”的确定至关重要。第14页/共37页16166.2.3 数据完整性分析法 数据完整性分析法主要用来查证文件或对象是否被修改过,它的理论基础是密码学。上述分析技术在IDS中会以各种形式出现,把这些方法组合起来使用,互相弥补不足是最好的解决方案,从而
10、在IDS系统内部实现多层次、多手段的入侵检测功能。如签名分析方法没有发现的攻击可能正好被统计分析方法捕捉到。第15页/共37页6.3 入侵检测系统的主要类型第16页/共37页18186.3.1 6.3.1 应用软件入侵检测应用软件入侵检测(Application Intrusion Detection)(Application Intrusion Detection)1.概念 在应用软件级收集信息。2.优点 控制性好具有很高的可控性。3.缺点 a.需要支持的应用软件数量多;第17页/共37页1919 b.只能保护一个组件针对软件的IDS系统只能对特定的软件进行分析,系统中其他的组件不能得到保护
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 入侵检测系统 IDS 入侵 检测 系统
![提示](https://www.deliwenku.com/images/bang_tan.gif)
限制150内