入侵檢測系統(tǒng)IDS

入侵檢測系統(tǒng)IntrusionDetectionSystem（IDS）

組長：主講人：小組成員：

2015-05-04山東女子學(xué)院信息技術(shù)學(xué)院1

入侵檢測技術(shù)的概述

IDS的基本結(jié)構(gòu)入侵檢測系統(tǒng)的類型制訂響應(yīng)策略應(yīng)考慮的要素發(fā)展方向2015-05-04山東女子學(xué)院信息技術(shù)學(xué)院2目錄1.入侵檢測技術(shù)的概述2023/12/19山東女子學(xué)院信息學(xué)院3入侵檢測（IntrusionDetection）是對入侵行為的發(fā)覺。它通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)的關(guān)鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，并可通過和防火墻等進行聯(lián)動，對入侵或攻擊作出相應(yīng)。入侵檢測IntrusionDetection2015-05-04山東女子學(xué)院信息學(xué)院4入侵檢測的定義目標(biāo)：對系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機密性、完整性和可用性入侵檢測系統(tǒng)：進行入侵檢測的軟件與硬件的組合

2015-05-04山東女子學(xué)院信息技術(shù)學(xué)院5IDS的作用入侵檢測技術(shù)（IDS）：作為防火墻的補充，用于實時發(fā)現(xiàn)和抵御黑客對系統(tǒng)的攻擊。做一個形象的比喻：假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進入大樓，或內(nèi)部人員有越界行為，只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。2015-05-04山東女子學(xué)院信息技術(shù)學(xué)院6IDS存在的必要性關(guān)于防火墻網(wǎng)絡(luò)邊界的設(shè)備，只能抵擋外部來的入侵行為自身存在弱點，也可能被攻破對某些攻擊保護很弱即使透過防火墻的保護，合法的使用者仍會非法地使用系統(tǒng)，甚至提升自己的權(quán)限僅能拒絕非法的連接請求，但是對于入侵者的攻擊行為仍一無所知2015-05-04山東女子學(xué)院信息技術(shù)學(xué)院72.IDS基本結(jié)構(gòu)2023/12/19山東女子學(xué)院信息學(xué)院8IDS基本結(jié)構(gòu)入侵檢測系統(tǒng)包括三個功能部件（1）信息收集（2）信息分析（3）響應(yīng)單元2015-05-04山東女子學(xué)院信息技術(shù)學(xué)院9信息收集入侵檢測的第一步是信息收集，需要在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點（不同網(wǎng)段和不同主機）收集信息。收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為2015-05-04山東女子學(xué)院信息技術(shù)學(xué)院10信息分析

模式匹配統(tǒng)計分析完整性分析，往往用于事后分析2015-05-04山東女子學(xué)院信息技術(shù)學(xué)院11模式匹配模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為2015-05-04山東女子學(xué)院信息技術(shù)學(xué)院12統(tǒng)計分析統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）測量屬性的平均值和偏差被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認(rèn)為有入侵發(fā)生2015-05-04山東女子學(xué)院信息技術(shù)學(xué)院13完整性分析完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓陌ㄎ募湍夸浀膬?nèi)容及屬性在發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效2015-05-04山東女子學(xué)院信息技術(shù)學(xué)院14響應(yīng)單元簡單報警切斷連接封鎖用戶改變文件屬性最強烈反應(yīng)：回?fù)艄粽?015-05-04山東女子學(xué)院信息技術(shù)學(xué)院153.入侵檢測系統(tǒng)的類型2023/12/19山東女子學(xué)院信息學(xué)院16入侵檢測系統(tǒng)的分類網(wǎng)絡(luò)IDS:網(wǎng)絡(luò)IDS（NIDS）通常以非破壞方式使用。這種設(shè)備能夠捕獲LAN區(qū)域中的信息流并試著將實時信息流與已知的攻擊簽名進行對照。主機IDS：主機入侵檢測系統(tǒng)（HIDS）是一種用于監(jiān)控單個主機上的活動的軟件應(yīng)用。監(jiān)控方法包括驗證操作系統(tǒng)與應(yīng)用調(diào)用及檢查日志文件、文件系統(tǒng)信息與網(wǎng)絡(luò)連接。2015-05-04山東女子學(xué)院信息技術(shù)學(xué)院17兩類IDS監(jiān)測軟件的比較網(wǎng)絡(luò)IDS偵測速度快隱蔽性好視野更寬較少的監(jiān)測器占資源少主機IDS視野集中易于用戶自定義保護更加周密對網(wǎng)絡(luò)流量不敏感2015-05-04山東女子學(xué)院信息技術(shù)學(xué)院184.制訂響應(yīng)策略應(yīng)考慮的要素

2023/12/19山東女子學(xué)院信息學(xué)院19制訂響應(yīng)策略應(yīng)考慮的要素系統(tǒng)用戶：入侵檢測系統(tǒng)用戶可以分為網(wǎng)絡(luò)安全專家或管理員、系統(tǒng)管理員、安全調(diào)查員。這三類人員對系統(tǒng)的使用目的、方式和熟悉程度不同，必須區(qū)別對待操作運行環(huán)境：入侵檢測系統(tǒng)提供的信息形式依賴其運行環(huán)境系統(tǒng)目標(biāo)：為用戶提供關(guān)鍵數(shù)據(jù)和業(yè)務(wù)的系統(tǒng)，需要部分地提供主動響應(yīng)機制規(guī)則或法令的需求：在某些軍事環(huán)境里，允許采取主動防御甚至攻擊技術(shù)來對付入侵行為2015-05-04山東女子學(xué)院信息技術(shù)學(xué)院205.發(fā)展方向2023/12/19山東女子學(xué)院信息學(xué)院21發(fā)展方向更有效的集成各種入侵檢測數(shù)據(jù)源，包括從不同的系統(tǒng)和不同的傳感器上采集的數(shù)據(jù)，提高報警準(zhǔn)確率；在事件診斷中結(jié)合人工分析，提高判斷準(zhǔn)確性；提高對惡意代碼的檢測能力，包括email攻擊，Java，ActiveX等；采用一定的方法和策略來增強異種系統(tǒng)的互操作性和