資源描述:
《信息安全技術第6章入侵檢測系統(tǒng)》由會員上傳分享,免費在線閱讀,更多相關內(nèi)容在教育資源-天天文庫�����。
1�、第6章入侵檢測系統(tǒng)本章概要本章針對入侵檢測系統(tǒng)展開詳盡的描述:入侵檢測系統(tǒng)的概念�;入侵檢測系統(tǒng)的主要技術;入侵檢測系統(tǒng)的類型����;入侵檢測系統(tǒng)的優(yōu)缺點���;入侵檢測系統(tǒng)的部署方式。2課程目標通過本章的學習�����,讀者應能夠:了解入侵檢測系統(tǒng)工作基本原理�;了解入侵檢測系統(tǒng)在整個安全防護體系中的作用;掌握入侵檢測系統(tǒng)的部署方式��。36.1入侵檢測系統(tǒng)的概念當前�����,平均每20秒就發(fā)生一次入侵計算機網(wǎng)絡的事件���,超過1/3的互聯(lián)網(wǎng)防火墻被攻破�!面對接二連三的安全問題�����,人們不禁要問:到底是安全問題本身太復雜��,以至于不可能被徹底解決,還是仍然可以有更大的改善�����,只不過我
2���、們所采取安全措施中缺少了某些重要的環(huán)節(jié)。有關數(shù)據(jù)表明�����,后一種解釋更說明問題����。有權(quán)威機構(gòu)做過入侵行為統(tǒng)計,發(fā)現(xiàn)有80%來自于網(wǎng)絡內(nèi)部�,也就是說,“堡壘”是從內(nèi)部被攻破的�����。另外�����,在相當一部分黑客攻擊中,黑客都能輕易地繞過防火墻而攻擊網(wǎng)站服務器����。這就使人們認識到:僅靠防火墻仍然遠遠不能將“不速之客”拒之門外,還必須借助于一個“補救”環(huán)節(jié)——入侵檢測系統(tǒng)���。46.1.1什么是入侵檢測系統(tǒng)�����?入侵檢測系統(tǒng)(Intrusiondetetionsystem�����,簡稱IDS)是指監(jiān)視(或者在可能的情況下阻止)入侵或者試圖控制你的系統(tǒng)或者網(wǎng)絡資源的行為的系統(tǒng)����。作
3����、為分層安全中日益被越普遍采用的成分,入侵檢測系統(tǒng)能有效地提升黑客進入網(wǎng)絡系統(tǒng)的門檻�����。入侵檢測系統(tǒng)能夠通過向管理員發(fā)出入侵或者入侵企圖來加強當前的存取控制系統(tǒng),例如防火墻;識別防火墻通常不能識別的攻擊���,如來自企業(yè)內(nèi)部的攻擊�����;在發(fā)現(xiàn)入侵企圖之后提供必要的信息����。5入侵檢測是防火墻的合理補充�,幫助系統(tǒng)對付網(wǎng)絡攻擊��,擴展了系統(tǒng)管理員的安全管理能力(包括安全審計���、監(jiān)視�����、進攻識別和響應)����,提高了信息安全基礎結(jié)構(gòu)的完整性�����。它從計算機網(wǎng)絡系統(tǒng)中的若干個關鍵點收集信息,并分析這些信息����,檢測網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。它的作用是監(jiān)控網(wǎng)絡和
4��、計算機系統(tǒng)是否出現(xiàn)被入侵或濫用的征兆��。作為監(jiān)控和識別攻擊的標準解決方案����,IDS系統(tǒng)已經(jīng)成為安防體系的重要組成部分。IDS系統(tǒng)以后臺進程的形式運行��。發(fā)現(xiàn)可疑情況����,立即通知有關人員。6防火墻為網(wǎng)絡提供了第一道防線����,入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網(wǎng)絡性能的情況下對網(wǎng)絡進行檢測���,從而提供對內(nèi)部攻擊����、外部攻擊和誤操作的實時保護。由于入侵檢測系統(tǒng)是防火墻后的又一道防線�����,從而可以極大地減少網(wǎng)絡免受各種攻擊的損害��。假如說防火墻是一幢大樓的門鎖����,那入侵檢測系統(tǒng)就是這幢大樓里的監(jiān)視系統(tǒng)�。門鎖可以防止小偷進入大樓,但不能保證小偷100%
5�、地被拒之門外,更不能防止大樓內(nèi)部個別人員的不良企圖�。而一旦小偷爬窗進入大樓,或內(nèi)部人員有越界行為����,門鎖就沒有任何作用了,這時�����,只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。入侵檢測系統(tǒng)不僅僅針對外來的入侵者���,同時也針對內(nèi)部的入侵行為���。76.1.2入侵檢測系統(tǒng)的特點對一個成功的入侵檢測系統(tǒng)來講,它不但可使系統(tǒng)管理員時刻了解網(wǎng)絡系統(tǒng)(包括程序�、文件和硬件設備等)的任何變更,還能給網(wǎng)絡安全策略的制訂提供指南�。更為重要的一點是,它應該具有管理方便����、配置簡單的特性,從而使非專業(yè)人員非常容易地管理網(wǎng)絡安全����。而且,入侵檢測的規(guī)模還應根據(jù)網(wǎng)絡威脅���、系統(tǒng)構(gòu)造和
6�����、安全需求的改變而改變�����。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后��,會及時做出響應�,包括切斷網(wǎng)絡連接、記錄事件和報警等�。因此,一個好的入侵檢測系統(tǒng)應具有如下特點:8a.不需要人工干預即可不間斷地運行���。b.有容錯功能�。即使系統(tǒng)發(fā)生了崩潰����,也不會丟失數(shù)據(jù)����,或者在系統(tǒng)重新啟動時重建自己的知識庫。c.不需要占用大量的系統(tǒng)資源��。d.能夠發(fā)現(xiàn)異于正常行為的操作。如果某個IDS系統(tǒng)使系統(tǒng)由“跑”變成了“爬”�,就不要考慮使用。9e.能夠適應系統(tǒng)行為的長期變化��。例如系統(tǒng)中增加了一個新的應用軟件�����,系統(tǒng)寫照就會發(fā)生變化�����,IDS必須能適應這種變化�����。f.判斷準確�����。相當強的堅固性���,防
7����、止被篡改而收集到錯誤的信息。g.靈活定制���。解決方案必須能夠滿足用戶要求�。h.保持領先����。能及時升級。106.1.3入侵行為的誤判入侵行為判斷的準確性是衡量IDS是否高效的重要技術指標���,因為��,IDS系統(tǒng)很容易出現(xiàn)判斷失誤�,這些判斷失誤分為:正誤判����、負誤判和失控誤判三類。1.正誤判(falsepositive)概念:把一個合法操作判斷為異常行為��。特點:導致用戶不理會IDS的報警���,類似于“狼來了”的后果�,使得用戶逐漸對IDS的報警淡漠起來���,這種“淡漠”非常危險����,將使IDS形同虛設���。112.負誤判(fasenegative)概念:把一個攻擊動作判
8��、斷為非攻擊行為�����,并允許其通過檢測��。特點:背離了安全防護的宗旨����,IDS系統(tǒng)成為例行公事�����,后果十分嚴重�����。3.失控誤判(subversion)概念:攻擊者修改了IDS系統(tǒng)的操作,使它總是出現(xiàn)負誤判的情況�����。特點:不
