資源描述:
《網(wǎng)絡(luò)與信息安全第16章入侵檢測》由會員上傳分享���,免費在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫�。
1、第16章入侵檢測對付網(wǎng)絡(luò)入侵���,只有防火墻是不夠的�����。防火墻只是試圖抵擋網(wǎng)絡(luò)入侵者�,很難去發(fā)現(xiàn)入侵的企圖和成功的入侵�����。這就需要一種新的技術(shù)—入侵檢測技術(shù)����。入侵檢測技術(shù)能發(fā)現(xiàn)網(wǎng)絡(luò)入侵者的入侵行為和入侵企圖,及時向用戶發(fā)出警報�����,將入侵消滅在成功之前。第16章入侵檢測NetworkandInformationSecurity16.1入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)的任務(wù)和作用是:(1)監(jiān)視���、分析用戶及系統(tǒng)活動�;(2)對系統(tǒng)弱點的審計�;(3)識別和反應(yīng)已知進攻的活動模式并向相關(guān)人士報警;(4)異常行為模式的統(tǒng)計分析�;(5)評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;(6)操作系統(tǒng)
2���、的審計跟蹤管理��,識別用戶違反安全策略的行為��。NetworkandInformationSecurity第16章入侵檢測入侵檢測系統(tǒng)有兩個指標�。一是漏報率���,指攻擊事件沒有被IDS檢測到���,與其相對的是檢出率;二是誤報率��,指把正常事件識別為攻擊并報警��。誤報率與檢出率成正比例關(guān)系。NetworkandInformationSecurity第16章入侵檢測0檢出率100%100%誤報率16.2.1入侵檢測系統(tǒng)的CIDF模型NetworkandInformationSecurity第16章入侵檢測16.2入侵檢測系統(tǒng)結(jié)構(gòu)IETF的入侵檢測系統(tǒng)模型Networkan
3�、dInformationSecurity第16章入侵檢測Denning的通用入侵檢測系統(tǒng)模型NetworkandInformationSecurity第16章入侵檢測16.3.1按數(shù)據(jù)來源的分類由于入侵檢測是個典型的數(shù)據(jù)處理過程,因而數(shù)據(jù)采集是其首當其沖的第一步�����。同時�����,針對不同的數(shù)據(jù)類型���,所采用的分析機理也是不一樣的。根據(jù)入侵檢測系統(tǒng)輸入數(shù)據(jù)的來源來看��,它可分為:基于主機的入侵檢測系統(tǒng)�����、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和分布式入侵檢測系統(tǒng)�����。NetworkandInformationSecurity第16章入侵檢測16.3入侵檢測系統(tǒng)類型1.基于主機的(Host-
4����、Based)入侵檢測系統(tǒng)基于主機的入侵檢測系統(tǒng)(HIDS)通常以系統(tǒng)日志����、應(yīng)用程序日志等審計記錄文件作為數(shù)據(jù)源���。它是通過比較這些審計記錄文件的記錄與攻擊簽名(AttackSignature���,指用一種特定的方式來表示已知的攻擊模式)以發(fā)現(xiàn)它們是否匹配。如果匹配����,檢測系統(tǒng)就向系統(tǒng)管理員發(fā)出入侵報警并采取相應(yīng)的行動?��;谥鳈C的IDS可以精確地判斷入侵事件����,并可對入侵事件作出立即反應(yīng)��。它具有著明顯的優(yōu)點:(1)能夠確定攻擊是否成功(2)非常適合于加密和交換環(huán)境(3)近實時的檢測和響應(yīng)(4)不需要額外的硬件(5)可監(jiān)視特定的系統(tǒng)行為NetworkandInfor
5����、mationSecurity第16章入侵檢測2.基于網(wǎng)絡(luò)的(Network-Based)入侵檢測系統(tǒng)以原始的網(wǎng)絡(luò)數(shù)據(jù)包作為數(shù)據(jù)源�����。它是利用網(wǎng)絡(luò)適配器來實時地監(jiān)視并分析通過網(wǎng)絡(luò)進行傳輸?shù)乃型ㄐ艠I(yè)務(wù)的�。其攻擊識別模塊在進行攻擊簽名識別時常用的技術(shù)有:●模式�����、表達式或字節(jié)碼的匹配�����;●頻率或閾值的比較����;●事件相關(guān)性處理���;●異常統(tǒng)計檢測����。一旦檢測到攻擊����,IDS的響應(yīng)模塊通過通知�、報警以及中斷連接等方式來對攻擊行為作出反應(yīng)��。NetworkandInformationSecurity第16章入侵檢測較之于基于主機的IDS���,它有著自身明顯的優(yōu)勢:(1)攻擊者轉(zhuǎn)移證據(jù)
6��、更困難(2)實時檢測和應(yīng)答(3)能夠檢測到未成功的攻擊企圖(4)操作系統(tǒng)無關(guān)性(5)較低的成本當然�����,對于基于網(wǎng)絡(luò)的IDS來講���,同樣有著一定的不足:它只能監(jiān)視通過本網(wǎng)段的活動,并且精確度較差�;在交換網(wǎng)絡(luò)環(huán)境中難于配置;防欺騙的能力比較差�����,對于加密環(huán)境它就更是無能為力了����。NetworkandInformationSecurity第16章入侵檢測3.分布式的入侵檢測系統(tǒng)從以上對基于主機的IDS和基于網(wǎng)絡(luò)的IDS的分析可以看出:這兩者各自都有著自身獨到的優(yōu)勢,而且在某些方面是很好的互補。如果采用這兩者結(jié)合的入侵檢測系統(tǒng)���,那將是汲取了各自的長處����,又彌補了各自的不
7�、足的一種優(yōu)化設(shè)計方案。通常���,這樣的系統(tǒng)一般為分布式結(jié)構(gòu)�,由多個部件組成���,它能同時分析來自主機系統(tǒng)的審計數(shù)據(jù)及來自網(wǎng)絡(luò)的數(shù)據(jù)通信流量信息。分布式的IDS將是今后人們研究的重點��,它是一種相對完善的體系結(jié)構(gòu)��,為日趨復雜的網(wǎng)絡(luò)環(huán)境下的安全策略的實現(xiàn)提供了最佳的解決方案�����。NetworkandInformationSecurity第16章入侵檢測16.3.2按分析技術(shù)的分類從入侵檢測的典型實現(xiàn)過程可以看出����,數(shù)據(jù)分析是入侵檢測系統(tǒng)的核心�,它是關(guān)系到能否檢測出入侵行為的關(guān)鍵��。檢出率是人們關(guān)注的焦點���,不同的分析技術(shù)所體現(xiàn)的分析機制也是不一樣的���,從而對數(shù)據(jù)分析得到的結(jié)果當
8、然也就大不相同�,而且不同的分析技術(shù)對不同的數(shù)據(jù)環(huán)境的適用性也不一樣。根據(jù)入侵檢測系統(tǒng)所采用的分
