第二十三章 入侵检测
入侵检测
?入侵检测原理
?入侵检测技术分析
?入侵检测系统
? LINUX下的入侵检测系统
?基于用户特征分析的入侵检测系统
?入侵检测发展方向
入侵检测原理
?原则
?基本入侵检测
?入侵检测理论模型
原则
?一个能够抵抗入侵的计算机系统将表现
出以下特性,
? 用户以及应用的过程将被限制在一种可以预知的
模式下。当用户运行了一个简单程序后不会使系
统进入一种维护状态。
? 用户以及应用过程将不允许包含破坏系统安全的
命令序列,理论上来说,所有这种序列都应该排
除。实际上,只有被列入安全系统的序列才能被
检测到。
? 所有的应用过程都必须遵守操作的具体规范,只
有系统允许运行时才可以。
基本入侵检测
? 网络攻击变的越来越复杂而且自动化程度越来越高,
一个复杂的进攻并不一定是由一个有经验的入侵者发
动的
? 定义:一个入侵工具是一种用来破坏系统安全的自动化的
脚本
? 入侵工具绝对不是更改入侵检测的本质。他们排除了
许多由于不正确安装而造成的错误。并且以一种常规
的步骤排除了一些零碎的攻击。但是他们不能完全排
除系统隐患。
? 入侵检测系统拥有以下四重目的,
? 广泛的入侵检测。
? 时常进行入侵检测。
? 介绍一种简单,易于理解的格式。
? 正确性。
入侵检测理论模型
? CIDF模型
?异常模型
?误用模型
?规范模型
入侵检测
?入侵检测原理
?入侵检测技术分析
?入侵检测系统
? LINUX下的入侵检测系统
?基于用户特征分析的入侵检测系统
?入侵检测发展方向
入侵检测技术分析
?常用的检测方法
?拒绝服务攻击及防范
常用的检测方法
? 入侵检测系统常用的检测方法有,
– 特征检测
? 对已知的攻击或入侵的方式作出确定性的描述,形成相应
的事件模式。
– 统计检测
? 统计模型常用异常检测。异常检测 (Anomalydetection)的假
设是入侵者活动异常于正常主体的活动。
? 常用的入侵检测统计模型为,
– 操作模型
– 多元模型
– 马尔柯夫过程模型
– 专家系统
? 用专家系统对入侵进行检测,经常是针对有特征入侵行为。
拒绝服务攻击及防范
? 拒绝服务攻击正在向分布式( DDos) 方向发展,
分布式拒绝服务攻击采用了一种比较特别的体
系结构,从许多分布的主机同时攻击一个目标。
从而导致目标瘫痪。
拒绝服务攻击及防范
?保护这些主机最好的办法就是及时了解
有关本操作系统的安全漏洞以及相应的
安全措施。及时安装补丁程序并注意定
期升级系统软件,以免给黑客以可乘之
机。
?应该定期使用漏洞扫描软件对内部网络
进行检查。
?设置好单位内部的网络设备。最重要的
就是路由器和防火墙。
入侵检测
?入侵检测原理
?入侵检测技术分析
?入侵检测系统
? LINUX下的入侵检测系统
?基于用户特征分析的入侵检测系统
?入侵检测发展方向
入侵检测系统
?组成
?审计跟踪
?攻击检测系统现状
?入侵检测产品分析
?常见的攻击检测工具
组成
?一个最简化的网络实时入侵监测系统由
两个部分构成,
– 探测引擎(数据链路层的包分析)
? 抓获数据包并将过滤规则适用于数据包,复杂的
包分析引擎还可能具有包重组以及跟踪功能。
– 记录响应控制台
审计跟踪
?审计跟踪指系统活动的记录,这些记录
足以重构、评估、审查环境和活动的次
序,这些环境和活动在一项事务的开始
到最后结束期间能够围绕或导致的一项
操作、一个过程或一个事件。
攻击检测系统现状
? 攻击检测系统 (IDSs)是基于侵入者的行为与合
法用户的行为之间存在的明显不同,实现对非
授权的行为的检测的。
? 现在的攻击检测系统更多的是对许多互联在网
络上的主机的监视。典型的系统有为
LosAlamos国家实验室的集成计算机网络设计
的网络异常检测和侵入报告系统 NADIR,这是
一个自动专家系统;加利福尼亚大学的 NSM系
统,它是通过广播 LAN上的信息流量来检测入
侵行为;分布式入侵检测系统 DIDS等。
入侵检测产品分析
?基于网络的入侵检测
?基于主机的入侵检测
?混合入侵检测
?文件完整性检查
常见的攻击检测工具
? NAI公司是领先的专业网络安全产品提供商,
其攻击检测系统产品主要是三个独立产品,
– CybercopScanner
– CybercopServer
– CybercopNetwork
? ISS公司( InternetSecuritySystem) 的
RealSecure2.0forWindowsNT
? Abirnet公司的 Session-wall-3
? Anzen公司的 NFR
? 提供了一个网络监控框架
? IBM公司的 IERS系统
入侵检测
?入侵检测原理
?入侵检测技术分析
?入侵检测系统
? LINUX下的入侵检测系统
?基于用户特征分析的入侵检测系统
?入侵检测发展方向
LINUX下的入侵检测系统
?从实现结构上看,共分成三个应用程序,
它们分别是,
? 数据收集及分析程序;
? 告警信息收集程序;
? 告警信息显示程序
入侵检测
?入侵检测原理
?入侵检测技术分析
?入侵检测系统
? LINUX下的入侵检测系统
?基于用户特征分析的入侵检测系统
?入侵检测发展方向
基于用户特征分析的入侵检测
系统
? 设计目标是能够根据当前主机使用用户的特征
数据,通过实时检测和分析系统的各种状态,
与用户特征进行比对,得出不信任值,当不信
任值到达一定程度时,对使用用户进行再确认
或阻断其使用
? 主要功能,
? 审查用户日志
? 系统监测设置
? 用户口令设置
? 用户特定行为设定
? 口令检测
? 性能
基于用户特征分析的入侵检测
系统
?技术方案,
? 用户的特征状态捕捉
? 进程监控
? Shell监控
? 键盘监控
? 文件监控
? 用户的特征状态分析
? 系统的运行状态
? 其它的一些辅助监控
入侵检测
?入侵检测原理
?入侵检测技术分析
?入侵检测系统
? LINUX下的入侵检测系统
?基于用户特征分析的入侵检测系统
?入侵检测发展方向
入侵检测发展方向
? 入侵技术的发展与演化主要反映在下列几个方
面,
? 入侵或攻击的综合化与复杂化。
? 入侵主体对象的间接化,即实施入侵与攻击的主体的隐蔽
化。
? 入侵或攻击的规模扩大。
? 入侵或攻击技术的分布化。
? 攻击对象的转移。
? 今后的入侵检测技术大致可朝下述三个方向发
展
? 分布式入侵检测
? 智能化入侵检测
? 全面的安全防御方案
作业
?设计键盘监听程序,windows启动后记录
所有键盘信息并定期 email给某个地址
入侵检测
?入侵检测原理
?入侵检测技术分析
?入侵检测系统
? LINUX下的入侵检测系统
?基于用户特征分析的入侵检测系统
?入侵检测发展方向
入侵检测原理
?原则
?基本入侵检测
?入侵检测理论模型
原则
?一个能够抵抗入侵的计算机系统将表现
出以下特性,
? 用户以及应用的过程将被限制在一种可以预知的
模式下。当用户运行了一个简单程序后不会使系
统进入一种维护状态。
? 用户以及应用过程将不允许包含破坏系统安全的
命令序列,理论上来说,所有这种序列都应该排
除。实际上,只有被列入安全系统的序列才能被
检测到。
? 所有的应用过程都必须遵守操作的具体规范,只
有系统允许运行时才可以。
基本入侵检测
? 网络攻击变的越来越复杂而且自动化程度越来越高,
一个复杂的进攻并不一定是由一个有经验的入侵者发
动的
? 定义:一个入侵工具是一种用来破坏系统安全的自动化的
脚本
? 入侵工具绝对不是更改入侵检测的本质。他们排除了
许多由于不正确安装而造成的错误。并且以一种常规
的步骤排除了一些零碎的攻击。但是他们不能完全排
除系统隐患。
? 入侵检测系统拥有以下四重目的,
? 广泛的入侵检测。
? 时常进行入侵检测。
? 介绍一种简单,易于理解的格式。
? 正确性。
入侵检测理论模型
? CIDF模型
?异常模型
?误用模型
?规范模型
入侵检测
?入侵检测原理
?入侵检测技术分析
?入侵检测系统
? LINUX下的入侵检测系统
?基于用户特征分析的入侵检测系统
?入侵检测发展方向
入侵检测技术分析
?常用的检测方法
?拒绝服务攻击及防范
常用的检测方法
? 入侵检测系统常用的检测方法有,
– 特征检测
? 对已知的攻击或入侵的方式作出确定性的描述,形成相应
的事件模式。
– 统计检测
? 统计模型常用异常检测。异常检测 (Anomalydetection)的假
设是入侵者活动异常于正常主体的活动。
? 常用的入侵检测统计模型为,
– 操作模型
– 多元模型
– 马尔柯夫过程模型
– 专家系统
? 用专家系统对入侵进行检测,经常是针对有特征入侵行为。
拒绝服务攻击及防范
? 拒绝服务攻击正在向分布式( DDos) 方向发展,
分布式拒绝服务攻击采用了一种比较特别的体
系结构,从许多分布的主机同时攻击一个目标。
从而导致目标瘫痪。
拒绝服务攻击及防范
?保护这些主机最好的办法就是及时了解
有关本操作系统的安全漏洞以及相应的
安全措施。及时安装补丁程序并注意定
期升级系统软件,以免给黑客以可乘之
机。
?应该定期使用漏洞扫描软件对内部网络
进行检查。
?设置好单位内部的网络设备。最重要的
就是路由器和防火墙。
入侵检测
?入侵检测原理
?入侵检测技术分析
?入侵检测系统
? LINUX下的入侵检测系统
?基于用户特征分析的入侵检测系统
?入侵检测发展方向
入侵检测系统
?组成
?审计跟踪
?攻击检测系统现状
?入侵检测产品分析
?常见的攻击检测工具
组成
?一个最简化的网络实时入侵监测系统由
两个部分构成,
– 探测引擎(数据链路层的包分析)
? 抓获数据包并将过滤规则适用于数据包,复杂的
包分析引擎还可能具有包重组以及跟踪功能。
– 记录响应控制台
审计跟踪
?审计跟踪指系统活动的记录,这些记录
足以重构、评估、审查环境和活动的次
序,这些环境和活动在一项事务的开始
到最后结束期间能够围绕或导致的一项
操作、一个过程或一个事件。
攻击检测系统现状
? 攻击检测系统 (IDSs)是基于侵入者的行为与合
法用户的行为之间存在的明显不同,实现对非
授权的行为的检测的。
? 现在的攻击检测系统更多的是对许多互联在网
络上的主机的监视。典型的系统有为
LosAlamos国家实验室的集成计算机网络设计
的网络异常检测和侵入报告系统 NADIR,这是
一个自动专家系统;加利福尼亚大学的 NSM系
统,它是通过广播 LAN上的信息流量来检测入
侵行为;分布式入侵检测系统 DIDS等。
入侵检测产品分析
?基于网络的入侵检测
?基于主机的入侵检测
?混合入侵检测
?文件完整性检查
常见的攻击检测工具
? NAI公司是领先的专业网络安全产品提供商,
其攻击检测系统产品主要是三个独立产品,
– CybercopScanner
– CybercopServer
– CybercopNetwork
? ISS公司( InternetSecuritySystem) 的
RealSecure2.0forWindowsNT
? Abirnet公司的 Session-wall-3
? Anzen公司的 NFR
? 提供了一个网络监控框架
? IBM公司的 IERS系统
入侵检测
?入侵检测原理
?入侵检测技术分析
?入侵检测系统
? LINUX下的入侵检测系统
?基于用户特征分析的入侵检测系统
?入侵检测发展方向
LINUX下的入侵检测系统
?从实现结构上看,共分成三个应用程序,
它们分别是,
? 数据收集及分析程序;
? 告警信息收集程序;
? 告警信息显示程序
入侵检测
?入侵检测原理
?入侵检测技术分析
?入侵检测系统
? LINUX下的入侵检测系统
?基于用户特征分析的入侵检测系统
?入侵检测发展方向
基于用户特征分析的入侵检测
系统
? 设计目标是能够根据当前主机使用用户的特征
数据,通过实时检测和分析系统的各种状态,
与用户特征进行比对,得出不信任值,当不信
任值到达一定程度时,对使用用户进行再确认
或阻断其使用
? 主要功能,
? 审查用户日志
? 系统监测设置
? 用户口令设置
? 用户特定行为设定
? 口令检测
? 性能
基于用户特征分析的入侵检测
系统
?技术方案,
? 用户的特征状态捕捉
? 进程监控
? Shell监控
? 键盘监控
? 文件监控
? 用户的特征状态分析
? 系统的运行状态
? 其它的一些辅助监控
入侵检测
?入侵检测原理
?入侵检测技术分析
?入侵检测系统
? LINUX下的入侵检测系统
?基于用户特征分析的入侵检测系统
?入侵检测发展方向
入侵检测发展方向
? 入侵技术的发展与演化主要反映在下列几个方
面,
? 入侵或攻击的综合化与复杂化。
? 入侵主体对象的间接化,即实施入侵与攻击的主体的隐蔽
化。
? 入侵或攻击的规模扩大。
? 入侵或攻击技术的分布化。
? 攻击对象的转移。
? 今后的入侵检测技术大致可朝下述三个方向发
展
? 分布式入侵检测
? 智能化入侵检测
? 全面的安全防御方案
作业
?设计键盘监听程序,windows启动后记录
所有键盘信息并定期 email给某个地址