当前课程知识点:大学计算机基础 > 第九章 信息安全 > 9-5入侵检测技术 > 9-5入侵检测技术
各位同学大家好
这一节我们来学习入侵检测系统
简称IDS
网络系统面临的一个严重的安全问题
就是用户或软件的恶意入侵
那我先来问大家两个问题
如果攻击者成功地绕过了边界防御措施
比如防火墙,渗透到网络中
如何检测出这种攻击行为呢
另外,如何抵御内部人员发动的攻击
据统计
全球80%以上的入侵是来自网络内部
要解决这些问题
就要对网络内部进行实时地检测
这就需要入侵检测系统IDS
无处不在的防护
入侵检测系统通过监视网络内部的活动
来识别恶意或可疑的事件
是一种及时发现入侵,成功阻止入侵
并且在事后对入侵进行分析
查明系统漏洞
并及时修补的动态网络安全技术
是对防火墙等静态网络安全技术的补充
所谓静态是指防火墙
需要管理员正确地配置了安全策略
才能对攻击进行防范
当新的攻击出现时
只有当管理员发现了这种攻击
并正确地配置了
防火墙的规则时才能抵御这种攻击
这种防御就是静态的
对于新出现的攻击
防火墙就不能自动响应了
入侵的行为既指来自外部的入侵活动
也指内部未授权的活动
一般我们把入侵者分成三类
假冒者,非法者以及秘密用户
假冒者是指未经授权使用计算机的人
他可能是外部使用者
非法者是授权用户
但是他想非法取得更高级别的权限
一般是内部人员
最后这个秘密用户
他想夺取系统的超级控制权
并使用这种控制权来逃避审计和访问控制
可以是外部使用者也可能是内部人员
入侵者的攻击可能友善的
只是想探索一下看看网络里面有什么
也可能是用心险恶的
企图读取受权限保护的数据
为经授权修改数据或者扰乱系统
入侵检测被称为继防火墙之后
系统的第二道安全防线
形象地说一个安全系统
就像一栋戒备森严的大楼
那保安就像系统的防火墙
对进出大楼的所有人进行检查
但攻击者他可能通过大楼的后门
绕开保安的检查进入到系统
另外,大楼内的人员
也可能对大楼的安全造成威胁
这时入侵检测系统
就像大楼的实时监控系统
通过摄像机,捕获并记录大楼的活动
并将捕获的数据
传送到控制中心及系统的监控室
由管理员对数据进行分析
提炼可疑的异常的行为
���侵检测的前提是假设入侵者的行为
在某些情况下不同于合法用户的行为
例如合法用户在登录的时候
一般一到两次就可以正确地输入密码
不会三番五次地输入错误
而入侵者他会反复地尝试密码
和合法的用户行为不同
又比如一台重要的系统服务器
管理员他的典型的行为
是在每天的工作时间登录
即早上九点到下午五点之间
如果这台服务器
某天突然出现了凌晨三点的登录行为
这很可能就是一种入侵行为
虽然入侵者的典型行为
有别于授权用户的典型行为
但二者
我们看到在这张图上仍然是有重叠的部分
因此可能会将部分合法的用户
判定为入侵者
也可能会漏掉一些入侵者
入侵检测就是
对网络系统的运行状态进行监视
检测发现各种攻击企图
攻击行为和攻击结果
以保证系统资源的
机密性 完整性和可用性
进行入侵检测过程配置的
各种软件与硬件的组合
就被称为入侵检测系统
下面我们来看一下
入侵检测系统的一般原理
入侵检测系统
包括感应器,分析器和管理器
感应器是在计算机系统
或网络中的关键位置设置检测设备
所谓关键位置就是一些
重要的服务器和重要的网络设备
像交换机
感应器从这些关键位置收集审计记录
网络数据包和其它可监视的行为特征
管理员制定安全策略
对系统中的感应器,分析器和管理器
进行指导和监控
安全策略包括检测的内容
检测技术的分类
审计 匹配规则等等
入侵检测系统从感知器接收到原始的输入
然后由分析器进行分析比较
从中发现网络或系统运行是否有异常现象
和违反安全策略的行为发生
并由管理器报警
管理器采取相应的控制措施
如通知系统操作人员
入侵检测系统的结构主要有三类
分别是基于主机型的入侵检测系统
基于网络型的入侵检测系统
和分布式入侵检测系统
基于主机型的入侵检测系统,简称HIDS
属于早期的入侵检测系统
保护的目标就是单个主机
往往以软件的形式安装在这台主机上
主要利用的是主机的审计数据,系统日志
发现可疑事件
基于主机的入侵检测系统
运行在受防火墙保护的
内网的重要服务器上
也可以运行在
不受防火墙保护的系统的服务器上
如企业的Web服务器上
Web服务器在防火墙之外
是希望在Internet上面人人都可以访问
了解我企业的产品,进行企业的宣传
入侵者和Internet上面的其他用户一样
可以访问Web服务器
并利用服务器的漏洞对它进行攻击
另外就算被防火墙保护
内网的服务器也可能受到新的攻击
管理员还来不及在防火墙上
配置相应的防御规则
在这些服务器上
基于主机的入侵检测系统
利用系统调用,安全审计
应用日志等等进行检测
发现可疑行为时将攻击者拒之门外
基于主机型的入侵检测系统它的缺陷是
如果入侵者逃避审计
那主机检测就失效了
另外,主机审计记录无法检测
类似像端口扫描这样的网络攻击
该模型只是用于特定的用户
应用程序的行为和日志等等的检测
HIDS还会影响这个服务器的性能
基于主机的入侵检测
它难以适应网络安全的需要
于是就提出了
根据网络信息流进行信息检测的
基于网络的入侵检测系统,简称NIDS
NIDS它保护的是这个网络的安全运行
探测器是基于
网络入侵检测系统的核心部件
它按照匹配规则
从网络上获取与入侵事件关联的数据包
传递给入侵分析引擎
进行归类筛选和安全分析判断
分析引擎将分析的结果传递给管理配置器
由配置器产生嗅探器需要的配置规则
通过管理器来补充或更改
网络安全数据库的内容
NIDS可以部署在特定网段的集线器hub
或者交换机上
获取流经它们的数据包
或者作为一个单独的硬件
部署在不同的网段上获取数据包
在这张示意图当中
我们看到NIDS#1监测外网信息流
NIDS#2它监测内网的信息流
而NIDS#3它专门监测经过防火墙的信息流
随着高速网的出现
基于网络型的入侵检测
出现了诸如网络丢包等等这些问题
于是又出现了叫做
分布式的入侵检测系统,简称为DIDS
在DIDS中探测器
分布到网络中的不同的位置
每台主机都安装了主机代理模块
完成基于主机的入侵检测
在各个局域网当中
再安装局域网监视代理模块
局域网监视代理模块
可以安装在像集线器这样的网络设备上
或者以单独的硬件存在
这个模块完成网络数据采集和通讯传输
将采集到的网络信息流传递给管理模块
在广域网中我们选一台主机安装管理模块
作为整个DIDS的中心管理员
管理模块接收主机代理模块
局域网监视代理模块发送给它的信息
对这些信息进行一个综合的检测
入侵检测的步骤
主要就是收集信息和进行数据分析
在收集信息阶段
入侵检测系统会多方位的
收集检测对象的原始信息
包括系统,网络数据
及用户活动状态和行为
入侵检测获得原始信息的来源
主要有下面几个
第一是系统和网络的监控日志文件
日志文件经常会留下黑客作案
或活动的踪迹
第二是目录和文件内容的变更
目录和文件内容是黑客经常光顾的目标
黑客以修改或破坏重要文件和数据为目的
第三是程序的非正常执行行为
第四个是物理攻击的入侵信息
包括非授权的网络硬件连接
以及非授权的网络资源访问
比如说网络中
突然多了一台主机或其它设备连接进来
这些就是入侵检测需要收集的信息
在数据分析阶段根据采集到的原始信息
进行模式匹配,统计分析和完整性分析
其中模式匹配和统计分析
是用于实时地入侵检测
而完整性分析则更多的是用于事后分析
我们分别来看一下
模式匹配它是将收集到的信息
与已知的网络入侵
和系统误用模式数据库进行比较
从而发现违背安全策略的行为
而统计分析它是指首先给系统的对象
像用户,文件或者目录和设备
创建一个统计描述
统计正常使用的一些测量属性
如访问的次数,操作失败的次数
延时等等
测量属性的平均值和偏差
将被用来与网络系统的行为进行比较
只要其观察值超出了正常值
就被认为是入侵行为了
第三种是完整性分析
利用文件和目录的属性
针对某个文件或对象是否更改等现象
判断有无入侵存在
完整性分析在发现被更改的
或被安装木马的应用程序方面
是尤其有效的
下面我们再来看一下入侵检测的方法
入侵检测的方法
主要有异常检测和误用检测两种
我们分别来看一下
异常检测是假设入侵者的活动
异常于正常主体的活动
根据这一理念
我们建立正常主体活动的活动简档
将当前主体的活动情况与活动简档相比较
当违反它的统计规律的时候
就认为这个活动是可能的入侵行为
第二种,误用检测
它是假设入侵者的活动
可以用一种模式来表示
那么把以往发现的所有的攻击的特征
总结出来
并建立一个入侵的特征库
入侵检测系统
可以将当前捕获到的行为特征
与入侵特征库当中的特征信息相比较
如果匹配的话
那当前的行为就被认为是入侵了
那这种方式可以检测已知的攻击
但是对于新出现的攻击方法就无能为力了
最后我们来总结一下
这节我们主要介绍了入侵检测技术
包括基于主机型的入侵检测系统
基于网络的入侵检测系统
和分布式入侵检测系统
还学习了入侵检测的步骤
以及入侵检测的主要方法
谢谢大家的观看
-1-1 计算机的诞生
--第一章 习题1
--计算机的诞生1
--计算机的诞生2
-1-2 计算机的分类
--第一章 习题2
--计算机的分类
-1-3 计算机的应用领域
--第一章 习题3
-1-4 计算机系统组成
--第一章 习题4
--计算机系统组成1
--计算机系统组成2
-1-5 计算机思维的定义
--第一章 习题5
--计算思维1
-1-6 计算思维的特点
--第一章 习题6
--计算思维2
-1-7 计算思维的应用案例
--第一章 习题7
--计算思维3
-第一章 章测试
-2-1 进位计数制表示方法
--第二章 习题1
-2-2 进位计数制的相互转换
--第二章 习题2
--进位计数制2
-2-3 整数的表示方法
--第二章 习题3
--整数的表示1
-2-4 浮点数表示方法
--第二章 习题4
--浮点数的表示1
-2-5 BCD格式表示法
--第二章 习题5
--BCD码
-2-6 算术运算
--2-6 算术运算
--第二章 习题6
-2-7 运算溢出及判断
--第二章 习题7
--运算的溢出
-2-8 逻辑运算
--2-8 逻辑运算
--第二章 习题8
--逻辑运算
-2-9 ASCII编码
--第二章 习题9
-2-10 Unicode编码
--第二章 习题10
-2-11汉字编码
--2-11汉字编码
--第二章 习题11
--汉字编码
-2-12数据校验编码
--第二章 习题12
--数据校验编码
-第二章 章测试
-3-1中央处理器
--3-1中央处理器
--第三章 习题1
--中央处理器
-3-2 存储器
--3-2 存储器
--第三章 习题2
--存储器1
--存储器2
--存储器3
-3-3 总线和接口
--第三章 习题3
--总线
-3-4 外部设备
--3-4 外部设备
--第三章 习题4
--外部设备
-3-5 冯.诺依曼体系结构
--第三章 习题5
-3-6 计算机常用性能指标
--第三章 习题6
--性能指标1
--性能指标2
-3-7嵌入式系统
--第三章 习题7
--嵌入式系统
-3-8哈佛体系结构
--第三章 习题8
--哈佛体系结构
-3-9 DSP简介
--3-9DSP简介
--第三章 习题9
--DSP
-3-10 虚拟台式计算机模拟器
--虚拟桌面架构
-3-11 4位计算机模拟器
-第三章 章测试
-4-1计算机软件分类
--第四章 习题1
--软件分类
-4-2软件的工作模式
--第四章 习题2
--软件的工作模式
-4-3软件的安装方法
--第四章 习题3
--软件安装
-4-4计算机软件生命周期
--第四章 习题4
--生命周期1
--生命周期2
--生命周期3
--软件测试1
--软件测试2
-4-5计算机软件开发过程模型
--第四章 习题5
- 4-6 常用软件介绍-办公软件
--第四章 习题6
-办公软件实例1 文字处理软件
-办公软件实例2 电子表格软件
-办公软件实例3 演示文稿软件
-4-7 常用软件介绍-多媒体创作软件
--第四章 习题7
-多媒体创作软件实例1 音频处理软件
-多媒体创作软件实例2 图像处理软件
-多媒体创作软件实例3 动画制作软件
-多媒体创作软件实例4 视频处理软件
-4-8 常用软件介绍-网页制作软件
--第四章 习题8
-第四章 章测试
-5-1 操作系统概述
--第五章 习题1
--操作系统
--操作系统分类
--操作系统管理
-5-2 Windows 7基本操作
--第五章 习题2
-5-3 Windows 7文件管理
--第五章 习题3
-5-4 Windows 7程序管理
--第五章 习题4
-5-5 Windows 7系统安全
--第五章 习题5
--操作系统安全
-5-6 Windows 7计算机管理
--第五章 习题6
-5-7 Dos命令
--第五章 习题7
--dos
-5-8 Windows 7常用软件
--第五章 习题8
-5-9 Linux操作系统
--第五章 习题9
--Linux
-5-10 手机操作系统
--第五章 习题10
-5-11 虚拟机及Vmware介绍
--第五章 习题11
--虚拟机
--虚拟机使用
-第五章 章测试
-6-1 算法基础
--6-1 算法基础
--第六章 习题1
-6-2 程序设计语言分类
--第六章 习题2
-6-3 程序设计过程
--第六章 习题3
-6-4 程序设计方法
--第六章 习题4
-6-5 程序设计语言基本要素(一)
--第六章 习题5
-6-6 程序设计语言基本要素(二)
--第六章 习题6
-6-7 Python简介及编程环境配置
--第六章 习题7
-6-8 程序设计应用举例
--第六章 习题8
-第六章 章测验
-7-1 数据库技术概述
--第七章 习题1
--信息和数据
-7-2 数据库管理系统
--第七章 习题2
--数据库管理系统
-7-3 数据库系统的组成与功能
--第七章 习题3
--独立性
--数据库系统分类
-7-4 关系模型的数据结构
--第七章 习题4
--E-R图
--三级模式结构
-7-5 关系模型的数据操作及完整性约束
--第七章 习题5
--关系模型
--数据库范式
--完整性约束
-7-6 Access数据库的建立
--第七章 习题6
--Access
-7-7 Access的数据查询
--第七章 习题7
-第七章 章测试
-8-1计算机网络概述
--第八章 习题1
--定义
-8-2网络分类
--8-2网络分类
--第八章 习题2
--分类
-8-3数据传输
--8-3数据传输
--第八章 习题3
--数据传输
-8-4网络拓扑结构
--第八章 习题4
--网络拓扑结构
-8-5网络体系结构
--第八章 习题5
--网络体系结构
-8-6网络互连
--8-6网络互连
--第八章 习题6
--网络互连
-8-7Internet基础:TCP╱IP协议结构
--第八章 习题7
--TCP/IP模型
--IP协议
-8-8Internet基础:IP地址
--第八章 习题8
--IP地址
-8-9Internet基础:域名系统
--第八章 习题9
--域名
-8-10Internet基础:Internet的基本服务
--8-10Internet基础:Internet的基本服务
--第八章 习题10
--Internet
-8-11Internet基础:Internet的接入
--第八章 习题11
-第八章 章测试
-9-1信息安全的基本概念
--第九章 习题1
--信息安全的CIA
--攻击与防御
-9-2 密码技术及应用
--第九章 习题2
--数字签名
-9-3防火墙技术
--9-3防火墙技术
--第九章 习题3
--防火墙的分类
--防火墙的基本特性
-9-4恶意软件
--9-4恶意软件
--第九章 习题4
--恶意软件类型
-9-5入侵检测技术
--第九章 习题5
--入侵检测概念原理
--入侵检测分类
-第九章 章测试
-10-1 云计算
--10-1 云计算
--第十章 习题1
-10-2大数据
--10-2大数据
--第十章 习题2
-10-3物联网
--10-3物联网
--第十章 习题3
-10-4机器学习
--10-4机器学习
--第十章 习题4
-10-5人工智能
--10-5人工智能
--第十章 习题5
-10-6物联网应用
-第十章 章测验
-1-0 准备步骤
--1-0 准备步骤
-1-1 台式机组装
-1-2 笔记本电脑组装
-3-1 启动和退出Word
-3-2 创建、编辑和保存Word文档
-3-3 封面的制作
--封面的制作-1
--封面的制作-2
--封面的制作-3
--封面的制作-4
-3-4 长文档编辑
--长文档编辑
-3-5 页面插入与目录
-3-6 页眉页脚与页码
-3-7 完成文档
-4-1 创建和编辑Excel表格
-4-2 简单公式和函数
-4-3 插入图表
--4-3 插入图表
-4-4 电子表格中数据的管理
-5-1 创建演示文稿与添加幻灯片
-5-2 编辑演示文稿
-5-3 设置演示文稿外观
-5-4 交互式演示文稿的设置
-5-5 设置演示文稿动画和音乐
-5-6 演示文稿放映
-6-1 图像的修饰
-6-2 淡黄色的记忆
-6-3 心形贺卡
--6-3 心形贺卡
-6-4 燃烧字
--6-4 燃烧字
-6-5 闻味的小狗狗
-6-6 换脸
--6-6 换脸
-7-1 逐帧动画的制作
-7-2 动作补间动画的制作
-7-3 形状补间动画的制作
-8-1 网站制作前期工作
-8-2 在Dreamweaver中建立和管理站点
-8-3设计制作网站主页
-8-4 制作网站导航栏
-8-5 修饰美化页面
-8-6 填写页面内容
-8-7 设计制作次级页面并建立链接
-9-1 Python的下载
-9-2 Python的安装
-9-3 IDLE的使用
-9-4 求矩形的周长和面积
-9-5 求三角形的面积
-9-6 求素数
--9-6 求素数
-10-1 数据库的建立
-10-2 SQL的应用
-11-1 Packet Tracer简介及下载方法
-11-2 有线网络的组网与配置
-11-3 无线网络的组网及无线路由配置
-12 无线网络安全配置
