計(jì)算機(jī)網(wǎng)絡(luò)安全第八章(IDS)

1、入侵檢測入侵檢測概述IDS的基本結(jié)構(gòu)IDS的常用分類IDS的檢測技術(shù)IDS的設(shè)置IDS的部署IDS的應(yīng)用9/12/20221什么是入侵檢測？目錄10 之 1 入侵檢測（Intrusion Detection）是對(duì)入侵行為的發(fā)覺。它通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。 進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（IDS : Intrusion Detection System）。9/12/20222為什么需要IDS？目錄10 之 2入侵很容易入侵教程隨處可見各種工具唾手可得防火墻不能保證絕對(duì)的安全網(wǎng)絡(luò)邊界的設(shè)備自

2、身可以被攻破對(duì)某些攻擊保護(hù)很弱不是所有的威脅來自防火墻外部防火墻是鎖，IDS是監(jiān)視器9/12/20223如何使用IDS？目錄10 之 3 IDS可以作為防火墻的一個(gè)有效的補(bǔ)充，被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽，從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。9/12/20224圖 示目錄10 之 4報(bào)警日志攻擊檢測記錄入侵過程 重新配置防火墻路由器內(nèi)部入侵入侵檢測記錄終止入侵9/12/20225IDS發(fā)揮的作用 技術(shù)層面 對(duì)具體的安全技術(shù)人員，可以利用IDS做為工具來發(fā)現(xiàn)安全問題、解決問題。目錄10 之 5檢 測發(fā) 現(xiàn)告 警處 理從不知到有知9/12

3、/20226IDS發(fā)揮的作用 管理層面 對(duì)安全管理人員來說，是可以把IDS做為其日常管理上的有效手段。目錄10 之 6管 理評(píng) 估威 懾從被動(dòng)到主動(dòng)9/12/20227IDS發(fā)揮的作用 領(lǐng)導(dǎo)層面 對(duì)安全主管領(lǐng)導(dǎo)來說，是可以把IDS做為把握全局一種有效的方法，目的是提高安全效能。目錄10 之 7教 訓(xùn)總 結(jié)優(yōu) 化從事后到事前9/12/20228IDS發(fā)揮的作用 意識(shí)層面 對(duì)政府或者大的行業(yè)來說，是可以通過IDS來建立一套完善的網(wǎng)絡(luò)預(yù)警與響應(yīng)體系，減小安全風(fēng)險(xiǎn)。目錄10 之 8建立預(yù)警機(jī)制采取災(zāi)備措施提高保障意識(shí)從預(yù)警到保障9/12/20229IDS發(fā)展過程 概念的誕生目錄10 之 9 1980年

4、4月，James P. Anderson為美國空軍做了一份題為Computer Security Threat Monitoring and Surveillance（計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視）：指出必須改變現(xiàn)有的系統(tǒng)審計(jì)機(jī)制，以便為專職系統(tǒng)安全人員提供安全信息預(yù)警；提出了對(duì)計(jì)算機(jī)系統(tǒng)風(fēng)險(xiǎn)和威脅的分類方法，分為外部滲透、內(nèi)部滲透和不法行為三種；提出利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想。9/12/202210IDS發(fā)展過程 研究和發(fā)展目錄10 之 10Denning于1986年發(fā)表的論文“入侵檢測模型”被公認(rèn)為是IDS領(lǐng)域的又一篇開山之作； 1990年是入侵檢測系統(tǒng)發(fā)展史上的一個(gè)分水嶺。這一年，加

5、州大學(xué)戴維斯分校的L. T. Heberlein等人開發(fā)出了一套網(wǎng)絡(luò)入侵檢測系統(tǒng)（Network Security Monitor）； 從20世紀(jì)90年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個(gè)方向取得了長足的進(jìn)展。9/12/202211IDS的基本結(jié)構(gòu)目錄信息收集信息分析結(jié)果處理9/12/202212信息收集目錄IDS的基本結(jié)構(gòu) 入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為，這需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息，應(yīng)盡可能擴(kuò)大檢測范圍，因?yàn)閺囊粋€(gè)源來的信息有可能看不出疑點(diǎn)。 入侵檢測很大程度上

6、依賴于收集信息的可靠性和正確性。因此要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯(cuò)誤的信息 。4 之 19/12/202213信息來源目錄IDS的基本結(jié)構(gòu)系統(tǒng)/網(wǎng)絡(luò)的日志文件網(wǎng)絡(luò)流量系統(tǒng)目錄和文件的異常變化程序執(zhí)行中的異常行為4 之 29/12/202214日志文件目錄IDS的基本結(jié)構(gòu) 攻擊者常在系統(tǒng)和網(wǎng)絡(luò)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件。 日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動(dòng)”類型的日志，就包含登錄、用戶ID改變、用戶對(duì)文件的訪問、授權(quán)和認(rèn)證信息

7、等內(nèi)容。顯然，對(duì)用戶活動(dòng)來講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等 。4 之 39/12/202215系統(tǒng)目錄和文件的異常變化目錄IDS的基本結(jié)構(gòu) 網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。 目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號(hào)。 入侵者經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時(shí)為了隱藏系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡，都會(huì)盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件 。4 之 49/12/20221

8、6信息分析目錄IDS的基本結(jié)構(gòu)模式匹配統(tǒng)計(jì)分析完整性分析9/12/202217模式匹配目錄IDS的基本結(jié)構(gòu)信息分析 模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為 一般來講，一種攻擊模式可以用一個(gè)過程（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)限）來表示。該過程可以很簡單（如通過字符串匹配以尋找一個(gè)簡單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化）。9/12/202218統(tǒng)計(jì)分析目錄IDS的基本結(jié)構(gòu)信息分析 統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測量屬性（如訪問次數(shù)

9、、操作失敗次數(shù)和延時(shí)等）。 測量屬性的平均值和偏差將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。9/12/202219完整性分析目錄IDS的基本結(jié)構(gòu)信息分析 完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬性。 本方法在發(fā)現(xiàn)被更改的、被安裝木馬的應(yīng)用程序方面特別有效。9/12/202220結(jié)果處理目錄IDS的基本結(jié)構(gòu)彈出窗口報(bào)警E-mail通知切斷TCP連接執(zhí)行自定義程序與其他安全產(chǎn)品交互FirewallSNMP Trap9/12/202221IDS的分類目錄按照分析方法分按照數(shù)據(jù)來源分按系統(tǒng)各模塊的運(yùn)行方式分根據(jù)時(shí)效性分9/12

10、/202222按照分析方法分目錄IDS的分類 異常檢測IDS（Anomaly Detection ) 首先總結(jié)正常操作應(yīng)該具有的特征，當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。 誤用檢測IDS（Misuse Detection) 收集非正常操作的行為特征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。 9/12/202223異常檢測模型目錄IDS的分類按照分析方法分2 之 1網(wǎng)絡(luò)數(shù)據(jù)日志數(shù)據(jù)異常檢測入侵行為正常行為描述庫規(guī)則不匹配動(dòng)態(tài)產(chǎn)生新描述動(dòng)態(tài)更新描述9/12/202224特 點(diǎn)目錄IDS的分類按照分析方法分異常檢測系統(tǒng)的效率取決于用戶輪廓的

11、完備性和監(jiān)控的頻率；因?yàn)椴恍枰獙?duì)每種入侵行為進(jìn)行定義，因此能有效檢測未知的入侵；系統(tǒng)能針對(duì)用戶行為的改變進(jìn)行自我調(diào)整和優(yōu)化，但隨著檢測模型的逐步精確，異常檢測會(huì)消耗更多的系統(tǒng)資源；漏報(bào)率低，誤報(bào)率高。2 之 29/12/202225誤用檢測模型目錄IDS的分類按照分析方法分2 之 1網(wǎng)絡(luò)數(shù)據(jù)日志數(shù)據(jù)誤用檢測入侵行為攻擊模式描述庫規(guī)則匹配動(dòng)態(tài)產(chǎn)生新描述動(dòng)態(tài)更新描述9/12/202226特 點(diǎn)目錄IDS的分類按照分析方法分2 之 2 誤報(bào)率低，漏報(bào)率高。攻擊特征的細(xì)微變化，會(huì)使得誤用檢測無能為力。9/12/202227按照數(shù)據(jù)來源分目錄IDS的分類 基于主機(jī)的IDS（HIDS） 系統(tǒng)獲取數(shù)據(jù)的依據(jù)

12、是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)。 基于網(wǎng)絡(luò)的IDS（NIDS） 系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包，保護(hù)的是網(wǎng)絡(luò)的運(yùn)行。 混合型IDS 同時(shí)使用基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS，實(shí)現(xiàn)兩者優(yōu)勢互補(bǔ)。9/12/202228基于主機(jī)的IDS目錄IDS的分類按照數(shù)據(jù)來源分安裝于被保護(hù)的主機(jī)中主要分析主機(jī)內(nèi)部活動(dòng)系統(tǒng)日志應(yīng)用程序日志文件完整性檢查占用一定的系統(tǒng)資源4 之 19/12/202229工作過程示意圖目錄IDS的分類按照數(shù)據(jù)來源分Internet網(wǎng)絡(luò)服務(wù)器1客戶端網(wǎng)絡(luò)服務(wù)器2X檢測內(nèi)容： 系統(tǒng)調(diào)用、端口調(diào)用、系統(tǒng)日志、安全審記、應(yīng)用日志HIDSXHIDS4 之 29/12

13、/202230優(yōu) 點(diǎn)目錄IDS的分類按照數(shù)據(jù)來源分檢測準(zhǔn)確度較高；可以檢測到?jīng)]有明顯行為特征的入侵；能夠?qū)Σ煌僮飨到y(tǒng)進(jìn)行有針對(duì)性的檢測；成本較低；不會(huì)因網(wǎng)絡(luò)流量影響性能；適合加密和交換環(huán)境。4 之 39/12/202231缺 點(diǎn)目錄IDS的分類按照數(shù)據(jù)來源分4 之 4實(shí)時(shí)性較差；無法檢測數(shù)據(jù)包的全部；檢測效果取決于日志系統(tǒng)；占用主機(jī)資源；隱蔽性較差；如果入侵者能夠修改校驗(yàn)和，這種IDS將無法起到預(yù)期的作用。9/12/202232基于網(wǎng)絡(luò)的IDS目錄IDS的分類按照數(shù)據(jù)來源分安裝在被保護(hù)的網(wǎng)段中混雜模式監(jiān)聽分析網(wǎng)段中所有的數(shù)據(jù)包實(shí)時(shí)檢測和響應(yīng)操作系統(tǒng)無關(guān)性不會(huì)增加網(wǎng)絡(luò)中主機(jī)的負(fù)載4 之 19/

14、12/202233工作過程示意圖目錄IDS的分類按照數(shù)據(jù)來源分InternetNIDS網(wǎng)絡(luò)服務(wù)器1客戶端網(wǎng)絡(luò)服務(wù)器2X檢測內(nèi)容： 包頭信息+有效數(shù)據(jù)部分4 之 29/12/202234優(yōu) 點(diǎn)目錄IDS的分類按照數(shù)據(jù)來源分可以提供實(shí)時(shí)的網(wǎng)絡(luò)行為檢測；可以同時(shí)保護(hù)多臺(tái)網(wǎng)絡(luò)主機(jī)；具有良好的隱蔽性；有效保護(hù)入侵證據(jù)；不影響被保護(hù)主機(jī)的性能；操作系統(tǒng)無關(guān)性。4 之 39/12/202235缺 點(diǎn)目錄IDS的分類按照數(shù)據(jù)來源分防入侵欺騙的能力通常較差；在交換式網(wǎng)絡(luò)環(huán)境中難以配置；檢測性能受硬件條件限制；不能處理加密后的數(shù)據(jù)。4 之 49/12/202236混合型IDS目錄IDS的分類按照數(shù)據(jù)來源分 基于主

15、機(jī)的IDS和基于網(wǎng)絡(luò)的IDS都有著自身獨(dú)到的優(yōu)勢，而且在某些方面是很好的互補(bǔ)?；旌闲虸DS就是采用這兩者結(jié)合的入侵檢測系統(tǒng)，那將是汲取了各自的長處，又彌補(bǔ)了各自的不足的一種優(yōu)化設(shè)計(jì)方案。 通常這樣的系統(tǒng)一般為分布式結(jié)構(gòu)，由多個(gè)部件組成，它能同時(shí)分析來自主機(jī)系統(tǒng)的審計(jì)數(shù)據(jù)及來自網(wǎng)絡(luò)的數(shù)據(jù)通信流量信息。9/12/202237按系統(tǒng)各模塊的運(yùn)行方式分目錄IDS的分類 集中式IDS 在被保護(hù)網(wǎng)絡(luò)的各個(gè)網(wǎng)段中分別放置檢測器進(jìn)行數(shù)據(jù)包的搜集和分析，各個(gè)檢測器將檢測信息傳送到中央控制臺(tái)進(jìn)行統(tǒng)一處理，中央控制臺(tái)還會(huì)向各個(gè)檢測器發(fā)送命令。 分布式IDS 通常采用分布式智能代理的結(jié)構(gòu)，由一個(gè)或多個(gè)中央智能代理和大

16、量分布在網(wǎng)絡(luò)各處的本地代理組成。其中本地代理負(fù)責(zé)處理本地事件，中央代理負(fù)責(zé)調(diào)控各個(gè)本地代理的工作以及從整體上完成對(duì)網(wǎng)絡(luò)事件進(jìn)行綜合分析的工作。檢測工作通過全部代理互相協(xié)作共同完成。9/12/202238根據(jù)時(shí)效性分目錄IDS的分類脫機(jī)分析IDS 行為發(fā)生后，對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析。聯(lián)機(jī)分析IDS 在數(shù)據(jù)產(chǎn)生的同時(shí)或者發(fā)生改變時(shí)進(jìn)行分析。9/12/202239IDS的檢測技術(shù)目錄異常檢測技術(shù)誤用檢測技術(shù)其它檢測技術(shù)9/12/202240異常檢測技術(shù) 基于行為的檢測目錄IDS的檢測技術(shù)統(tǒng)計(jì)分析異常檢測貝葉斯推理異常檢測神經(jīng)網(wǎng)絡(luò)異常檢測模式預(yù)測異常檢測數(shù)據(jù)挖掘異常檢測機(jī)器學(xué)習(xí)異常檢測9/12/2022

17、41統(tǒng)計(jì)分析異常檢測目錄IDS的檢測技術(shù)異常檢測技術(shù) 首先對(duì)系統(tǒng)或用戶的行為按照一定的時(shí)間間隔進(jìn)行采樣，樣本的內(nèi)容包括每個(gè)會(huì)話的登錄、退出情況，CPU和內(nèi)存的占用情況，硬盤等存儲(chǔ)介質(zhì)的使用情況等。對(duì)每次采集到的樣本進(jìn)行計(jì)算，得出一系列的參數(shù)變量來對(duì)這些行為進(jìn)行描述，從而產(chǎn)生行為輪廓，將每次采樣后得到的行為輪廓與已有輪廓進(jìn)行合并，最終得到系統(tǒng)和用戶的正常行為輪廓。IDS通過將當(dāng)前采集到的行為輪廓與正常行為輪廓相比較，從而來檢測網(wǎng)絡(luò)是否被入侵。2 之 19/12/202242特 點(diǎn)目錄IDS的檢測技術(shù)異常檢測技術(shù)優(yōu)點(diǎn)所應(yīng)用的技術(shù)方法在統(tǒng)計(jì)學(xué)中已經(jīng)比較成熟。缺點(diǎn)異常閥值難以確定：閥值設(shè)置得偏低會(huì)產(chǎn)生

18、過多的誤檢，偏高會(huì)產(chǎn)生過多的漏檢。對(duì)事件發(fā)生的次序不敏感：可能會(huì)漏檢由先后發(fā)生的幾個(gè)關(guān)聯(lián)事件組成的入侵行為。對(duì)行為的檢測結(jié)果要么是異常，要么是正常，攻擊者可以利用這個(gè)弱點(diǎn)躲避IDS的檢測。2 之 29/12/202243神經(jīng)網(wǎng)絡(luò)異常檢測目錄IDS的檢測技術(shù)異常檢測技術(shù)3 之 1 基本思想：用一系列的信息單元（命令）訓(xùn)練神經(jīng)單元，這樣在給定一組輸入后，就可以預(yù)測輸出。 用于檢測的神經(jīng)網(wǎng)絡(luò)模塊結(jié)構(gòu)為：當(dāng)前命令和剛過去的w個(gè)命令組成了網(wǎng)絡(luò)的輸入，其中w是神經(jīng)網(wǎng)絡(luò)預(yù)測下一個(gè)命令時(shí)所包含的過去命令集的大小。根據(jù)用戶的代表性命令序列訓(xùn)練網(wǎng)絡(luò)后，該網(wǎng)絡(luò)就形成了相應(yīng)用戶的特征表，于是網(wǎng)絡(luò)對(duì)下一事件的預(yù)測錯(cuò)誤率

19、在一定程度上反映了用戶行為的異常程度。9/12/202244圖 示目錄IDS的檢測技術(shù)異常檢測技術(shù)3 之 29/12/202245特 點(diǎn)目錄IDS的檢測技術(shù)異常檢測技術(shù)優(yōu)點(diǎn)不需要對(duì)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)假設(shè)，能夠較好地處理原始數(shù)據(jù)的隨機(jī)性，并且能夠較好地處理干擾數(shù)據(jù)。缺點(diǎn)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和各元素的權(quán)重難以確定，必須經(jīng)過多次嘗試。W的大小難以確定：設(shè)置的小，則會(huì)影響輸出效果；設(shè)置的大，則由于神經(jīng)網(wǎng)絡(luò)要處理過多的無關(guān)數(shù)據(jù)而使效率下降。3 之 39/12/202246誤用檢測技術(shù) 基于知識(shí)的檢測目錄IDS的檢測技術(shù)專家系統(tǒng)誤用檢測特征分析誤用檢測模型推理誤用檢測條件概率誤用檢測鍵盤監(jiān)控誤用檢測9/12/2022

20、47專家系統(tǒng)誤用檢測目錄IDS的檢測技術(shù)誤用檢測技術(shù) 首先將安全專家的關(guān)于網(wǎng)絡(luò)入侵行為的知識(shí)表示成一些類似if-then的規(guī)則，并以這些規(guī)則為基礎(chǔ)建立專家知識(shí)庫。規(guī)則中的if部分說明形成網(wǎng)絡(luò)入侵的必需條件，then部分說明發(fā)現(xiàn)入侵后要實(shí)施的操作。IDS將網(wǎng)絡(luò)行為的審計(jì)數(shù)據(jù)事件進(jìn)行轉(zhuǎn)換，成為包含入侵警告程度的判斷事實(shí)，然后通過推理引擎進(jìn)行入侵檢測，當(dāng)if中的條件全部滿足或者在一定程度上滿足時(shí)，then中的動(dòng)作就會(huì)被執(zhí)行。2 之 19/12/202248特 點(diǎn)目錄IDS的檢測技術(shù)誤用檢測技術(shù)需要處理大量的審計(jì)數(shù)據(jù)并且依賴于審計(jì)追蹤的次序，在目前的條件下處理速度難以保證；對(duì)于各種網(wǎng)絡(luò)攻擊行為知識(shí)進(jìn)行

21、規(guī)則化描述的精度有待提高，審計(jì)數(shù)據(jù)有時(shí)不能提供足夠的檢測所需的信息；專家系統(tǒng)只能檢測出已發(fā)現(xiàn)的入侵行為，要檢測出新的入侵，必須及時(shí)添加新的規(guī)則，維護(hù)知識(shí)庫的工作量很大。2 之 29/12/202249特征分析誤用檢測目錄IDS的檢測技術(shù)誤用檢測技術(shù) 在商品化的IDS中本技術(shù)運(yùn)用較多。特征分析誤用檢測與專家系統(tǒng)誤用檢測一樣，也需要搜集關(guān)于網(wǎng)絡(luò)入侵行為的各種知識(shí)，不同的是：特征分析更直接地使用各種入侵知識(shí)，它將入侵行為表示成一個(gè)事件序列或者轉(zhuǎn)換成某種可以直接在網(wǎng)絡(luò)數(shù)據(jù)包審計(jì)記錄中找到的數(shù)據(jù)樣板，為不進(jìn)行規(guī)則轉(zhuǎn)換，這樣就可以直接從審計(jì)數(shù)據(jù)中提取相應(yīng)的數(shù)據(jù)與之匹配，因此不需處理大量的數(shù)據(jù)，從而提高了效

22、率。9/12/202250其它檢測技術(shù)目錄IDS的檢測技術(shù)遺傳算法免疫技術(shù)9/12/202251遺傳算法目錄IDS的檢測技術(shù)其它檢測技術(shù) 遺傳算法的基本原理是首先定義一組入侵檢測指令集，這些指令用于檢測出正?；虍惓５男袨?。指令中包含若干字符串，所有的指令在定義初期的檢測能力都很有限，IDS對(duì)這些指令逐步地進(jìn)行訓(xùn)練，促使指令中的字符串片段發(fā)生重組，以生成新的字符串指令。再從新的指令中經(jīng)過測試篩選出檢測能力最強(qiáng)的部分指令，對(duì)它們進(jìn)行下一輪的訓(xùn)練。如此反復(fù)，使檢測指令的檢測能力不斷提高，訓(xùn)練過程即可結(jié)束，此時(shí)這些指令已經(jīng)具備一定的檢測能力，IDS可以使用它們進(jìn)行網(wǎng)絡(luò)入侵檢測。目前對(duì)遺傳算法的研究還處

23、于實(shí)驗(yàn)階段。9/12/202252免疫技術(shù)目錄IDS的檢測技術(shù)其它檢測技術(shù) 免疫技術(shù)應(yīng)用了生物學(xué)中的免疫系統(tǒng)原理。處于網(wǎng)絡(luò)環(huán)境中的主機(jī)之所以受到入侵，是因?yàn)橹鳈C(jī)系統(tǒng)本身以及所運(yùn)行的應(yīng)用程序存在著各種脆弱性因素，網(wǎng)絡(luò)攻擊者正是利用這些漏洞侵入到主機(jī)系統(tǒng)中的；在生物系統(tǒng)中同樣存在著各種脆弱性因素，因此會(huì)受到病毒、病菌的攻擊。而生物體擁有免疫系統(tǒng)來負(fù)責(zé)檢測和抵御入侵，免疫機(jī)制包括特異性免疫和非特異性免疫。特異性免疫針對(duì)于特定的某種病毒，非特異性免疫可用于檢測和抵制以前從未體驗(yàn)過的入侵類型。入侵檢測免疫技術(shù)受免疫系統(tǒng)原理的啟發(fā)，通過學(xué)習(xí)分析已有行為的樣本來獲得識(shí)別不符合常規(guī)行為的能力。9/12/202

24、253IDS的設(shè)置目錄 IDS是網(wǎng)絡(luò)安全防御系統(tǒng)的重要組成部分。IDS的設(shè)置影響著IDS在整個(gè)網(wǎng)絡(luò)安全防御系統(tǒng)中的地位和重要程度。目前大部分的入侵檢測技術(shù)都需要對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行大量的分析運(yùn)算，在高速網(wǎng)絡(luò)中，一個(gè)不經(jīng)過配置的入侵檢測設(shè)備，在不進(jìn)行篩選和過濾的情況下，無法很好地完成對(duì)受保護(hù)網(wǎng)絡(luò)的有效檢測。3 之 19/12/202254IDS的設(shè)置步驟目錄確定入侵檢測需求設(shè)計(jì)IDS在網(wǎng)絡(luò)中的拓?fù)浣Y(jié)構(gòu)配置IDSIDS磨合IDS的使用和自調(diào)節(jié)3 之 29/12/202255設(shè)置步驟圖示目錄1.確定需求2.設(shè)計(jì)拓?fù)?.配置系統(tǒng)4.磨合調(diào)試5.使用系統(tǒng)確定安全需求完成系統(tǒng)配置實(shí)現(xiàn)拓?fù)淠ズ线_(dá)標(biāo)根據(jù)設(shè)計(jì)拓?fù)涓?/p>

25、變重新確定需求根據(jù)運(yùn)行結(jié)果調(diào)整相關(guān)參數(shù)網(wǎng)絡(luò)拓?fù)渥兏虬踩? 之 39/12/202256IDS的部署目錄基于網(wǎng)絡(luò)IDS的部署基于主機(jī)IDS的部署9/12/202257基于網(wǎng)絡(luò)IDS的部署目錄IDS的部署 基于網(wǎng)絡(luò)的IDS可以在網(wǎng)絡(luò)的多個(gè)位置進(jìn)行部署（這里的部署主要指對(duì)網(wǎng)絡(luò)入侵檢測器的部署）。根據(jù)檢測器部署位置的不同，IDS具有不同的工作特點(diǎn)。用戶需要根據(jù)自己的網(wǎng)絡(luò)環(huán)境以及安全需求進(jìn)行網(wǎng)絡(luò)部署，以達(dá)到預(yù)定的網(wǎng)絡(luò)安全需求。2 之 19/12/202258部署位置目錄IDS的部署Internet邊界路由器管理子網(wǎng)一般子網(wǎng)內(nèi)部WWW重點(diǎn)子網(wǎng)DMZ區(qū)域內(nèi)部工作子網(wǎng)部署一部署二部署三部署四2 之 29

26、/12/202259部署一：外網(wǎng)入口目錄IDS的部署部署位置 外網(wǎng)入口部署點(diǎn)位于防火墻之前，入侵檢測器在這個(gè)部署點(diǎn)可以檢測所有進(jìn)出防火墻外網(wǎng)口的數(shù)據(jù)，可以檢測到所有來自外部網(wǎng)絡(luò)的可能的攻擊行為并進(jìn)行記錄。2 之 19/12/202260特 點(diǎn)目錄IDS的部署部署位置優(yōu)點(diǎn)可以對(duì)針對(duì)目標(biāo)網(wǎng)絡(luò)的攻擊進(jìn)行計(jì)數(shù)，并記錄最為原始的攻擊數(shù)據(jù)包；可以記錄針對(duì)目標(biāo)網(wǎng)絡(luò)的攻擊類型。缺點(diǎn)由于入侵檢測器本身性能上的局限，該部署點(diǎn)的入侵檢測器目前的效果并不理想；對(duì)于進(jìn)行NAT的內(nèi)部網(wǎng)來說，入侵檢測器不能定位攻擊的源/目的地址，系統(tǒng)管理員在處理攻擊行為上存在一定的困難。2 之 29/12/202261部署二：內(nèi)網(wǎng)主干目錄

27、IDS的部署部署位置 內(nèi)網(wǎng)主干部署點(diǎn)是最常用的部署位置，在這里入侵檢測器主要檢測內(nèi)網(wǎng)流出和經(jīng)過防火墻過濾后流入內(nèi)網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)。在這個(gè)位置，入侵檢測器可以檢測所有通過防火墻進(jìn)入的攻擊以及內(nèi)部網(wǎng)向外部的不正常操作，并且可以準(zhǔn)確地定位攻擊的源和目的，方便系統(tǒng)管理員進(jìn)行針對(duì)性的網(wǎng)絡(luò)管理。2 之 19/12/202262特 點(diǎn)目錄IDS的部署部署位置優(yōu)點(diǎn)檢測大量的網(wǎng)絡(luò)通信提高了檢測攻擊的識(shí)別可能；檢測內(nèi)網(wǎng)可信用戶的越權(quán)行為；實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)信息的檢測。缺點(diǎn)入侵檢測器不能記錄下所有可能的入侵行為，因?yàn)橐呀?jīng)經(jīng)過防火墻的過濾。2 之 29/12/202263部署三：DMZ區(qū)目錄IDS的部署部署位置 DMZ區(qū)部署

28、點(diǎn)在DMZ區(qū)的總口上，這是入侵檢測器最常見的部署位置。在這里入侵檢測器可以檢測到所有針對(duì)用戶向外提供服務(wù)的服務(wù)器進(jìn)行攻擊的行為。對(duì)于用戶來說，防止對(duì)外服務(wù)的服務(wù)器受到攻擊是最為重要的。由于DMZ區(qū)中的各個(gè)服務(wù)器提供的服務(wù)有限，所以針對(duì)這些對(duì)外提供的服務(wù)進(jìn)行入侵檢測，可以使入侵檢測器發(fā)揮最大的優(yōu)勢，對(duì)進(jìn)出的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析。由于DMZ區(qū)中的服務(wù)器是外網(wǎng)可見的，因此在這里的入侵檢測也是最為需要的。2 之 19/12/202264特 點(diǎn)目錄IDS的部署部署位置優(yōu)點(diǎn)檢測來自外部的攻擊，這些攻擊已經(jīng)滲入過第一層防御體系；可以容易地檢測網(wǎng)絡(luò)防火墻的性能并找到配置策略中的問題；DMZ區(qū)通常放置的是對(duì)內(nèi)外提供服務(wù)的重要的服務(wù)設(shè)備，因此，所檢測的對(duì)象集中于關(guān)鍵的服務(wù)設(shè)備；即使進(jìn)入的攻擊行為不可識(shí)別，IDS經(jīng)過正確的配置也可以從被攻擊主機(jī)的反饋中獲得受到攻擊的信息。2 之 29/12/202265部署四：關(guān)鍵子網(wǎng)目錄IDS的部署部署位置 在內(nèi)部網(wǎng)中，總有一些子網(wǎng)因?yàn)榇嬖陉P(guān)鍵性數(shù)據(jù)和服務(wù)，需要更嚴(yán)格的管理，例如：資產(chǎn)管理子網(wǎng)、財(cái)務(wù)子網(wǎng)、員工檔案子網(wǎng)等，這些子網(wǎng)是整個(gè)網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵子網(wǎng)。通過對(duì)這些子網(wǎng)進(jìn)行安全檢測，