入侵检测概述
网络安全基本概念
计算机网络的功能作用是:
-
提供计算机的连通性服务
-
资源共享
计算机网络系统的安全威胁主要来自于3个方面:
-
黑客(Hacker)的攻击
-
计算机病毒(Virus)
-
拒绝服务攻击(Denies Of Service, DOS)
网络安全的实质
- 保障系统中的人、设备、设施、软件、数据以及各种供给品等要素免遭各种偶然的或人为的破坏或攻击,使它们发挥正常,保障系统能安全可靠地工作 。
- 为了提高网络系统的安全性,需要从多个层次和环节入手,分别分析应用系统、宿主机、操作系统、数据库管理系统、网络管理系统、子网、分布式计算机系统和全网中的弱点,采取措施加以防范。
- 了解网络系统受到的威胁及胞弱性;
- 开发和实施成效的安全策略,减少风险;
- 制定应急计划
- 完备的安全管理措施等
入侵检测的产生与发展
网络系统的安全对策与入侵检测
入侵检测是最近10余年发展起来的一种动态的监控、预防或抵御系统入侵行为的安全机制。主要通过监控网络、系统的状态、行为以及系统的使用情况,来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。
防火墙
一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为
防火墙不能防止通向站点的后门;一般不提供对内部的保护;无法防范数据驱动型的攻击;不能防止用户由Internet上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输。为确保网络的安全,就必须对网络内部进行实时的检测,这就需要IDS无时不在的防护
网络安全的P2DR模型与入侵检测
-
Policy(安全策略)
-
Protection(防护)
-
Detection(检测)
-
Response(响应)
- 所有的环节(防护、检测、响应)都是围绕安全策略展开的;安全策略是P2DR模型的核心。
- PDR模型强调网络安全的动态性,P2DR在PDR模型的基础上,更强调管理因素。
入侵检测的早期研究
- 主机审计(入侵检测技术的起源)
- 出现在入侵检测技术之前
- 定义
- 产生、记录并检查按照时间顺序排列的系统事件记录的过程。
- 主要目的
- 在早期(贵)的中央主机集中计算的环境之下,主机审计的是统计用户的上机时间,便于进行计费管理。
- 随着计算机的普及,审计的用途扩展到跟踪记录计算机系统的资源使用情况
- 主机审计开始应用于追踪调查计算机系统中用户的不正当使用行为的目的
主机和网络IDS的集成
- 分布式入侵检测系统(DIDS)最早试图把基于主机的方法和网络监视方法集成在一起。
- DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
入侵检测的基本概念
-
入侵:是指任何试图危及计算机资源的完整性、机密性或可用性的行为。
-
入侵检测:对入侵行为的发觉。它通过从计算机网络或系统中的若干关键点收集信息,并对这些信息进行分析,从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。
-
入侵检测系统:进行入侵检测的软件与硬件的组合便是入侵检测系统(简称IDS)。
入侵检测的作用
-
监控、分析用户和系统的活动
-
审计系统的配置和弱点
-
评估关键系统和数据文件的完整性
-
识别攻击的活动模式
-
对异常活动进行统计分析
-
对操作系统进行审计跟踪管理,识别违反政策的用户活动
入侵检测的优点
-
提高信息安全构造的其他部分的完整性
-
提高系统的监控
-
从入口点到出口点跟踪用户的活动
-
识别和汇报数据文件的变化
-
侦测系统配置错误并纠正他们
-
识别特殊攻击类型,并向管理人员发出警报,进行防御
入侵检测的缺点
-
不能弥补差的认证机制
-
如果没有人的干预,不能管理攻击调查
-
不能知道安全策略的内容
-
不能弥补网络协议上的弱点
-
不能弥补系统提供质量或完整性的问题
-
不能分析一个堵塞的网络
-
不能处理有关packet-level的攻击