第9章入侵检测技术详解.ppt

版权所有，盗版必纠 第9章　入侵检测技术 李 剑 北京邮电大学信息安全中心 E-mail: lijian@bupt.edu.cn 电话：130概 述 入侵检测作为一种积极主动的安全技术，已成为维护网络安全的重要手段之一，并在网络安全中发挥着越来越重要的作用。本章主要介绍入侵检测的基本概念、组成、体系结构、检测技术、标准化问题和发展方向等。 目 录 第9章　入侵检测技术 9.1 入侵检测概述 9.2 入侵检测技术 9.3 IDS的标准化 9.4 入侵检测的发展 随着黑客攻击技术的日渐高明，暴露出来的系统漏洞也越来越多，传统的操作系统加固技术和防火墙隔离技术等都是静态的安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应，越来越不能满足现有系统对安全性的要求。网络安全需要纵深的、多层次的安全措施。 现今流行的防火墙技术的局限性主要表现在：第一，入侵者可寻找防火墙背后可能敞开的后门；第二，不能阻止内部攻击；第三，通常不能提供实时的入侵检测能力；第四，不能主动跟踪入侵者；第五，不能对病毒进行有效防护。 入侵检测技术作为近20多年来出现的一种积极主动的网络安全技术，是P2DR2模型的一个重要组成部分。与传统的加密和访问控制的常用安全方法相比，入侵检测系统（IDS）是全新的计算机安全措施。它不仅可以检测来自网络外部的入侵行为，同时也可以检测来自网络内部用户的未授权活动和误操作，有效地弥补了防火墙的不足，被称为防火墙之后的第二道安全闸门。此外，它在必要的时候还可以采取措施阻止入侵行为的进一步发生和破坏。因此，从网络安全立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视。 假如说防火墙是一幢大楼的门锁，那么入侵检测系统就是这幢大楼里的监视系统。门锁可以防止小偷进入大楼，但不能防止大楼内部个别人员的不良企图，并且一旦小偷绕过门锁进入大楼，门锁就没有任何作用了。网络系统中的入侵检测系统恰恰类似于大楼内的实时监视和报警装置，在安全监测中是十分必要的，它被视为防火墙之后的第二道安全闸门。 Anderson在早期的研究中曾用“威胁”表示入侵，并把它定义为：一种故意的、未授权的企图的潜在可能性，这些企图包括：访问信息、操纵信息、或使系统不可靠或不能用。事实上，“入侵”就是对系统安全策略的侵犯，它不仅包括发起攻击的人取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝服务访问（Denial of Service，DoS）等对计算机造成危害的行为。 入侵检测是从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种机制。入侵检测系统的英文缩写是IDS（Intrusion Detection System），它通过对网络及其上的系统进行监视，可以识别恶意的使用行为，并根据监视结果进行不同的安全动作，最大限度地降低可能的入侵危害。因为入侵行为不仅可以来自外部，同时也可来自内部用户的未授权活动。所以一个有效的入侵检测系统应当能够检测两种类型的入侵：来自外部世界的闯入和有知识的内部攻击者。 入侵检测系统基本上不具有访问控制的能力，它就像一个有着多年经验、熟悉各种入侵方式的网络侦察员，通过对数据包流的分析，可以从数据流中过滤出可疑数据包，通过与已知的入侵方式或正常使用方式进行比较，来确定入侵是否发生和入侵的类型并进行报警。网络管理员根据这些报警就可以确切地知道所受到的攻击并采取相应的措施。因此，可以说入侵检测系统是网络管理员经验积累的一种体现，它极大地减轻了网络管理员的负担，降低了对网络管理员的技术要求，提高了网络安全管理的效率和准确性。 对入侵检测的研究最早可以追溯到20世纪80年代。1980年，James Anderson在其著名的技术报告《Computer Security Threat Monitoring and Surveillance》（计算机安全威胁监控与监视）中首先提出了入侵检测的概念，他将入侵检测划分为外部闯入、内部授权用户的越权使用和滥用三种类型，并提出用审计追踪来监视入侵威胁。然而，这一设想在当时并没有引起人们的注意，入侵检测真正受到重视和快速发展还是在Internet兴起之后。 1986年，Denning提出了一个经典的入侵检测模型，如图9.1。他首次将入侵检测的概念作为一种计算机系统的安全防御措施提出。该模型由六个部分组成：主体、对象、审计记录、轮廓特征、异常记录、活动规则，它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个通用的框架。 1990年加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM（Network Security Moni