第八章入侵检测技术10/24/24.本章主要内容8.1入侵检测概述8.2入侵检测系统分类8.3入侵检测在企业网中的应用8.4入侵检测系统目前存在的问题8.5入侵检测的发展趋势.8.1入侵检测概述为什么要用入侵检测系统?什么是入侵行为?什么是入侵检测?什么是入侵检测系统:入侵检测系统工作原理入侵检测系统的两个性能指标.“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。为什么要用入侵检测系统?.为什么要用入侵检测系统?因此为确保网络的安全,就要对网络内部进行实时的检测,这就要用到IDS无时不在的防护!防火墙的局限性(1)防火墙防外不防内。(2)防火墙一般不提供对内部的保护。(3)防火墙不能防范不通过它的连接。(4)防火墙不能防备全部的威胁。.8.1入侵检测概述为什么要用入侵检测系统?什么是入侵行为?什么是入侵检测?什么是入侵检测系统:入侵检测系统工作原理入侵检测系统的两个性能指标.入侵行为主要是指对系统资源的非授权使用,不仅包括发起攻击的人取得超出范围的系统控制权,也包括收集漏洞信息,造成拒绝访问等对计算机造成危害的行为。什么是入侵(Intrusion)行为?.什么是入侵检测?入侵检测是指通过从计算机网络系统中的若干关键点收集信息,并分析这些信息,从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。入侵检测系统全称为DetectionSystem,缩写为IDS,可以是软件,也可以是一种进行入侵检测的软件与硬件的组合。..与防火墙不同的是,IDS是一个旁路监听设备,无须网络流量流经它便可以工作。IDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的通信信息,比如Hub、路由器。通常对IDS的部署的唯一要求是:IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里,“所关注的流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。.入侵检测系统工作原理信息收集信息分析是否是攻击Y记录/报警N忽略收集流量的内容、用户连接的状态和行为通过模式匹配,统计分析和完整性分析三种手段进行分析记入日志实时报警.一是漏报率,指攻击事件没有被IDS检测到,与其相对的是检出率;二是误报率,指把正常事件识别为攻击并报警。误报率与检出率成正比例关系。误报率检出率100%100%入侵检测系统的两个性能指标.性能指标计算公式:网络中发生的真实的攻击事件数量为M,IDS漏报的事件数量为N,则漏报率=N/M*100%误报率的计算方法很多,各种算法之间最大的不同都在分母的取值上,目前比较常见的IDS误报率的计算方法是:误报率=存在误报的事件数(X)/事件库总量(N)*100%(其中某IDS的事件总是为N,存在误报的事件数为X).例子:已知10个网络事件,其中6个正常事件,4个攻击事件;现有一入侵检测系统检测到5个攻击事件的发生,但其中有2个事件为正常事件被误判作为攻击事件,则:漏报率=[4-(5-2)]/4*100%=25%;检出率=(5-2)/4*100%=75%;误报率=2/10*100%=20%。已知20个网络事件,其中15个正常事件,5个攻击事件;现有一入侵检测系统检测到6个攻击事件的发生,但其中有3个事件为正常事件被误判作为攻击事件,则:漏报率=[5-(6-3)]/5*100%=40%;检出率=(6-3)/5*100%=60%;误报率=3/20*100%=15%。.基于主机(Host-Based)的入侵检测系统基于网络(Network-Based)的入侵检测系统分布式入侵检测系统8.2入侵检测系统分类.8.2.1基于主机的IDS防火墙代理代理代理主机IDS邮件服务器WWW服务器域名服务器每台主机上安装一个入侵检测代理主机型入侵检测系统保护的是主机系统这种防护用以监测系统上正在运行的进程是否合法.基于主机的入侵检测系统...
