电子工业出版社,《信息安全原理与应用》,2010.1©版权所有,引用请注明出处1信息安全信息安全入侵检测技术入侵检测技术本章由王昭主写本章由王昭主写电子工业出版社,《信息安全原理与应用》,2010.1©版权所有,引用请注明出处2讨论议题•入侵检测概述•入侵检测系统的功能组成•基于主机及基于网络的入侵检测系统•异常检测和误用检测•入侵检测的响应•入侵检测标准化工作电子工业出版社,《信息安全原理与应用》,2010.1©版权所有,引用请注明出处3主要的传统安全技术•加密•消息摘要、数字签名•身份鉴别:口令、鉴别交换协议、生物特征•访问控制•安全协议:IPsec、SSL•网络安全产品与技术:防火墙、VPN•内容控制:防病毒、内容过滤等•预防(prevention)、防护(protection)电子工业出版社,《信息安全原理与应用》,2010.1©版权所有,引用请注明出处4预防措施的局限性•预防性安全措施采用严格的访问控制和数据加密策略来防护,但在复杂系统中,这些策略是不充分的。这些措施都是以减慢交易为代价的。•大部分损失是由内部引起的–1999年CSI/FBI(Computersecurityinstitute/FederalBureauofInvestigation)指出,82%的损失是内部威胁造成的。电子工业出版社,《信息安全原理与应用》,2010.1©版权所有,引用请注明出处5信息安全两态论电子工业出版社,《信息安全原理与应用》,2010.1©版权所有,引用请注明出处6P2DR安全的关键•检测检测检测是静态防护转化为动态的关键检测是动态响应的依据检测是落实/强制执行安全策略的有力工具电子工业出版社,《信息安全原理与应用》,2010.1©版权所有,引用请注明出处7入侵检测的定义•NSTAC(NationalSecurityTelecommunicationsAdvisoryBoard,国家安全通信委员会)的IDSG(IntrusionDetectionSub-Group)是一个由美国总统特许的保护国家关键基础设施的小组。•IDSG1997年给出了如下定义:•入侵(Intrusion):对信息系统的非授权访问及(或)未经许可在信息系统中进行操作。•入侵检测(IntrusionDetection):对(网络)系统的运行状态进行监视,对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。电子工业出版社,《信息安全原理与应用》,2010.1©版权所有,引用请注明出处8入侵检测的起源和发展-11980年4月,JamesP.Anderson《ComputerSecurityThreatMonitoringandSurveillance》(计算机安全威胁监控与监视)•1980年Anderson提出:提出了精简审计的概念,风险和威胁分类方法•提出了利用审计跟踪数据监视入侵活动的思想这份报告被公认为是入侵检测的开创性工作。电子工业出版社,《信息安全原理与应用》,2010.1©版权所有,引用请注明出处9入侵检测的起源和发展-2•80年代,基于主机的入侵检测•1990,加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM(NetworkSecurityMonitor)•该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机•入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS•90年代,基于主机和基于网络入侵检测的集成电子工业出版社,《信息安全原理与应用》,2010.1©版权所有,引用请注明出处10讨论议题•入侵检测概述•入侵检测系统的功能组成•基于主机及基于网络的入侵检测系统•异常检测和误用检测•入侵检测的响应•入侵检测标准化工作电子工业出版社,《信息安全原理与应用》,2010.1©版权所有,引用请注明出处11IDS基本结构•进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS,IntrusionDetectionSystem)。•入侵检测是监测计算机网络和系统以发现违反安全策略事件的过程。简单地说,入侵检测系统包括三个功能部件:(1)信息收集(2)信息分析(3)结果处理电子工业出版社,《信息安全原理与应用》,2010.1©版权所有,引用请注明出处12信息收集•入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。•需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,–尽可能扩大检测范围–从一个源来的信息有可能看不出疑点电子工业出版社,《信...
