資源描述:
《黑客常用的系統(tǒng)攻擊方法》由會員上傳分享��,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫�。
1��、第八章入侵檢測技術(shù)7/22/2021本章主要內(nèi)容8.1入侵檢測概述8.2入侵檢測系統(tǒng)分類8.3入侵檢測在企業(yè)網(wǎng)中的應(yīng)用8.4入侵檢測系統(tǒng)目前存在的問題8.5入侵檢測的發(fā)展趨勢8.1入侵檢測概述為什么要用入侵檢測系統(tǒng)�����?什么是入侵行為��?什么是入侵檢測��?什么是入侵檢測系統(tǒng):入侵檢測系統(tǒng)工作原理入侵檢測系統(tǒng)的兩個性能指標(biāo)“防火墻”�����,是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法�,它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度��,它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)���,同時將你“不同意”的人和數(shù)據(jù)拒之門外����,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說�,
2、如果不通過防火墻�,公司內(nèi)部的人就無法訪問Internet,Internet上的人也無法和公司內(nèi)部的人進行通信�。為什么要用入侵檢測系統(tǒng)?為什么要用入侵檢測系統(tǒng)���?因此為確保網(wǎng)絡(luò)的安全��,就要對網(wǎng)絡(luò)內(nèi)部進行實時的檢測��,這就要用到IDS無時不在的防護���!防火墻的局限性(1)防火墻防外不防內(nèi)。(2)防火墻一般不提供對內(nèi)部的保護�。(3)防火墻不能防范不通過它的連接。(4)防火墻不能防備全部的威脅�。8.1入侵檢測概述為什么要用入侵檢測系統(tǒng)?什么是入侵行為����?什么是入侵檢測?什么是入侵檢測系統(tǒng):入侵檢測系統(tǒng)工作原理入侵檢測系統(tǒng)的兩個性能指標(biāo)入侵行為主要是指對系統(tǒng)資源的非授權(quán)使用,不僅包括發(fā)起攻擊的人取得超出
3�����、范圍的系統(tǒng)控制權(quán)�����,也包括收集漏洞信息���,造成拒絕訪問等對計算機造成危害的行為。什么是入侵(Intrusion)行為��?什么是入侵檢測���?入侵檢測是指通過從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息�,并分析這些信息����,從而發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。入侵檢測系統(tǒng)全稱為DetectionSystem���,縮寫為IDS����,可以是軟件,也可以是一種進行入侵檢測的軟件與硬件的組合���。與防火墻不同的是�,IDS是一個旁路監(jiān)聽設(shè)備�,無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。IDS的運行方式有兩種��,一種是在目標(biāo)主機上運行以監(jiān)測其本身的通信信息����,另一種是在一臺單獨的機器上運行以監(jiān)測所有網(wǎng)絡(luò)設(shè)備的
4、通信信息���,比如Hub�、路由器���。通常對IDS的部署的唯一要求是:IDS應(yīng)當(dāng)掛接在所有所關(guān)注的流量都必須流經(jīng)的鏈路上。在這里��,“所關(guān)注的流量”指的是來自高危網(wǎng)絡(luò)區(qū)域的訪問流量和需要進行統(tǒng)計�、監(jiān)視的網(wǎng)絡(luò)報文����。入侵檢測系統(tǒng)工作原理信息收集信息分析是否是攻擊Y記錄/報警N忽略收集流量的內(nèi)容����、用戶連接的狀態(tài)和行為通過模式匹配,統(tǒng)計分析和完整性分析三種手段進行分析記入日志實時報警一是漏報率����,指攻擊事件沒有被IDS檢測到,與其相對的是檢出率�;二是誤報率�����,指把正常事件識別為攻擊并報警����。誤報率與檢出率成正比例關(guān)系。誤報率檢出率100%100%入侵檢測系統(tǒng)的兩個性能指標(biāo)性能指標(biāo)計算公式:網(wǎng)絡(luò)中發(fā)生的真實的攻
5����、擊事件數(shù)量為M,IDS漏報的事件數(shù)量為N��,則漏報率=N/M*100%誤報率的計算方法很多,各種算法之間最大的不同都在分母的取值上���,目前比較常見的IDS誤報率的計算方法是:誤報率=存在誤報的事件數(shù)(X)/事件庫總量(N)*100%(其中某IDS的事件總是為N�����,存在誤報的事件數(shù)為X)例子:已知10個網(wǎng)絡(luò)事件��,其中6個正常事件����,4個攻擊事件�����;現(xiàn)有一入侵檢測系統(tǒng)檢測到5個攻擊事件的發(fā)生�,但其中有2個事件為正常事件被誤判作為攻擊事件,則:漏報率=[4-(5-2)]/4*100%=25%;檢出率=(5-2)/4*100%=75%����;誤報率=2/10*100%=20%。已知20個網(wǎng)絡(luò)事件�,其中15個正
6、常事件�����,5個攻擊事件;現(xiàn)有一入侵檢測系統(tǒng)檢測到6個攻擊事件的發(fā)生���,但其中有3個事件為正常事件被誤判作為攻擊事件�,則:漏報率=[5-(6-3)]/5*100%=40%;檢出率=(6-3)/5*100%=60%��;誤報率=3/20*100%=15%��?���;谥鳈C(Host-Based)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)(Network-Based)的入侵檢測系統(tǒng)分布式入侵檢測系統(tǒng)8.2入侵檢測系統(tǒng)分類8.2.1基于主機的IDS每臺主機上安裝一個入侵檢測代理主機型入侵檢測系統(tǒng)保護的是主機系統(tǒng)這種防護用以監(jiān)測系統(tǒng)上正在運行的進程是否合法基于主機的入侵檢測系統(tǒng)通常以系統(tǒng)日志、應(yīng)用程序日志等審計記錄文件作為數(shù)據(jù)源�。
7����、它是通過比較這些審計記錄文件的記錄與攻擊簽名(AttackSignature,指用一種特定的方式來表示已知的攻擊模式)以發(fā)現(xiàn)它們是否匹配�。如果匹配,檢測系統(tǒng)就向系統(tǒng)管理員發(fā)出入侵報警并采取相應(yīng)的行動����?��;谥鳈C的IDS可以精確地判斷入侵事件,并可對入侵事件作出立即反應(yīng)����。基于主機的IDS(1)能夠監(jiān)視特定的系統(tǒng)行為�。HIDS能夠監(jiān)視所有的用戶登錄和退出,甚至用戶所做的所有操作����,日志里記錄的審計系統(tǒng)策略的改變,關(guān)鍵系統(tǒng)文件和可執(zhí)行文件的改變等���。(2)
