欢迎来到天天文库
浏览记录
ID:39833921
大小:514.10 KB
页数:37页
时间:2019-07-12
《信息安全技术第6章入侵检测系统》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第6章入侵检测系统本章概要本章针对入侵检测系统展开详尽的描述:入侵检测系统的概念;入侵检测系统的主要技术;入侵检测系统的类型;入侵检测系统的优缺点;入侵检测系统的部署方式。2课程目标通过本章的学习,读者应能够:了解入侵检测系统工作基本原理;了解入侵检测系统在整个安全防护体系中的作用;掌握入侵检测系统的部署方式。36.1入侵检测系统的概念当前,平均每20秒就发生一次入侵计算机网络的事件,超过1/3的互联网防火墙被攻破!面对接二连三的安全问题,人们不禁要问:到底是安全问题本身太复杂,以至于不可能被彻底解决,还是仍然可以有更大的改善,只不过我
2、们所采取安全措施中缺少了某些重要的环节。有关数据表明,后一种解释更说明问题。有权威机构做过入侵行为统计,发现有80%来自于网络内部,也就是说,“堡垒”是从内部被攻破的。另外,在相当一部分黑客攻击中,黑客都能轻易地绕过防火墙而攻击网站服务器。这就使人们认识到:仅靠防火墙仍然远远不能将“不速之客”拒之门外,还必须借助于一个“补救”环节——入侵检测系统。46.1.1什么是入侵检测系统?入侵检测系统(Intrusiondetetionsystem,简称IDS)是指监视(或者在可能的情况下阻止)入侵或者试图控制你的系统或者网络资源的行为的系统。作
3、为分层安全中日益被越普遍采用的成分,入侵检测系统能有效地提升黑客进入网络系统的门槛。入侵检测系统能够通过向管理员发出入侵或者入侵企图来加强当前的存取控制系统,例如防火墙;识别防火墙通常不能识别的攻击,如来自企业内部的攻击;在发现入侵企图之后提供必要的信息。5入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干个关键点收集信息,并分析这些信息,检测网络中是否有违反安全策略的行为和遭到袭击的迹象。它的作用是监控网络和
4、计算机系统是否出现被入侵或滥用的征兆。作为监控和识别攻击的标准解决方案,IDS系统已经成为安防体系的重要组成部分。IDS系统以后台进程的形式运行。发现可疑情况,立即通知有关人员。6防火墙为网络提供了第一道防线,入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。由于入侵检测系统是防火墙后的又一道防线,从而可以极大地减少网络免受各种攻击的损害。假如说防火墙是一幢大楼的门锁,那入侵检测系统就是这幢大楼里的监视系统。门锁可以防止小偷进入大楼,但不能保证小偷100%
5、地被拒之门外,更不能防止大楼内部个别人员的不良企图。而一旦小偷爬窗进入大楼,或内部人员有越界行为,门锁就没有任何作用了,这时,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来的入侵者,同时也针对内部的入侵行为。76.1.2入侵检测系统的特点对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,它应该具有管理方便、配置简单的特性,从而使非专业人员非常容易地管理网络安全。而且,入侵检测的规模还应根据网络威胁、系统构造和
6、安全需求的改变而改变。入侵检测系统在发现入侵后,会及时做出响应,包括切断网络连接、记录事件和报警等。因此,一个好的入侵检测系统应具有如下特点:8a.不需要人工干预即可不间断地运行。b.有容错功能。即使系统发生了崩溃,也不会丢失数据,或者在系统重新启动时重建自己的知识库。c.不需要占用大量的系统资源。d.能够发现异于正常行为的操作。如果某个IDS系统使系统由“跑”变成了“爬”,就不要考虑使用。9e.能够适应系统行为的长期变化。例如系统中增加了一个新的应用软件,系统写照就会发生变化,IDS必须能适应这种变化。f.判断准确。相当强的坚固性,防
7、止被篡改而收集到错误的信息。g.灵活定制。解决方案必须能够满足用户要求。h.保持领先。能及时升级。106.1.3入侵行为的误判入侵行为判断的准确性是衡量IDS是否高效的重要技术指标,因为,IDS系统很容易出现判断失误,这些判断失误分为:正误判、负误判和失控误判三类。1.正误判(falsepositive)概念:把一个合法操作判断为异常行为。特点:导致用户不理会IDS的报警,类似于“狼来了”的后果,使得用户逐渐对IDS的报警淡漠起来,这种“淡漠”非常危险,将使IDS形同虚设。112.负误判(fasenegative)概念:把一个攻击动作判
8、断为非攻击行为,并允许其通过检测。特点:背离了安全防护的宗旨,IDS系统成为例行公事,后果十分严重。3.失控误判(subversion)概念:攻击者修改了IDS系统的操作,使它总是出现负误判的情况。特点:不
此文档下载收益归作者所有