第11章 入侵检测技术

第11章 入侵检测技术

ID:39674373

大小:188.00 KB

页数:57页

时间:2019-07-09

第11章 入侵检测技术_第1页
第11章 入侵检测技术_第2页
第11章 入侵检测技术_第3页
第11章 入侵检测技术_第4页
第11章 入侵检测技术_第5页
资源描述:

《第11章 入侵检测技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、入侵检测技术设计:徐国庆张瑞琪前言入侵检测(IntrusionDetection)是对入侵行为的发觉。它从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测的软/硬件组合体称为入侵监测系统(IDS)。11.1入侵检测原理与技术入侵检测起源入侵检测系统的需求特性入侵检测原理入侵检测分类入侵检测现状11.1.1入侵检测起源1980年,概念的诞生1984~1986年,模型的发展1990年,形成网络IDS和主机IDS两大阵营九十年代后至今,百家争鸣、繁荣昌盛IDES原型系统学习异常行为活动简档主体活动规

2、则集处理引擎时钟审计记录规则设计与修改新建活动状况提取规则创建更新历史活动状况11.1.2入侵检测系统的需求特性实时性可扩展性适应性安全性与可用性有效性11.1.3入侵检测原理异常检测误用检测特征检测异常检测进行异常检测的前提是人为入侵时异常活动的子集。异常检测系统通过运行在系统或应用层的监控程序监控用户的行为,通过将当前主题的活动情况和用户轮廓进行比较。用户轮廓通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围。当和用户活动与正常行为有重大偏离时即被认为是入侵。如果系统错误的将异常行为定义为入侵,称为错报;如果系统未能检测出真正的入侵行为则成为漏报。异

3、常监测系统的效率取决于用户轮廓的完备性和监控的频率。异常检测根据异常行为和使用计算机资源的情况检测出入侵行为,试图用定量的方式描述可以接受的行为特征,以区分非正常的、潜在的入侵行为。建立主体正常活动的“行为模型”或轮廓。进行检测时,将当前主体活动状况与“行为模型”比较,发生显著偏离时则认为该活动可能是入侵行为。异常检测系统审计用户轮廓正常行为入侵低于阀值超过阀值比较异常检测工作过程首先收集一段时期正常操作活动的历史记录,再建立代表用户、主机或网络连接的正常行为轮廓;然后收集事件数据并使用一些不同的方法来决定所检测到的事件活动是否偏离了正常行为模式其难点在于如何建

4、立“行为模型”以及如何设计统计方法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。异常检测常用的方法和技术统计异常检测基于特征选择异常检测基于贝叶斯推理异常检测基于贝叶斯网络异常检测基于模式预测异常检测基于神经网络异常检测基于贝叶斯聚类异常检测基于机器学习异常检测误用检测进行误用检测的前提是所有的入侵行为都有可被检测到的特征。误用检测系统提供攻击特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为时入侵。如果入侵特征与正常的用户行为匹配,则系统会发生错报;如果没有特征能与某种新的攻击行为匹配,则系统会发生漏报。误用检测系统审计攻击特征

5、库正常形成入侵不匹配匹配比较误用检测误用检测也被称为基于知识的检测或特征检测;通过对比已知攻击手段及系统漏洞的模式特征来判断系统中是否有入侵发生。具体说,根据静态的、预先定义好的模式集合来过滤数据流,一旦发现数据包特征与某个模式特征相匹配,则认为是一次入侵。可以将已有的入侵方式检测出来,但对新的入侵方式无能为力。误用检测常用的检测方法和技术-基于条件的概率误用检测方法-基于专家系统的误用检测方法-基于状态迁移分析误用检测方法-基于键盘监控误用检测方法-基于模型误用检测方法特征检测特征检测关注的是系统本身的行为。定义系统行为轮廓,并将系统行为与轮廓进行比较,对未指

6、明为正常行为的事件定义为入侵。特征检测系统常采用某种特征语言定义系统的安全策略。这种检测方法的错报与行为特征定义准确度有关,当系统特征不能囊括所有的状态时就会产生漏报。特征检测最大的优点是可以通过提高行为特征定义的准确度和覆盖范围,大幅度降级漏报和错报率;最大的不足是要求严格定义安全策略,这需要经验和技巧,另外为了维护动态系统的特征库通常是很耗时的事情。11.1.4入侵检测分类基于主机的入侵检测系统基于网络的入侵检测系统基于主机的入侵检测系统系统安装在主机上面,对本主机进行安全检测通过监视与分析主机的审计记录检测入侵。这些系统的实现不全在目标主机上,有一些采用独

7、立的外围处理机。另外NIDES使用网络将主机信息传到中央处理单元。但它们全部是根据目标系统的审计记录工作。能否及时采集到审计记录是这些系统的难点之一,从而有的入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。基于主机的入侵检测系统审计记录数据库目标系统审计记录预处理误用检测审计记录收集方法审计记录数据归档/查询异常检测安全管理员接口审计记录基于主机的入侵检测系统优点性能价格比高细腻性,审计内容全面视野集中适用于加密及交换环境基于主机的入侵检测系统缺点额外产生的安全问题依赖性强如果主机数目多,代价过大不能监控网络上的情况基于网络的入侵检测系统系统安装在比较重

8、要的网段内通过在共享网段

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。