信息安全导论 印润远 第7章 入侵检测

信息安全导论 印润远 第7章 入侵检测

ID:40239827

大小:1.86 MB

页数:127页

时间:2019-07-28

信息安全导论 印润远 第7章 入侵检测_第1页
信息安全导论 印润远 第7章 入侵检测_第2页
信息安全导论 印润远 第7章 入侵检测_第3页
信息安全导论 印润远 第7章 入侵检测_第4页
信息安全导论 印润远 第7章 入侵检测_第5页
资源描述:

《信息安全导论 印润远 第7章 入侵检测》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第7章入侵检测7.1入侵检测原理与技术7.2入侵检测的数学模型7.3入侵检测的特征分析和协议分析7.4入侵检测响应机制7.5绕过入侵检测的若干技术7.6入侵检测标准化工作思考题返回目录第7章入侵检测7.1入侵检测原理与技术7.1.1入侵检测的起源7.1.2入侵检测系统的需求特性7.1.3入侵检测原理7.1.4入侵检测分类7.1.5入侵检测现状返回本章首页第7章入侵检测7.1.1入侵检测的起源入侵检测的概念最早由Anderson在1980年提出,它提出了入侵检测系统的3种分类方法。Denning对Anderson的工作进行了扩展,它详细探讨了基于异常和误用检测方法的优缺点,于1987年提出了一种

2、通用的入侵检测模型。返回本节第7章入侵检测1.IDES原型系统更新主体活动规则集处理引擎异常行为活动简档时钟规则设计与修改历史活动状况创建审计记录学习新建活动状况提取规则第7章入侵检测2.IDES原型系统的组成(1)异常检测器异常检测器采用统计技术刻画异常行为,异常检测器对行为的渐变是自适应的。(2)专家系统专家系统采用基于规则的方法检测已知的危害行为。专家系统的引入能有效防止逐步改变的入侵行为,提高准确率。第7章入侵检测3.IDS的诞生1980年,Anderson在报告“ComputerSecurityThreatMonitoringandSurveillance”中提出必须改变现有的系统审

3、计机制,以便为专职系统安全人员提供安全信息,这是有关入侵检测的最早论述;1984~1986年DorothyDenning和PeterNeumann联合开发了一个实时入侵检测系统——IDES(IntrusionDetectionExpertSystem),IDES采用异常检测和专家系统的混合结构,第7章入侵检测Denning1986年的论文“AnIntrusionDetectionModel”亦被公认为入侵检测领域的另一篇开山之作;受Anderson和IDES的影响,在20世纪80年代出现了大量的原型系统如;AuditAnalysisProject、Discovery、}taystack、NSM

4、等;20世纪80年代后期出现商业化的IDS,如目前较有影响的公司ISS是在1994年成立的。返回本节第7章入侵检测7.1.2入侵检测系统的需求特性(1)实时性实时入侵检测可以避免管理员通过对系统日志进行审计以查找入侵者或入侵行为线索时的种种不便与技术限制。(2)可扩展性入侵检测系统必须能够在新的攻击类型出现时,可通过某种机制使系统能够检测到新的攻击行为。返回本节第7章入侵检测(3)适应性适应性包括:跨平台工作的能力,适应其宿主平台软、硬件配置的不同情况。(4)安全性与可用性不能向其宿主计算机系统以及其所属环境中引入新的安全问题及安全隐患。(5)有效性要求对于攻击事件的错报与漏报能够控制在一定范

5、围内。返回本节第7章入侵检测7.1.3入侵检测原理入侵检测系统根据识别采用的原理,可分为3种。1.异常检测进行异常检测(AnomalyDetection)的前提是认为入侵是异常活动的子集。当用户活动与正常行为有重大偏离时即被认为是入侵。返回本节第7章入侵检测(1)错报若系统错误地将异常活动定义为入侵,称为错报(falsepositive);(2)漏报若系统未能检测出真正的入侵行为则称为漏报(falsenegative)。第7章入侵检测(3)异常检测模型系统审计正常行为用户轮廓比较入侵低于阈值超过阈值第7章入侵检测(4)常见的异常检测方法统计异常检测;基于特征选择异常检测;基于贝叶斯推理异常检测

6、;基于贝叶斯网络异常检测;基于模式预测异常检测;基于神经网络异常检测;基于贝叶斯聚类异常检测;基于机器学习异常检测等。第7章入侵检测①概率统计方法概率统计方法是基于行为的入侵检测中应用最早也是最多的一种方法。首先,检测器根据用户对象的动作为每个用户都建立一个用户特征表,通过比较当前特征与已存储定型的以前特征,从而判断是否是异常行为。第7章入侵检测描述特征的变量类型有:操作密度:度量操作执行的速率,常用于检测通过长时间平均觉察不到的异常行为;审计记录分布:度量在最新纪录中所有操作类型的分布;范畴尺度:度量在一定动作范畴内特定操作的分布情况;数值尺度:度量那些产生数值结果的操作,如CPU使用量,I

7、/O使用量。第7章入侵检测②预测模式生成法使用该方法进行入侵检测的系统,利用动态的规则集来检测入侵。这些规则是由系统的归纳引擎,根据已发生的事件的情况来预测将来发生的事件的概率来产生的,归纳引擎为每一种事件设置可能发生的概率。归纳出来的规则一般可写成如下形式:E1,…,Ek:一(Ek+1,P(Ek+1)),…,(En,P(En))第7章入侵检测③神经网络方法利用神经网络检测入侵的基本思想是用一系列

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。