入侵检测入侵

入侵检测入侵

ID:42135232

大小:346.60 KB

页数:8页

时间:2019-09-08

入侵检测入侵_第1页
入侵检测入侵_第2页
入侵检测入侵_第3页
入侵检测入侵_第4页
入侵检测入侵_第5页
资源描述:

《入侵检测入侵》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、策略:P2DR模型的核心内容。具体实施过程中,策略规定了系统所要达到的安全冃标和为达到目标所采取的各种安全措施及其实施强度。防护:具体包括制定安金管理规则、进行系统安金呢置T作及安装各种安金防护设备。检测必採取各种女全措施庇根据系统运行悄•况的变化,对系统安全进行实时的动态监控。响应:当发现了入侵活动或入侵结果后,需耍系统作出及时的反应并采取措施,其中包括记录入侵行为、通知管理员、阻断进一步的入侵活动以及恢复系统止常运行等。L入侵检测是对•企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程.通用入侵检测系统模型:知

2、识库配置信息检测器警报信息STAT系统的标准审计记录格式由-13个部分定义组成:〈Subject,—*1Action,Object),如下图控制器匚数据收集器控制动作审计数据等目标系统⑴数据收集器(又可称为探测器):主要负责收集数据。⑵检测器(又可称为分析器或检测引擎):负责分1析和检测入侵的任务,并发出警报信号。6⑶知识库:提供必要的数据信息支持。⑷控制器:根据警报信号,人工或自动做出反应动作us_ruidus_euidgidus_actionus_time(2]us_pidus_obnaineus_pcnmusown

3、erusgownerus_inodeusdevus_fsidus_targct真实用户1D有效用户ID用户如ID用户慄作矣型檢作时何戢进程1D^对象文件仿何权PR层上用户MIJM^i-node设昔号文件系统ID号冃标文件2、BSM安全审计子系统的主要概念包括审计日志.审计文件.审计记录和审计令牌等,其中审计日志由一个或多个审计文件组成,每个审计文件包含多个审计记录,而每个卅计记录则由一组审计令牌(audittoken)构成。3.从数据分析手段看,入侵检测通常可以分为滥用(misuse)入侵检测和异常(anomaly)入侵

4、检测。3.主机入侵检测所要进行的主要工作就是市计数据的预处理工作,包括映射.过滤和格式转换等操作。预处理工作的必要性体现在以下儿个方而。①有利于系统在不同FI标平台系统Z间的移植;便于后继的处理模块进行检测工作。②需要对审计记录流进行必要的映射和过滤等操作。5系统日志的安全性与操作系统的审计记录比较而言,要差一些,其原因如下:⑴产生系统H志的软件通常是在内核外运行的应川程序.因而这些软件容易受到恶意的修改或攻击。⑵系统日志通常是存储在普通的不受保护的文件H录里,容易受到恶意的杀改和删除等操作6•应用程序日志优点:是川户级

5、别的系统活动抽象信息,所以更加容易理解和处理。导致入侵攻击行为的LI标越來越集屮于提供网络服务的乞种特定应用程序。缺点:应用程序的日志信息更易遭到恶意攻击,包括杀改和删除等操作。很多特定应用程序中并不包括一些审计特性,或是审计功能并没冇提供足够详细信息。等7.Web服务器支持两种日志文件:①通用日志格式(CommonLogFormat,CLF)。②扩展日志文件格式(ExtendedLogFileFormatELFF)。&带外(OutofBand)数据源是指山人工方式提供的数据信息,如人工所记录下的各种类型的系统事件和相关

6、信息等,包括硕件错误信息、系统配置信息拓扑结构和各种口然危害事件9•从数据来源看,入侵检测通常可以分为两类:基丁•主机的入侵检测和基丁•网络的入侵检测基于主机的入侵检测通常从主机的审计记录和日,忐文件中获得所需的主要数据源,并辅Z以主机上的其他信息,在此基础上完成检测攻击行为的任务。基于网络的入侵检测通过监听网络屮的数据包來获得必要的数据來源,并通过协议分析.特征匹配.统计分析等于段发现当前发生的攻击行为。滥用入侵检测利用这些特征集合或者是对应的规则集合,对当前的数据來源进行各种处理后,再进行特征匹配或者规则匹配工作,如

7、果发现满足条件的匹配,则指示发生了一次攻击行为。异常入侵检测的假设条件是对攻击行为的检测町以通过观察当前活动与系统历史正常活动悄况之间的差异來实现。10.审计数据的获取质量和数量,决定了主机入侵检测工作的有效程度。审计数据的获取工作主要需要考虑下列问题。①确定审计数据的來源和类型。②审计数据的预处理工作,其中包括记录标准格式的设计、过滤和映射操作等。③审计数据的获取方式,包括市计数据获取模块的结构设计和传输协议等。IKIDES在SunUNIX§标系统环境下所收集到的审计数据,主要分为4个典型类型。①文件访问:包括对文件和

8、目录进行的操作,如读取、写入、创建、删除和访问控制列表的修改。②系统访问:包括登录、退出.调用以及终止超级用户权限等。③资源消耗:包括CPU、1/0和内存的使用情况。④进程创建命令的调用:指示一个进程的创建。12审计数据获取模块的主要作用是获取H标系统的审计数据,并经过预处理工作后,最终目标是为入侵检测的处理模块提供

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。