返回
最新入侵检测技术与实例(1)幻灯片.ppt

最新入侵检测技术与实例(1)幻灯片.ppt

ID:62263836

大小:891.50 KB

页数:80页

时间:2021-04-24

最新入侵检测技术与实例(1)幻灯片.ppt_第1页
最新入侵检测技术与实例(1)幻灯片.ppt_第2页
最新入侵检测技术与实例(1)幻灯片.ppt_第3页
最新入侵检测技术与实例(1)幻灯片.ppt_第4页
最新入侵检测技术与实例(1)幻灯片.ppt_第5页
资源描述:

《最新入侵检测技术与实例(1)幻灯片.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、入侵检测技术与实例(1)5.1入侵检测概述入侵检测技术研究最早可追溯到1980年JamesP.Aderson所写的一份技术报告,他首先提出了入侵检测的概念。1987年DorothyDenning提出了入侵检测系统(IDS,IntrusionDetectionSystem)的抽象模型(如图5-1所示),首次提出了入侵检测可作为一种计算机系统安全防御措施的概念,与传统的加密和访问控制技术相比,IDS是全新的计算机安全措施。返回本章首页返回本章首页近年来,入侵检测技术研究的主要创新有:Forrest等将免疫学原理运用于分布式入侵检测领域;1998年Ro

2、ssAnderson和AbidaKhattak将信息检索技术引进入侵检测;以及采用状态转换分析、数据挖掘和遗传算法等进行误用和异常检测。返回本章首页5.1.1入侵检测原理图5-2给出了入侵检测的基本原理图。入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动,采用误用检测(MisuseDetection)或异常检测(AnomalyDetection)的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。返回本章首页图5-2入侵检测原理框图返回本章首页入侵检测系统(

3、IntrusionDetectionSystem,IDS)就是执行入侵检测任务的硬件或软件产品。IDS通过实时的分析,检查特定的攻击模式、系统配置、系统漏洞、存在缺陷的程序版本以及系统或用户的行为模式,监控与安全有关的活动。一个基本的入侵检测系统需要解决两个问题:一是如何充分并可靠地提取描述行为特征的数据;二是如何根据特征数据,高效并准确地判定行为的性质。返回本章首页5.1.2系统结构由于网络环境和系统安全策略的差异,入侵检测系统在具体实现上也有所不同。从系统构成上看,入侵检测系统应包括事件提取、入侵分析、入侵响应和远程管理四大部分,另外还可能结

4、合安全知识库、数据存储等功能模块,提供更为完善的安全检测及数据分析功能(如图5-3所示)。返回本章首页图5-3入侵检测系统结构返回本章首页入侵检测的思想源于传统的系统审计,但拓宽了传统审计的概念,它以近乎不间断的方式进行安全检测,从而可形成一个连续的检测过程。这通常是通过执行下列任务来实现的:监视、分析用户及系统活动;系统构造和弱点的审计;识别分析知名攻击的行为特征并告警;异常行为特征的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。返回本章首页5.1.3系统分类由于功能和体系结构的复杂性,入侵检测

5、按照不同的标准有多种分类方法。可分别从数据源、检测理论、检测时效三个方面来描述入侵检测系统的类型。1.基于数据源的分类通常可以把入侵检测系统分为五类,即基于主机、基于网络、混合入侵检测、基于网关的入侵检测系统以及文件完整性检查系统。返回本章首页2.基于检测理论的分类从具体的检测理论上来说,入侵检测又可分为异常检测和误用检测。异常检测(AnomalyDetection)指根据使用者的行为或资源使用状况的正常程度来判断是否入侵,而不依赖于具体行为是否出现来检测。误用检测(MisuseDetection)指运用已知攻击方法,根据已定义好的入侵模式,通过

6、判断这些入侵模式是否出现来检测。返回本章首页3.基于检测时效的分类IDS在处理数据的时候可以采用实时在线检测方式,也可以采用批处理方式,定时对处理原始数据进行离线检测,这两种方法各有特点(如图5-5所示)。离线检测方式将一段时间内的数据存储起来,然后定时发给数据处理单元进行分析,如果在这段时间内有攻击发生就报警。在线检测方式的实时处理是大多数IDS所采用的办法,由于计算机硬件速度的提高,使得对攻击的实时检测和响应成为可能。返回本章首页返回本章首页5.2入侵检测的技术实现对于入侵检测的研究,从早期的审计跟踪数据分析,到实时入侵检测系统,到目前应用于

7、大型网络的分布式检测系统,基本上已发展成为具有一定规模和相应理论的研究领域。入侵检测的核心问题在于如何对安全审计数据进行分析,以检测其中是否包含入侵或异常行为的迹象。这里,我们先从误用检测和异常检测两个方面介绍当前关于入侵检测技术的主流技术实现,然后对其它类型的检测技术作简要介绍。返回本章首页5.2.1入侵检测分析模型分析是入侵检测的核心功能,它既能简单到像一个已熟悉日志情况的管理员去建立决策表,也能复杂得像一个集成了几百万个处理的非参数系统。入侵检测的分析处理过程可分为三个阶段:构建分析器;对实际现场数据进行分析;反馈和提炼过程。其中,前两个阶

8、段都包含三个功能:数据处理、数据分类(数据可分为入侵指示、非入侵指示或不确定)和后处理。返回本章首页5.2.2误用检测(MisuseDe

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。