返回
网络安全原理与应用(第二版)戚文静 第7章 入侵检测技术新

网络安全原理与应用(第二版)戚文静 第7章 入侵检测技术新

ID:17092803

大小:434.50 KB

页数:20页

时间:2018-08-27

网络安全原理与应用(第二版)戚文静 第7章 入侵检测技术新_第1页
网络安全原理与应用(第二版)戚文静 第7章 入侵检测技术新_第2页
网络安全原理与应用(第二版)戚文静 第7章 入侵检测技术新_第3页
网络安全原理与应用(第二版)戚文静 第7章 入侵检测技术新_第4页
网络安全原理与应用(第二版)戚文静 第7章 入侵检测技术新_第5页
资源描述:

《网络安全原理与应用(第二版)戚文静 第7章 入侵检测技术新》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第7章入侵检测技术学习目标l入侵检测的概念l入侵检测技术l入侵检测系统的组成及原理l入侵检测工具的使用7.1入侵检测概述7.1.1.概念入侵检测(IntrusionDetection),顾名思义,即是对入侵行为的发觉。它在计算机网络或计算机系统中的若干关键点收集信息,通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem,简称IDS)。与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须能将得到的数据进行分析,并得出有用

2、的结果。早期的IDS模型设计用来监控单一服务器,是基于主机的入侵检测系统;近期的更多模型则集中用于监控通过网络互连的多个服务器,7.1.2.IDS的任务和作用u监视、分析用户及系统活动;u对系统构造和弱点的审计;u识别和反应已知进攻的活动模式并向相关人士报警;u异常行为模式的统计分析;u评估重要系统和数据文件的完整性;u操作系统的审计跟踪管理,识别用户违反安全策略的行为。7.1.3入侵检测过程信息收集(1)系统和网络日志文件(2)目录和文件中的不期望的改变(3)程序执行中的不期望行为(4)物理形式的入侵信息2.信号分析(1)模式匹配:(2)统计

3、分析(3)完整性分析(1)模式匹配的方法:模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。这种分析方法也称为误用检测。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升

4、级模式库以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。(2)统计分析的方法:统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。这种分析方法也称为异常检测。例如,统计分析时发现一个在晚八点至早六点从不登录的账户却在凌晨两点突然试图登录,系统认为该行为是异常行为。统计分析的优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适

5、应用户正常行为的突然改变。具体的统计分析方法有:基于专家系统的、基于模型推理的和基于神经网络的分析方法。(3)完整性分析的方法:完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性的变化。完整性分析在发现被更改的、被特洛伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制(如:消息摘要函数),能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。尽管如此,完整性检测方法还是网络安全产品的重

6、要组成部分。可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。7.2入侵检测系统7.2.1入侵检测系统的分类按照入侵检测系统的数据来源划分(1)基于主机的入侵检测系统(2)基于网络的入侵检测系统(3)采用上述两种数据来源的分布式的入侵检测系统2.按照入侵检测系统采用的检测方法来分类(1)基于行为的入侵检测系统:(2)基于模型推理的入侵检测系统:(3)采用两者混合检测的入侵检测系统:3.按照入侵检测的时间的分类(1)实时入侵检测系统:(2)事后入侵检测系统:7.2.2基于主机的入侵检测系统这种类型的系统依赖于审计数据或

7、系统日志的准确性、完整性以及安全事件的定义。若入侵者设法逃避审计或进行合作入侵,则基于主机的检测系统的弱点就暴露出来了。特别是在现代的网络环境下,单独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。这主要表现在以下四个方面:一是主机的审计信息弱点,如易受攻击,入侵者可通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。二是不能通过分析主机审计记录来检测网络攻击。三是IDS的运行或多或少影响服务器性能。四是基于主机的IDS只能对服务器的特定用户、应用程序执行动作、日志进行检测,所能检测到的攻击类型受到限制。7.2.3基于网络的入侵检

8、测系统基于网络的IDS的优点是:(1)服务器平台独立:基于网络的IDS监视通信流量而不影响服务器平台的变化和更新。(2)配置简单:基于网络的IDS环境

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。