欢迎来到天天文库
浏览记录
ID:18945370
大小:979.50 KB
页数:86页
时间:2018-09-24
《入侵检测技术讲解图示课件_1》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第5讲入侵检测技术内容提要:入侵检测概述入侵检测的技术实现分布式入侵检测入侵检测系统的标准入侵检测系统示例本章小结5.1入侵检测概述定义入侵检测系统利用优化匹配模式和统计学技术把传统的电子数据处理(EDP)和安全审计技术结合起来,实现动态网络安全防护,是构成完整的现代网络安全系统的必要部分。入侵检测系统是防火墙的合理补充,通过主动防御来帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集并分析信息,查看网络中是否有违反安全策略的行为和遭到袭击的迹象。入
2、侵检测系统在不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护。返回本章首页发展一个阶段是安全审计审计定义为对系统中发生事件的记录和分析处理过程。与系统日志相比,审计更关注安全问题。根据美国国防部(DOD)“可信计算机系统评估标准”(TCSEC)橘皮书规定,审计机制(auditmechanism)应作为C2或C2以上安全级别的计算机系统必须具备的安全机制。其功能:记录系统被访问的过程以及系统保护机制的运行;发现试图绕过保护机制的行为;及时发现用户身份的变化;报告并阻碍绕过保护机制的行为并记录相关过程,为灾难恢复提供信息。198
3、0年4月,JamesP.Aderson为美国空军做了一份题为《ComputerSecurityThreatMonitoringandSurveillance》(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。Anderson还建议对用户行为进行统计分析,可以确定系统使用的不寻常模式,可能会找出隐藏着的黑客。这个已被验证了的建议是另一个入侵检测的里程碑,即IDES(入
4、侵检测专家系统)方案。5.1入侵检测概述发展第二个阶段是入侵检测系统的诞生1980年,Anderson在“计算机安全威胁的监察”报告中提出,必须改变现有的系统审计机制,为专职系统安全人员提供安全信息,被认为是有关IDS的最早论述。其中,他首先提出了入侵检测的概念,将入侵尝试(Intrusionattempt)或威胁(Threat)定义为:潜在的、有预谋的且未经授权而访问信息、操作信息、致使系统不可靠或无法使用的企图。Aderson提出审计追踪可应用于监视入侵威胁,但这一设想的重要性当时并未被理解。1987年,DorothyEDenning提出入侵检测系统的抽
5、象模型,首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出。与传统加密和访问控制的常用方法相比,入侵检测技术属于全新的计算机网络安全措施。5.1入侵检测概述返回本章首页(1)主体(subjects);在目标系统上活动的实体,如用户。(2)对象(objects):指系统资源,如文件、设备、命令等。(3)审计记录(Auditrecords):内主体、活动(Action)、异常条件(Exception—Condition)、资源使用状况(Resource—Usage)和时间戳(TimeStamp)等组成。其中活动是指主体对目标的操作。异常条件是指系统对主
6、体该活动的异常情况的报告。资源使用状况是指系统的资源消耗情况。(4)活动档案(ActiveProfile):即系统正常行为模型,保存系统正常活动的有关信息。在各种检测方法中其实现各不相同。在统计方法巾可以从事件数量、频度、资源消耗等方面度量。(5)异常记录(AnomalyRecord):由事件、时间戳和审计记录组成,表示异常事件的发生情况。(6)活动规则(ActiveRule):判断是否为入侵的推则及相应要采取的行动。一般采用系统正常活动模型为准则,根据专家系统或统计方法对审计记录进行分析处理,在发现入侵时采取相应的对策。5.1入侵检测概述返回本章首页198
7、8年,SRI/CSL的TeresaLunt等改进了Denning的入侵检测模型,并实际开发出了一个IDES。1988年TeresaLunt等人进一步改进了Denning提出的入侵检测模型,并实际开发了IDES(IntrusionDetectionExpertSystem),该系统用于检测单一主机的入侵尝试,提出了与系统平台无关的实时检测思想。该系统包括一个异常检测器和一个专家系统,分别用于统计异常模型的建立和基于规则的特征分析检测。1995年开发的NIDES(Next-GenerationIntrusionDetectionExpertSystem)作为ID
8、ES完善后的版本可以检测出多个主机上的入侵。返回本章
此文档下载收益归作者所有