返回
《入侵检测技术 》ppt课件

《入侵检测技术 》ppt课件

ID:26903611

大小:784.01 KB

页数:28页

时间:2018-11-29

《入侵检测技术 》ppt课件_第1页
《入侵检测技术 》ppt课件_第2页
《入侵检测技术 》ppt课件_第3页
《入侵检测技术 》ppt课件_第4页
《入侵检测技术 》ppt课件_第5页
资源描述:

《《入侵检测技术 》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第18讲入侵检测技术主讲:贾忠田入侵检测系统的概念入侵检测系统1DS(IntrusionDetectionSystem)指的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。主要产品SnortNFReTrustBlackICECisco公司的NetRangerNetworkAssociates公司的CyberCopInternetSecuritySystem公司的RealSecureIntrusionDetection公司的KaneSecurityMonitorAxentTechnologies公司的OmniG

2、uard/IntruderAlert中科网威的“天眼”入侵检测系统启明星辰的SkyBell(天阗)入侵检测系统选购原则(1)产品的攻击检测数量为多少?是否支持升级?(2)对于网络入侵检测系统,最大可处理流量(PPS)是多少?(3)产品容易被攻击者躲避吗?(4)能否自定义异常事件?(5)产品系统结构是否合理?(6)产品的误报和漏报率如何?(7)系统本身是否安全?(8)产品实时监控性能如何?(9)系统是否易用?(包括:界面易用、帮助易用、策略编辑易用、日志报告易用、报警事件优化技术)(10)特征库升级与维护的费用怎样?(11)产品是否通过了国家权威

3、机构的评测?入侵检测系统面临的挑战一个有效的入侵检测系统应限制误报出现的次数,但同时又能有效截击。误报是指被入侵检测系统测报警的是正常及合法使用受保护网络和计算机的访问。误报是入侵检测系统最头疼的问题,攻击者可以而且往往是利用包的结构伪造无威胁的“正常”假警报,而诱导没有警觉性的管理员人把入侵检测系统关掉。误报没有一个入侵检测能无敌于误报,因为没有一个应用系统不会发生错误,原因主要有四个方面。1、缺乏共享数据的机制2、缺乏集中协调的机制3、缺乏揣摩数据在一段时间内变化的能力4、缺乏有效的跟踪分析入侵检测系统的类型和性能比较根据入侵检测的信息来源

4、不同,可以将入侵检测系统分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。1、基于主机的入侵检测系统:主要用于保护运行关键应用的服务器。它通过监视与分析土机的审计记录和日志文件:来检测入侵。日志中包含发生在系统上的不寻常和不期望活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并很快地启动相应的应急响应程序。2、基于网络的入侵检测系统:主要用于实时监控网络关键路径的信息,它监听网络上的所有分组来采集数据,分析可疑现象。入侵检测的方法目前入侵检测方法有三种分类依据:1、根据物理位置

5、进行分类。2、根据建模方法进行分类。3、根据时间分析进行分类。常用的方法有三种:静态配置分析、异常性检测方法和基于行为的检测方法。静态配置分析静态配置分析通过检查系统的配置,诸如系统文件的内容,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(比如,系统配置信息)。采用静态分析方法主要有以下几方面的原因:入侵者对系统攻击时可能会留下痕迹,可通过检查系统的状态检测出来。异常性检测方法异常性检测技术是一种在不需要操作系统及其安全性缺陷的专门知识的情况下,就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的有效方法。但是。在许

6、多环境中,为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事。因为并不是所有入侵者的行为都能够产生明显的异常性,所以在入侵检测系统中,仅使用异常性检测技术不可能检测出所有的入侵行为。而且,有经验的入侵者还可以通过缓慢地改变他的行为,来改变入侵检测系统中的用户正常行为模式,使其入侵行为逐步变为合法,这样就可以避开使用异常性检测技术的入侵检测系统的检测。基于行为的检测方法基于行为的检测方法通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地违背系统安全规则的行为,来检测

7、系统中的入侵活动。基于入侵行为的入侵检测技术的优势:如果检测器的入侵特征模式库中包含一个已知入侵行为的特征模式,就可以保证系统在受到这种入侵行为攻击时能够把它检测出来。但是,目前主要是从已知的入侵行为以及已知的系统缺陷来提取入侵行为的特征模式,加入到检测器入侵行为特征模式库中,来避免系统以后再遭受同样的入侵攻击。案例6-1检测与端口关联的应用程序网络入侵者都会连接到主机的某个非法端口,通过检查出与端口关联应用程序,可以进行入侵检测,这种方法属于静态配置分析。利用工具软件fport.exe可以检查与每一端口关联的应用程序,执行程序.FPort可以

8、把本机开放的TCP/UDP端口同应用程序关联起来,这和使用“netstat-an”命令产生的效果类似,但是该软件还可以把端口和运行着的进程关联起来,并

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。