新世纪全套《信息安全应用教程》ppt电子课件教案第5章常见入侵类型及检测

《新世纪全套《信息安全应用教程》ppt电子课件教案第5章常见入侵类型及检测》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、第5章常见入侵类型及检测重点内容入侵检测系统的特点网络入侵的方法和手段攻击的过程入侵检测的过程入侵检测系统的模型第5章常见入侵类型及检测重点内容入侵检测系统在网络中的部署入侵检测产品的选择方法构建基本的入侵检测系统的方法一、概述（1）1.1入侵检测系统定义入侵检测（IntrusionDetection），顾名思义，是指“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略

2、的行为和被攻击的迹象。入侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统（IntrusionDetectionSystem，简称IDS）。一、概述（2）常见的检测方法：网络流量管理系统扫描追踪一、概述（3）1.2入侵检测系统的特点精确地判断入侵事件可判断应用层的入侵事件对入侵可以立即进

3、行反应全方位的监控与保护针对不同操作系统特点二、网络入侵（1）2.1入侵检测过程入侵检测过程分为3部分：信息收集、信息分析和结果处理。信息收集：入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。二、网络入侵（2）2.1入侵检测过程信息分析：收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过3种技术手段进行分析：模式匹配

4、、统计分析和完整性分析。当检测到某种误用模式时，产生一个告警并发送给控制台。结果处理：控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。二、网络入侵（3）2.2入侵方式与手段方式：物理入侵:指入侵者以物理方式访问一个机器进行破坏活动，例如趁人不备遛进机房重地赶紧敲打两下键盘试图闯入操作系统、拿着钳子改锥卸掉机器外壳“借”走硬盘装在另一台机器上进行深入研究。二、网络入侵（4）2.2入侵方式与手段系统入侵:指入侵者在拥有系统的一个低级账号权限下进行的破

5、坏活动。通常，如果系统没有及时“打”最近的补丁程序，那么拥有低级权限的用户就可能利用系统漏洞获取更高的管理特权。远程入侵:指入侵者通过网络渗透到一个系统中。这种情况下，入侵者通常不具备任何特殊权限，他们要通过漏洞扫描或端口扫描等技术发现攻击目标，再利用相关技术执行破坏活动。NIDS主要针对的就是这种入侵。二、网络入侵（5）2.2入侵方式与手段手段：软件编写存在bug、漏洞利用、系统配置不当、口令失窃、嗅探未加密通信数据、TCP/IP初始设计存在缺陷、探测、DoS或DDoS二、网络入侵（6）2.3攻击的过程外部调研内部分析漏洞利用

6、站稳脚跟享受成果三、入侵检测系统入侵检测系统的部署位置与其他安全措施的配合CIDF模型结构图四、入侵检测的分类4.1分类按照检测类型划分：异常检测模型、误用检测模型按照检测对象划分：主机型、网络型、混合型4.2入侵检测方法4.3文件完整性检查五、入侵检测技术及发展5.1入侵检测技术及方法信息收集：系统和网络日志文件、非正常的目录和文件改变、非正常的程序执行数据分析：模式匹配、统计分析、完整性分析入侵检测技术分析5.2入侵检测技术发展方向六、典型入侵检测系统介绍七、入侵检测产品介绍及选择方法7.1常见产品介绍分类7.2购买IDS注

7、意事项八、构建基本的入侵检测系统九、应用实例一9.1提高Windows操作系统的入侵保护程度9.2实现木马探测及常规扫描进行监听的简单程序十、应用实例二——实现基于内核的入侵检测