欢迎来到天天文库
浏览记录
ID:33788185
大小:840.50 KB
页数:145页
时间:2018-05-25
《网络与信息安全入侵检测技术课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、入侵检测技术胡建斌北京大学网络与信息安全研究室E-mail:hjbin@infosec.pku.edu.cnhttp://infosec.pku.edu.cn/~hjbin概述入侵检测方法入侵检测系统的设计原理入侵检测响应机制入侵检测标准化工作其它展望概述入侵检测方法入侵检测系统的设计原理入侵检测响应机制入侵检测标准化工作其它展望IntrusionIntrusion:Attemptingtobreakintoormisuseyoursystem.Intrudersmaybefromoutsidethenetworkorlegitimate
2、usersofthenetwork.Intrusioncanbeaphysical,systemorremoteintrusion.传统的信息安全方法采用严格的访问控制和数据加密策略来防护,但在复杂系统中,这些策略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全入侵检测(IntrusionDetection)是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象IntrusionDetection入侵检测的定义对系统的运行状态进行监视,发现各种攻
3、击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性进行入侵检测的软件与硬件的组合便是入侵检测系统IDS:IntrusionDetectionSystem入侵检测的特点一个完善的入侵检测系统的特点:经济性时效性安全性可扩展性网络安全工具的特点优点局限性防火墙可简化网络管理,产品成熟无法处理网络内部的攻击IDS实时监控网络安全状态误报警,缓慢攻击,新的攻击模式Scanner简单可操作,帮助系统管理员和安全服务人员解决实际问题并不能真正扫描漏洞VPN保护公网上的内部通信可视为防火墙上的一个漏洞防病毒针对文件与邮件,产品成熟功能单
4、一1980年Anderson提出:入侵检测概念,分类方法1987年Denning提出了一种通用的入侵检测模型独立性:系统、环境、脆弱性、入侵种类系统框架:异常检测器,专家系统90年初:CMDS™、NetProwler™、NetRanger™ISSRealSecure™入侵检测起源入侵检测的起源(1)审计技术:产生、记录并检查按时间顺序排列的系统事件记录的过程审计的目标:确定和保持系统活动中每个人的责任重建事件评估损失监测系统的问题区提供有效的灾难恢复阻止系统的不正当使用入侵检测的起源(2)计算机安全和审计美国国防部在70年代支持“可信信息系
5、统”的研究,最终审计机制纳入《可信计算机系统评估准则》(TCSEC)C2级以上系统的要求的一部分“褐皮书”《理解可信系统中的审计指南》入侵检测的起源(3)1980年4月,JamesP.Anderson:《ComputerSecurityThreatMonitoringandSurveillance》(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作入侵检
6、测的起源(4)从1984年到1986年,乔治敦大学的DorothyDenning和SRI/CSL的PeterNeumann研究出了一个实时入侵检测系统模型,取名为IDES(入侵检测专家系统)入侵检测的起源(5)1990,加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM(NetworkSecurityMonitor)该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS入侵检测的起源(6)IDS存在
7、与发展的必然性一、网络攻击的破坏性、损失的严重性二、日益增长的网络安全威胁三、单纯的防火墙无法防范复杂多变的攻击为什么需要IDS关于防火墙网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部入侵很容易入侵教程随处可见各种工具唾手可得IDS基本结构入侵检测是监测计算机网络和系统,以发现违反安全策略事件的过程简单地说,入侵检测系统包括三个功能部件:(1)信息收集(2)信息分析(3)结果处理信息收集入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。需要在计算机网络系统中的若干不同关键点(不同网段
8、和不同主机)收集信息,尽可能扩大检测范围从一个源来的信息有可能看不出疑点信息收集入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,要保证用来检测网络系统的软件的完整性,特别
此文档下载收益归作者所有