《IDS入侵检测技术》PPT课件

《IDS入侵检测技术》PPT课件

ID:36441431

大小:480.60 KB

页数:29页

时间:2019-05-09

《IDS入侵检测技术》PPT课件_第1页
《IDS入侵检测技术》PPT课件_第2页
《IDS入侵检测技术》PPT课件_第3页
《IDS入侵检测技术》PPT课件_第4页
《IDS入侵检测技术》PPT课件_第5页
资源描述:

《《IDS入侵检测技术》PPT课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、网络信息安全(2011版)讲授:刘延华Email:lyhwa@126.comlyhwa@fzu.edu.cnMyTel:13600811020福州大学数学与计算机科学学院IDS存在与发展的必然性一、网络攻击的破坏性、损失的严重性二、日益增长的网络安全威胁三、防火墙无法防范网络内部攻击第6章入侵检测技术为什么需要IDS关于防火墙位于网络边界的安全设施自身可能被攻破保护不够全面不是所有威胁都来自防火墙外部入侵很容易入侵教程随处可见各种工具唾手可得网络安全工具的特点优点局限性防火墙可简化网络管理,产品成熟无法处理网络内部的攻击IDS实时监控网络安全状态误报警,

2、缓慢攻击,新的攻击模式VPN保护公网上的内部通信可视为防火墙上的一个漏洞防病毒针对文件与邮件,产品成熟功能单一入侵检测(IntrusionDetection)是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测的定义入侵检测的定义对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。进行入侵检测的软件与硬件的组合便是入侵检测系统。IDS:IntrusionDetectionSystemIDS基本结构入侵检测系统

3、包括三个部分:(1)信息收集(2)信息分析(3)结果处理信息收集入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息尽可能扩大检测范围从一个源来的信息有可能看不出疑点信息收集入侵检测很大程度上依赖于收集信息的可靠性和正确性;要保证用来检测网络系统的完整性特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息;信息收集的来源系统或网络的日志文件网络流量系统目录和文件的异常变化程序执行中的异常行为系统或网络的日志文件攻击者常在系统日志文件中留下

4、他们的踪迹。日志文件中记录了各种行为类型,每种类型又包含不同的信息,如“用户活动”类型日志包含登录、用户ID改变等内容。不期望的行为如重复登录失败、登录到不期望的位置等。系统目录和文件的异常变化网络环境中的包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标;目录和文件中的不期望的改变,很可能就是一种入侵产生的指示和信号;入侵者替换、修改和破坏系统上的文件,同时为了隐藏其活动痕迹,会尽力去替换系统程序或修改系统日志文件。信息分析模式匹配统计分析完整性分析,往往用于事后分析入侵检测性能关键参数误报(falsepositive):如系统错误地将异常活动

5、定义为入侵;漏报(falsenegative):如系统未能检测出真正的入侵行为;入侵检测的分类(1)按照分析方法(检测方法)异常检测模型(AnomalyDetection):首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。入侵检测的分类(1)按照分析方法(检测方法)误用检测模型(MisuseDetection):收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。前提:入侵是异常活动的子集用户轮廓(Profile):通常定义为各种行为参数及其阀值的集

6、合,用于描述正常行为范围过程监控量化比较判定修正指标:漏报率低,误报率高异常检测异常检测特点异常检测系统的效率取决于用户轮廓的完备性和监控的频率;因为不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化;前提:所有的入侵行为都有可被检测到的特征。攻击特征库:当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。过程监控特征提取匹配判定指标:误报低,漏报高。误用检测入侵检测的分类(2)按照数据来源:基于主机HIDS:系统获取数据的依据是系统运行所在的主机,保护的目标也是系统运行所在

7、的主机。基于网络NIDS:系统获取的数据是网络传输的数据包,保护的是网络的运行。混合型Internet基于主机的IDS网络服务器1客户端网络服务器2X检测内容:系统调用、端口调用、系统日志、安全审记、应用日志HIDSXHIDS监视与分析主机的审计记录可以不运行在监控主机上能否及时采集到审计记录如何保护作为攻击目标主机审计子系统基于主机的IDSInternetNIDS基于网络入侵检测系统工作原理网络服务器1数据包=包头信息+有效数据部分客户端网络服务器2X检测内容:包头信息+有效数据部分两类IDS监测软件网络IDS侦测速度快隐蔽性好视野更宽较少的监测器占资

8、源少主机IDS视野集中易于用户自定义保护更加周密对网络流量不敏感响应策略弹出窗口

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。