返回
入侵检测技术与实例

入侵检测技术与实例

ID:37500106

大小:635.60 KB

页数:64页

时间:2019-05-11

入侵检测技术与实例_第1页
入侵检测技术与实例_第2页
入侵检测技术与实例_第3页
入侵检测技术与实例_第4页
入侵检测技术与实例_第5页
资源描述:

《入侵检测技术与实例》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第5章入侵检测技术内容提要:入侵检测概述入侵检测的技术实现分布式入侵检测入侵检测系统的标准入侵检测系统示例本章小结5.1入侵检测概述入侵检测技术研究最早可追溯到1980年JamesP.Aderson所写的一份技术报告,他首先提出了入侵检测的概念。1987年DorothyDenning提出了入侵检测系统(IDS,IntrusionDetectionSystem)的抽象模型(如图5-1所示),首次提出了入侵检测可作为一种计算机系统安全防御措施的概念,与传统的加密和访问控制技术相比,IDS是全新的计算机安

2、全措施。返回本章首页返回本章首页1988年TeresaLunt等人进一步改进了Denning提出的入侵检测模型,并创建了IDES(IntrusionDetectionExpertSystem),该系统用于检测单一主机的入侵尝试,提出了与系统平台无关的实时检测思想,1995年开发的NIDES(Next-GenerationIntrusionDetectionExpertSystem)作为IDES完善后的版本可以检测出多个主机上的入侵。返回本章首页1990年,Heberlein等人提出了一个具有里程碑意

3、义的新型概念:基于网络的入侵检测——网络安全监视器NSM(NetworkSecurityMonitor)。1991年,NADIR(NetworkAnomalyDetectionandIntrusionReporter)与DIDS(DistributeIntrusionDetectionSystem)提出了通过收集和合并处理来自多个主机的审计信息可以检测出一系列针对主机的协同攻击。返回本章首页1994年,MarkCrosbie和GeneSpafford建议使用自治代理(autonomousagents

4、)以提高IDS的可伸缩性、可维护性、效率和容错性,该理念非常符合计算机科学其他领域(如软件代理,softwareagent)正在进行的相关研究。另一个致力于解决当代绝大多数入侵检测系统伸缩性不足的方法于1996年提出,这就是GrIDS(Graph-basedIntrusionDetectionSystem)的设计和实现,该系统可以方便地检测大规模自动或协同方式的网络攻击。返回本章首页近年来,入侵检测技术研究的主要创新有:Forrest等将免疫学原理运用于分布式入侵检测领域;1998年RossAnde

5、rson和AbidaKhattak将信息检索技术引进入侵检测;以及采用状态转换分析、数据挖掘和遗传算法等进行误用和异常检测。返回本章首页5.1.1入侵检测原理图5-2给出了入侵检测的基本原理图。入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动,采用误用检测(MisuseDetection)或异常检测(AnomalyDetection)的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。返回本章首页图5-2入侵检

6、测原理框图返回本章首页入侵检测系统(IntrusionDetectionSystem,IDS)就是执行入侵检测任务的硬件或软件产品。IDS通过实时的分析,检查特定的攻击模式、系统配置、系统漏洞、存在缺陷的程序版本以及系统或用户的行为模式,监控与安全有关的活动。一个基本的入侵检测系统需要解决两个问题:一是如何充分并可靠地提取描述行为特征的数据;二是如何根据特征数据,高效并准确地判定行为的性质。返回本章首页5.1.2系统结构由于网络环境和系统安全策略的差异,入侵检测系统在具体实现上也有所不同。从系统构成

7、上看,入侵检测系统应包括事件提取、入侵分析、入侵响应和远程管理四大部分,另外还可能结合安全知识库、数据存储等功能模块,提供更为完善的安全检测及数据分析功能(如图5-3所示)。返回本章首页图5-3入侵检测系统结构返回本章首页入侵检测的思想源于传统的系统审计,但拓宽了传统审计的概念,它以近乎不间断的方式进行安全检测,从而可形成一个连续的检测过程。这通常是通过执行下列任务来实现的:监视、分析用户及系统活动;系统构造和弱点的审计;识别分析知名攻击的行为特征并告警;异常行为特征的统计分析;评估重要系统和数据文

8、件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。返回本章首页5.1.3系统分类由于功能和体系结构的复杂性,入侵检测按照不同的标准有多种分类方法。可分别从数据源、检测理论、检测时效三个方面来描述入侵检测系统的类型。1.基于数据源的分类通常可以把入侵检测系统分为五类,即基于主机、基于网络、混合入侵检测、基于网关的入侵检测系统以及文件完整性检查系统。返回本章首页2.基于检测理论的分类从具体的检测理论上来说,入侵检测又可分为异常检测和误用检测。异常检测(An

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。