入侵检测概述

《入侵检测概述》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、入侵检测概述欧祖常IDS的用途攻击工具攻击命令攻击机制目标网络网络漏洞目标系统系统漏洞攻击者漏洞扫描评估加固攻击过程实时入侵检测主要内容入侵检测基本概念入侵检测系统基本模型基本概念入侵检测（IntrusionDetection），顾名思义，便是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。“入侵”(Intrusion)是个广义的概念，不仅包括被发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权，也包括收集

2、漏洞信息，造成拒绝访问(DenialofService)等对计算机系统造成危害的行为。入侵检测系统进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem,简称IDS)。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。入侵检测系统主要任务a.监测并分析用户和系统的活动;b.核查系统配置和漏洞;c.评估系统关键资源和数据文件的完整性;d.识别已知的攻击

3、行为并报警;e.统计分析异常行为;f.操作系统日志管理，并识别违反安全策略的用户活动。入侵检测系统组成提供事件记录流的信息资源发现入侵事件的分析引擎对分析引擎的输出做出反应的响应组件入侵检测系统基本模型IDES模型IDM模型公共入侵检测框架CIDFIDES模型最早的入侵检测模型是实时入侵检测模型，取名为IDES（入侵检测专家系统）。这个模型与具体系统和具体输入无关，它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个通用的框架。IDES模型主体安全监控器对象审计数据系统轮廓攻击

4、状态添加新规则实时信息规则匹配IDES模型由于IDES模型无法检测出新的攻击方法，T.L等人改进了入侵检测模型，并开发出一个入侵检测专家系统。该系统包括一个异常检测器和一个专家系统，分别基于行为检测（异常检测）和知识的检测（误用检测）。改进的IDES模型审计数据源模式匹配器轮廓特征引擎异常检测器策略规则警告/报告产生器层次化入侵检测模型（IDM）1988年莫里斯蠕虫事件发生后，网络安全才真正引起了军方、企业和学术界的高度重视。美国军方和一些实验室、高校就开展了对分布式入侵检测系统（DIDS）的研究DIDS是分

5、布式入侵检测系统历史上的一个里程碑，他的检测模型采用分层结构，属于层出化入侵检测模型（IDM）IDM的分层有6层：数据、事件、主题、上下文、威胁和安全状态。层次化入侵检测模型（IDM）层次名称解释说明6安全状态（securitystate）网络整体安全情况5威胁（thread）动作产生的结果种类4上下文（context）事件发生所处的环境3主体（subject）事件的发起者2事件（event）日志记录特征性质和表示动作描述1数据（data）操作系统或网络访问日志记录公共入侵检测框架CIDF原始事件原始事件原始

6、事件存储事件高级事件响应事件响应单元事件分析器事件数据库事件产生器事件（event)：入侵检测系统需要分析的数据统称为事件。四个组件只是逻辑实体，一个组件可能是某台计算机上的一个线程或进程，也可能是多个计算机上的多个进程，它们以统一入侵检测对象GIDO（generalizedintrusiondetectionobjects)格式进行数据交换。GIDO是对事件进行编码的标准通用格式。此格式是由CIDF描述语言CISL定义的。GIDO数据流可以是发生在系统中的审计事件，也可以是对审计事件的分析结果。a.事件产生

7、器（Eventgenerators)事件产生器的任务是从入侵检测系统之外的计算环境中收集事件，并将这些事件转换成CIDF的GIDO格式传送给其他组件。b.事件分析器（Eventanalyzers)事件分析器分析从其它组件收到的GIDO，并将产生的新GIDO再传送给其它组件。c.事件数据库（Eventdatabases)用于存储GIDO。d.响应单元（Responseunits)处理收到的GIDO，并据此采取相应的措施。