返回
防火墙入侵检测技术的概念

防火墙入侵检测技术的概念

ID:38296357

大小:213.75 KB

页数:22页

时间:2019-06-07

防火墙入侵检测技术的概念_第1页
防火墙入侵检测技术的概念_第2页
防火墙入侵检测技术的概念_第3页
防火墙入侵检测技术的概念_第4页
防火墙入侵检测技术的概念_第5页
资源描述:

《防火墙入侵检测技术的概念》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、入侵检测原理与技术入侵检测的概念入侵检测系统的组成与实例保密性(Confidentiality);完整性(Integrity);认证(Authenticity):实体身份的认证,适用于用户、进程、系统、信息等;不可否认性(Non-repudiation):防止发送方或接收方的抵赖;可用性(Availability)。回顾:安全相关概念加密:常规加密、公开密钥加密;数据鉴别:消息摘要;数字签名;身份认证:口令、身份认证协议、生物特征;网络安全协议:IPSec、SSL、PGP、S/MIME;网络安全产品与技术:防火墙、VPN;应用程序防护:防病毒、防止缓冲区溢出等。安

2、全措施和技术人因攻击:社会工程、盗窃行为;物理攻击:电磁脉冲炸弹等;数据攻击:非法获取数据、篡改数据;身份冒充:IP欺骗、会话重放、会话劫持;非法使用:利用系统的漏洞(缓冲区溢出);拒绝服务:EMAIL轰炸等。面对的入侵威胁伪装者:未被授权的使用计算机的人(Outside);违法者:访问没有经过授权的数据、程序和资源的合法用户(Inside);秘密用户:夺取系统超级控制并使用这种控制权逃避审计和访问控制,或者抑制审计记录的人(Outside&Inside)。入侵者身份认证安全访问控制入侵检测系统防止入侵的手段入侵检测系统存在与发展的必然性网络攻击的破坏性、损失的严

3、重性日益增长的网络安全威胁单纯的防火墙无法防范复杂多变的攻击关于防火墙网络边界的设备,自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部入侵很容易入侵教程随处可见各种工具唾手可得入侵检测技术——概念入侵检测的起点——主机审计入侵检测的定义入侵检测发展的历程IDS分类主机审计审计技术:产生、记录并检查按时间顺序排列的系统事件记录的过程。审计的目标:确定和保持系统活动中每个人的责任;重建事件;评估损失;监测系统的问题区;提供有效的灾难恢复;阻止系统的不正当使用。入侵检测的定义对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机

4、密性、完整性和可用性;进行入侵检测的软件与硬件的组合便是入侵检测系统;IDS:IntrusionDetectionSystem。入侵检测发展的历程11980年4月,JamesP.Anderson《ComputerSecurityThreatMonitoringandSurveillance》(计算机安全威胁监控与监视)第一次详细阐述了入侵检测的概念;计算机系统威胁分类:外部渗透、内部渗透和不法行为;提出了利用审计跟踪数据监视入侵活动的思想;这份报告被公认为是入侵检测的开山之作。入侵检测发展的历程21987年:DorthyDenning提出了一种通用的入侵检测模型;

5、Denning提出的模型是一个基于主机的入侵检测模型。首先对主机事件按照一定的规则学习产生用户行为模型(ActivityProfile),然后将当前的事件和模型进行比较,如果不匹配则认为异常。现在的各种入侵检测技术和体系都是在此基础上的扩展和细化。入侵检测的基础入侵检测的核心Denning的通用入侵检测模型事件产生器:根据具体应用环境而有所不同,事件来自审计记录、网络数据包以及其它可视行为,这些事件构成了入侵检测的基础。行为特征表:整个检测系统的核心,包含用于计算用户行为特征的所有变量,这些变量可根据具体采用的统计方法以及事件记录中的具体动作模式而定义,并根据匹配

6、上的记录数据更新变量值。规则模块:由系统安全策略、入侵模式等组成,一方面为判断是否入侵提供参考机制,另一方面可根据事件记录、异常记录以及有效日期等控制并更新其它模块的状态。行为特征模块执行基于行为的检测,而规则模块执行基于知识的检测。Denning的通用入侵检测模型入侵检测发展的历程31988年,SRI公司CSL实验室的TeresaLunt等人改进了Denning的入侵检测模型,研究出了一个实时入侵检测系统模型IDES(IntrusionDetectionExpertSystem。IDES是一个综合入侵检测系统,同时采用专家系统(误用检测)和统计分析(异常检测)两

7、种检测技术。入侵检测发展的历程41990,加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM(NetworkSecurityMonitor);该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机;入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS。入侵检测发展的历程5商业化IDS产品:CyberCopMonitor,NAINetProwler,SymantecNetRanger,CiscoNID-100/200,NFRSecurityRealSecure,ISS开源ID

8、S项目:S

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。