返回
《入侵检测系统》PPT课件

《入侵检测系统》PPT课件

ID:38661171

大小:210.50 KB

页数:75页

时间:2019-06-17

《入侵检测系统》PPT课件_第1页
《入侵检测系统》PPT课件_第2页
《入侵检测系统》PPT课件_第3页
《入侵检测系统》PPT课件_第4页
《入侵检测系统》PPT课件_第5页
资源描述:

《《入侵检测系统》PPT课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第11章入侵检测系统11.1引言11.2入侵检测基本原理11.3入侵检测系统分类11.4入侵检测系统模型11.5分布式入侵检测系统11.6小结11.1引言计算机网络的迅猛发展给当今社会所带来的各种便利是毋庸置疑的,它把人们的工作、生活、学习紧密地联系在了一起,这使得人们对计算机网络的依赖性不断增强,所以我们必须确保计算机网络的安全。图11-1P2DR模型计算机安全的三大中心目标是:保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。人们在实现这些目标的过程中不断进行

2、着探索和研究。其中比较突出的技术有:身份认证与识别、访问控制机制、加密技术、防火墙技术等。但是这些技术的一个共同特征就是集中在系统的自身加固和防护上,属于静态的安全防御技术,它对于网络环境下日新月异的攻击手段缺乏主动的反应。针对日益严重的网络安全问题和越来越突出的安全需求,自适应网络安全技术(动态安全技术)和动态安全模型应运而生。典型的就是P2DR模型(如图11-1所示)。入侵检测作为动态安全技术的核心技术之一,是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)

3、,提高了信息安全基础结构的完整性,是安全防御体系的一个重要组成部分。入侵检测的诞生是网络安全需求发展的必然,它的出现给计算机安全领域研究注入了新的活力。关于入侵检测的发展历史最早可追溯到1980年,当时JamesP.Anderson在一份技术报告中提出审计记录可用于检测计算机误用行为的思想,这可谓是入侵检测的开创性的先河。另一位对入侵检测同样起着开创作用的人就是DorothyE.Denning,他在1987年的一篇论文[3]中提出了实时入侵检测系统模型,此模型成为后来的入侵检测研究和系统原型的基础。早期的入侵检测系统是基

4、于主机的系统,它是通过监视和分析主机的审计记录来检测入侵的。另外,入侵检测发展史上又一个具有重要意义的里程碑就是NSM(NetworkSecurityMonitor)的出现,它是由L.ToddHeberlien在1990年提出的。NSM与此前的入侵检测系统相比,其最大的不同在于它并不检查主机系统的审计记录,而是通过监视网络的信息流量来跟踪可疑的入侵行为。从此,入侵检测的研究和开发呈现一股热潮,而且多学科多领域之间知识的交互使得入侵检测的研究异彩纷呈。本章我们将对入侵检测的基本理论进行介绍,为大家深入学习和研究起到抛砖引玉

5、的作用。11.2入侵检测基本原理11.2.1入侵检测的基本概念从计算机安全的目标来看,入侵的定义是:企图破坏资源的完整性、保密性、可用性的任何行为,也指违背系统安全策略的任何事件。入侵行为不仅仅是指来自外部的攻击,同时内部用户的未授权行为也是一个重要的方面,有时内部人员滥用他们特权的攻击是系统安全的最大隐患。从入侵策略的角度来看,入侵可分为企图进入、冒充其它合法用户、成功闯入、合法用户的泄漏、拒绝服务以及恶意使用等几个方面。入侵检测(IntrusionDetection)就是通过从计算机网络或计算机系统中若干关键点收集信

6、息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做出响应。从上述的定义可以看出,入侵检测的一般过程是:信息收集、信息(数据)预处理、数据的检测分析、根据安全策略做出响应(如图11-2所示)。图11-2入侵检测的一般过程其中,信息源是指包含有最原始的入侵行为信息的数据,主要是网络、系统的审计数据或原始的网络数据包。数据预处理是指对收集到的数据进行预处理,将其转化为检测模型所接受的数据格式,也包括对冗余信息的去除,即数据简约。这是入侵检测研究领域的关键,也是难点之一。检测模型是指根据各种检

7、测算法建立起来的检测分析模型,它的输入一般是经过数据预处理后的数据,输出为对数据属性的判断结果,数据属性一般是针对数据中包含的入侵信息的断言。检测结果即检测模型输出的结果,由于单一的检测模型的检测率不理想,往往需要利用多个检测模型进行并行分析处理,然后对这些检测结果进行数据融合处理,以达到满意的效果。安全策略是指根据安全需求设置的策略。响应处理主要是指综合安全策略和检测结果所作出的响应过程,包括产生检测报告、通知管理员、断开网络连接或更改防火墙的配置等积极的防御措施。11.2.2入侵检测系统入侵检测系统(Intrusio

8、nDetectionSystem,简称IDS)是实现入侵检测功能的一系列的软件、硬件的组合。它是入侵检测的具体实现。作为一种安全管理工具,它从不同的系统资源收集信息,分析反映误用或异常行为模式的信息,对检测的行为做出自动的反应,并报告检测过程的结果。简单地说,入侵检测系统至少包括这几个功能部件:●提供事件记录的信息源

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。