返回
ch11-入侵检测技术

ch11-入侵检测技术

ID:39312770

大小:228.26 KB

页数:36页

时间:2019-06-30

ch11-入侵检测技术_第1页
ch11-入侵检测技术_第2页
ch11-入侵检测技术_第3页
ch11-入侵检测技术_第4页
ch11-入侵检测技术_第5页
资源描述:

《ch11-入侵检测技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第7章入侵检测技术7.1入侵检测系统概述(重点)7.2入侵检测一般步骤(重点)7.3入侵检测系统分类(重点)7.4入侵检测系统关键技术7.5入侵检测系统模型介绍7.6入侵检测系统标准化7.7入侵检测系统Snort7.8入侵检测产品选购第十五讲作业p202(1)在网络安全中,什么是入侵检测?入侵检测的一般步骤是什么?2.p202(2)根据系统检测的对象分类,入侵检测有哪些类型?3.p202(4)目前,入侵检测系统有哪些关键技术?本章教学要求:(1)掌握入侵检测系统概念;(2)掌握入侵检测系统分类;(3)了解入侵检测系统关键技术;(4)知道入侵

2、检测系统模型;(5)知道入侵检测系统标准化;(6)了解入侵检测软件Snort特点和功能;(7)知道入侵检测产品选购。7.1入侵检测系统概述1.什么是入侵检测入侵检测是指对入侵行为的发现、报警和响应,它通过对计算机网络或计算机系统中若干关键点收集信息,并对收集到的信息进行分析,从而判断网络或系统中是否有违反安全策略的行为和系统被攻击的征兆。(作业1.1)入侵检测的目标是识别系统内部人员和外部入侵者的非法使用、滥用计算机系统的行为。2.入侵检测系统功能入侵检测系统能主动发现网络中正在进行的针对被保护目标的恶意滥用或非法入侵,并能采取相应的措施及

3、时中止这些危害,如提示报警、阻断连接、通知网管等。其主要功能是监测并分析用户和系统的活动、核查系统配置中的安全漏洞、评估系统关键资源与数据文件的完整性、识别现有已知的攻击行为或用户滥用、统计并分析异常行为、对系统日志的管理维护。7.2入侵检测一般步骤(作业1.2)1.入侵数据提取主要是为系统提供数据,提取的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测数据提取可来自以下四个方面。(1)系统和网络日志;(2)目录和文件中的的改变;(3)程序执行中的不期望行为;(4)物理形式的入侵信息。2.入侵数据分析主要作用在于对数据进行深入分析,

4、发现攻击并根据分析的结果产生事件,传递给事件响应模块。常用技术手段有:模式匹配、统计分析和完整性分析等。入侵数据分析是整个入侵检测系统的核心模块。3.入侵事件响应事件响应模块的作用在于报警与反应,响应方式分为主动响应和被动响应。被动响应型系统只会发出报警通知,将发生的不正常情况报告给管理员,本身并不试图降低所造成的破坏,更不会主动地对攻击者采取反击行动。主动响应系统可以分为对被攻击系统实施保护和对攻击系统实施反击的系统。7.3入侵检测系统分类7.3.1根据系统所检测的对象分类(作业2)1.基于主机的入侵检测系统(HIDS)基于主机的IDS安

5、装在被保护的主机上,通常用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志文件来检测入侵行为。基于主机的IDS系统的优点是能够校验出攻击是成功还是失败;可使特定的系统行为受到严密监控等。缺点是它会占用主机的资源,要依赖操作系统等。2.基于网络的入侵检测系统(NIDS)基于网络的IDS一般安装在需要保护的网段中,利用网络侦听技术实时监视网段中传输的各种数据包,并对这些数据包的内容、源地址、目的地址等进行分析和检测。如果发现入侵行为或可疑事件,入侵检测系统就会发出警报甚至切断网络连接。基于网络的IDS的优点是购买成本低,对识别出

6、来的攻击能进行实时检测和响应,等。其主要缺点在于防欺骗能力较差、交互环境下难以配置等。3.基于应用的入侵检测系统(AIDS)AIDS实际上是HIDS的一个子集,它主要使用传感器在应用层收集信息.它监控在某个软件应用程序中发生的活动,信息来源主要是应用程序的日志,其监视的内容更为具体。7.3.2根据数据分析方法分类1.异常检测异常检测是假定所有的入侵行为都与正常行为不同。先定义一组系统在正常条件下的资源与设备利用情况的数值,建立正常活动的模型,然后再将系统在运行时的此类数值与事先定义的原有正常指标相比较,从而得出是否有攻击现象发生。2.误用检

7、测误用检测是假定所有入侵行为、手段及其变种都能够表达为一种模式或特征。系统的目标就是检测主体活动是否符合这些模式,因此又称为特征检测。7.3.3根据体系结构分类根据IDS的系统结构,可分为集中式、等级式和分布式三种。1.集中式入侵检测系统集中式IDS可能有多个分布于不同主机上的审计程序,但只有一个中央入侵检测服务器。审计程序将当地收集到的数据发送给中央服务器进行分析处理。2.等级式入侵检测系统等级式IDS中,定义了若干个分等级的监控区域,每个IDS负责一个区域,每一级IDS只负责所监控区的分析,然后将当地的分析结果传送给上一级IDS。3.分

8、布式入侵检测系统分布式IDS将中央检测服务器的任务分配给多个基于主机的IDS,这些IDS不分等级,各负其职,负责监控当地主机的某些活动。7.4入侵检测系统关键技术(作业3)1.模

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。