欢迎来到天天文库
浏览记录
ID:39348659
大小:748.60 KB
页数:97页
时间:2019-07-01
《《ch5入侵检测技术》PPT课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第5章入侵检测技术内容提要:入侵检测概述入侵检测的技术实现分布式入侵检测入侵检测系统的标准入侵检测系统示例本章小结5.1入侵检测概述—发展简况1.概念的诞生1980年4月,JamesP.Aderson为美国空军做了一份题为《ComputerSecurityThreatMonitoringandSurveillance》(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。返回本章首页5.1入侵检测概述
2、—发展简况2.模型的发展1984~1986年,乔治敦大学的DorothyDenning和SRI/CSL(SRI公司计算机科学实验室)的PeterNeumann研究出了一种实时入侵检测系统模型,取名为IDES(入侵检测专家系统)(IntrusionDetectionExpertSystem)。该模型由六个部分组成:主体、对象、审计记录、轮廓特征、异常记录、活动规则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型,为构建入侵检测系统提供了一个通用的框架。1988年,SRI/CSL的TeresaLunt等改进了Denning的入侵检测模型,并实际开发出了一个IDES。该系统包括一个异常检
3、测器和一个专家系统,分别用于统计异常模型的建立和基于规则的特征分析检测。返回本章首页返回本章首页(1)主体(subjects);在目标系统上活动的实体,如用户。(2)对象(objects):指系统资源,如文件、设备、命令等。(3)审计记录(Auditrecords):内主体、活动(Action)、异常条件(Exception—Condition)、资源使用状况(Resource—Usage)和时间戳(TimeStamp)等组成。其中活动是指主体对目标的操作。异常条件是指系统对主体该活动的异常情况的报告。资源使用状况是指系统的资源消耗情况。(4)活动档案(ActiveProfile):即系统
4、正常行为模型,保存系统正常活动的有关信息。在各种检测方法中其实现各不相同。在统计方法巾可以从事件数量、频度、资源消耗等方面度量。(5)异常记录(AnomalyRecord):由事件、时间戳和审计记录组成,表示异常事件的发生情况。(6)活动规则(ActiveRule):判断是否为入侵的推则及相应要采取的行动。一般采用系统正常活动模型为准则,根据专家系统或统计方法对审计记录进行分析处理,在发现入侵时采取相应的对策。5.1入侵检测概述—发展简况2.模型的发展1990年是入侵检测系统发展史上十分重要的一年。这一年,加州大学戴维斯分校的L.T.Heberlein等开发出了NSM(NetworkSec
5、urityMonitor)。该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机。从此之后,为入侵检测系统的发展翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS。返回本章首页5.1入侵检测概述—发展简况2.模型的发展1988年的莫里斯蠕虫事件发生后,网络安全才真正引起了军方、学术界和企业的高度重视。美国空军、国家安全局和能源部共同资助空军密码支持中心、劳伦斯利弗摩尔国家实验室、加州大学戴维斯分校、Haystack实验室,开展对分布式入侵检测系统DIDS(DistributeIntrusionDetectionSystem)的
6、研究,将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品,它的检测模型采用了分层结构,分数据、事件、主体、上下文、威胁、安全状态等6层。返回本章首页5.1入侵检测概述—发展简况2.模型的发展从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。目前,SRI/CSL、普渡大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究代表了当前的最高水平返回本章首页3.入侵检测技术的发展近年来,入侵检测技术研究的主要创新有:Forrest等将免疫学原理运
7、用于分布式入侵检测领域;1998年RossAnderson和AbidaKhattak将信息检索技术引进入侵检测;以及采用状态转换分析、数据挖掘和遗传算法等进行误用和异常检测。返回本章首页5.1.1入侵检测原理图5-2给出了入侵检测的基本原理图。入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动,采用误用检测(MisuseDetection)或异常检测(An
此文档下载收益归作者所有