欢迎来到天天文库
浏览记录
ID:39410785
大小:206.26 KB
页数:27页
时间:2019-07-02
《《入侵检测系统》PPT课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第9章入侵检测技术入侵检测技术是近20年来出现的一种主动保护自己免受黑客攻击的新型网络安全技术。什么是入侵检测呢?简单地说,从系统运行过程中产生的或系统所处理的各种数据中查找出威胁系统安全的因素,并对威胁做出相应的处理,就是入侵检测。相应的软件或硬件称为入侵检测系统。入侵检测被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。本课知识点入侵检测系统的发展历史、作用及功能。入侵检测系统的分类。入侵检测原理及系统通用模型。入侵检测系统的局限及面临的挑战。入侵检测系统的发展趋势及产品。提问什么是入侵检
2、测系统?入侵检测原理是什么?入侵检测系统的局限?……第1小节入侵检测技术概述入侵检测系统的发展历史入侵检测的作用和功能入侵检测系统分类入侵检测系统的发展历史“入侵”(Intrusion)是个广义的概念,不仅包括发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝访问(DoS)等对计算机系统造成危害的行为。从入侵策略的角度可将入侵检测的内容分为:试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。入侵尝试(intrusionattempt)或威胁(threat)定义为:潜在的有预谋未经授权访问信息、操作
3、信息、致使系统不可靠或无法使用的企图。在报告中,Anderson还提出审计跟踪可应用于监视入侵活动的思想。但由于当时所有已有的系统安全程序都着重于拒绝未经认证主体对重要数据的访问,这一设想的重要性当时并未被理解。入侵检测系统的发展历史1987年,乔治敦大学的DorothyE.Denning提出了一个实时的入侵检测系统抽象模型——IDES(IntrusionDetectionExpertSystem,入侵检测专家系统),首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出。1988年的MorrisInternet蠕虫事件使得Internet近5天无法使用,该事件
4、促进了人们投入更多的精力于IDS的研究。1990年加州大学戴维斯分校的L.T.Heberlein等人提出了一个新的概念:基于网络的入侵检测——NSM(NetworkSecurityMonitor)1991年,NADIR(NetworkAnomalyDetectionandIntrusionReporter)与DIDS(DistributeIntrusionDetectionSystem)提出了收集和合并处理来自多个主机的审计信息以检测一系列主机的协同攻击。入侵检测系统的发展历史1994年,MarkCrosbie和GeneSpafford建议使用自治代理(autonom
5、ousagents)以便提高IDS的可伸缩性、可维护性、效率和容错性1995年开发了IDES完善后的版本——NIDES(Next-GenerationIntrusionDetectionSystem)可以检测多个主机上的入侵。1998年RossAnderson和AbidaKhattak将信息检索技术引进到入侵检测。2000年2月,对Yahoo!、Amazon、CNN等大型网站的DDOS(分布式拒绝服务)攻击引发了对IDS系统的新一轮研究热潮。入侵检测的作用和功能入侵检测的作用主要有如下几个方面。若能迅速检测到入侵,则有可能在造成系统损坏或数据丢失之前识别并驱除入侵者。
6、若能迅速检测到入侵,可以减少损失,使系统迅速恢复正常工作,对入侵者造成威胁,阻止其进一步的行动。通过入侵检测可以收集关于入侵的技术资料,可用于改进和增强系统抵抗入侵的能力。入侵检测的功能有如下几个方面。监控、分析用户和系统的活动。核查系统配置和漏洞。评估关键系统和数据文件的完整性。识别攻击的活动模式并向网管人员报警。对异常活动的统计分析。操作系统审计跟踪管理,识别违反政策的用户活动。评估重要系统和数据文件的完整性。入侵检测系统分类根据原始数据的来源分类基于主机的入侵检测系统(HIDS)基于网络的入侵检测系统(NIDS)基于应用(application)的入侵检测系统根
7、据检测原理分类异常检测误用检测根据体系结构分类集中式等级式协作式本小节总结:了解入侵检测系统的发展历史、作用及功能。了解入侵检测系统的分类。第2小节入侵检测技术入侵检测原理入侵检测系统通用模型外围设备入侵检测原理入侵检测跟其他检测技术有同样的原理。从一组数据中,检测出符合某一特点的数据。攻击者进行攻击的时候会留下痕迹,这些痕迹和系统正常运行的时候产生的数据混在一起,我们的任务就是从这些混合数据中找出是否有入侵的痕迹。如果有入侵的痕迹就报警。入侵检测一般包括以下两个步骤。信息收集数据分析入侵检测系统通用模型目前所有的入侵检测系统都根据以上原理,实现一个
此文档下载收益归作者所有