欢迎来到天天文库
浏览记录
ID:39485272
大小:4.88 MB
页数:40页
时间:2019-07-04
《黑客常用的系统攻击方法》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第八章入侵检测技术7/22/2021本章主要内容8.1入侵检测概述8.2入侵检测系统分类8.3入侵检测在企业网中的应用8.4入侵检测系统目前存在的问题8.5入侵检测的发展趋势8.1入侵检测概述为什么要用入侵检测系统?什么是入侵行为?什么是入侵检测?什么是入侵检测系统:入侵检测系统工作原理入侵检测系统的两个性能指标“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,
2、如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。为什么要用入侵检测系统?为什么要用入侵检测系统?因此为确保网络的安全,就要对网络内部进行实时的检测,这就要用到IDS无时不在的防护!防火墙的局限性(1)防火墙防外不防内。(2)防火墙一般不提供对内部的保护。(3)防火墙不能防范不通过它的连接。(4)防火墙不能防备全部的威胁。8.1入侵检测概述为什么要用入侵检测系统?什么是入侵行为?什么是入侵检测?什么是入侵检测系统:入侵检测系统工作原理入侵检测系统的两个性能指标入侵行为主要是指对系统资源的非授权使用,不仅包括发起攻击的人取得超出
3、范围的系统控制权,也包括收集漏洞信息,造成拒绝访问等对计算机造成危害的行为。什么是入侵(Intrusion)行为?什么是入侵检测?入侵检测是指通过从计算机网络系统中的若干关键点收集信息,并分析这些信息,从而发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。入侵检测系统全称为DetectionSystem,缩写为IDS,可以是软件,也可以是一种进行入侵检测的软件与硬件的组合。与防火墙不同的是,IDS是一个旁路监听设备,无须网络流量流经它便可以工作。IDS的运行方式有两种,一种是在目标主机上运行以监测其本身的通信信息,另一种是在一台单独的机器上运行以监测所有网络设备的
4、通信信息,比如Hub、路由器。通常对IDS的部署的唯一要求是:IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里,“所关注的流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。入侵检测系统工作原理信息收集信息分析是否是攻击Y记录/报警N忽略收集流量的内容、用户连接的状态和行为通过模式匹配,统计分析和完整性分析三种手段进行分析记入日志实时报警一是漏报率,指攻击事件没有被IDS检测到,与其相对的是检出率;二是误报率,指把正常事件识别为攻击并报警。误报率与检出率成正比例关系。误报率检出率100%100%入侵检测系统的两个性能指标性能指标计算公式:网络中发生的真实的攻
5、击事件数量为M,IDS漏报的事件数量为N,则漏报率=N/M*100%误报率的计算方法很多,各种算法之间最大的不同都在分母的取值上,目前比较常见的IDS误报率的计算方法是:误报率=存在误报的事件数(X)/事件库总量(N)*100%(其中某IDS的事件总是为N,存在误报的事件数为X)例子:已知10个网络事件,其中6个正常事件,4个攻击事件;现有一入侵检测系统检测到5个攻击事件的发生,但其中有2个事件为正常事件被误判作为攻击事件,则:漏报率=[4-(5-2)]/4*100%=25%;检出率=(5-2)/4*100%=75%;误报率=2/10*100%=20%。已知20个网络事件,其中15个正
6、常事件,5个攻击事件;现有一入侵检测系统检测到6个攻击事件的发生,但其中有3个事件为正常事件被误判作为攻击事件,则:漏报率=[5-(6-3)]/5*100%=40%;检出率=(6-3)/5*100%=60%;误报率=3/20*100%=15%。基于主机(Host-Based)的入侵检测系统基于网络(Network-Based)的入侵检测系统分布式入侵检测系统8.2入侵检测系统分类8.2.1基于主机的IDS每台主机上安装一个入侵检测代理主机型入侵检测系统保护的是主机系统这种防护用以监测系统上正在运行的进程是否合法基于主机的入侵检测系统通常以系统日志、应用程序日志等审计记录文件作为数据源。
7、它是通过比较这些审计记录文件的记录与攻击签名(AttackSignature,指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配,检测系统就向系统管理员发出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件,并可对入侵事件作出立即反应。基于主机的IDS(1)能够监视特定的系统行为。HIDS能够监视所有的用户登录和退出,甚至用户所做的所有操作,日志里记录的审计系统策略的改变,关键系统文件和可执行文件的改变等。(2)
此文档下载收益归作者所有