返回
入侵检测与安全审计

入侵检测与安全审计

ID:39836599

大小:422.60 KB

页数:38页

时间:2019-07-12

入侵检测与安全审计_第1页
入侵检测与安全审计_第2页
入侵检测与安全审计_第3页
入侵检测与安全审计_第4页
入侵检测与安全审计_第5页
资源描述:

《入侵检测与安全审计》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第四章入侵检测与安全审计主要内容入侵检测系统基础入侵检测分析方法入侵检测系统实例安全审计概念功能IDS的基本结构分类基于异常的检测技术基于误用的检测技术分布式入侵检测系统典型的入侵检测系统——snortIDS的应用1.1入侵检测基础考虑:如何防火墙被攻破了,该怎么来保护系统的安全?×入侵检测(ID)是对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。通过对数据包的分析,从数据流中过滤出可疑数据包,通过与已知的入侵方式进行比较,确定入侵是否发生以及入侵的类型并进行报警。入侵检测系统(IDS)为完成入侵检测任务而设计的计算机系统称为入侵

2、检测系统(IntrusionDetectionSystem,IDS),这是防火墙之后的第二道安全闸门。功能发现和制止来自系统内部/外部的攻击,迅速采取保护措施记录入侵行为的证据,动态调整安全策略特点经济性:IDS不能妨碍系统的正常运行。时效性:及时地发现入侵行为。安全性:保证自身安全。可扩展性:机制与数据分离;体系结构的可扩展性。工作流程数据提取模块为系统提供数据,经过简单的处理后提交给数据分析模块。数据分析模块两方面功能:一是分析数据提取模块搜集到的数据;二是对数据库保存的数据做定期的统计分析。结果处理模块作用在于告警与反应。事件数据库记录分析结果,并记录下所有的时间,用于以后的分析与

3、检查。1.2IDS分类基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害,需要安装在被保护的主机上。根据检测对象的不同,基于主机的IDS可分为:网络连接检测对试图进入该主机的数据流进行检测,分析确定是否有入侵行为。主机文件检测检测主机上的各种相关文件,发现入侵行为或入侵企图。优点检测准确度较高可以检测到没有明显行为特征的入侵成本较低不会因网络流量影响性能适合加密和交换环境缺点实时性较差无法检测数据包的全部检测效果取决于日志系统占用主机资源隐蔽性较差基于网络的入侵检测系统作为一个独立的个体放置在被保护的网络上,使用原始的网络分组数据包作为进行攻击分析的数据源。优点可以提供实时的网

4、络行为检测可以同时保护多台网络主机具有良好的隐蔽性有效保护入侵证据不影响被保护主机的性能缺点防止入侵欺骗的能力较差在交换式网络环境中难以配置检测性能受硬件条件限制不能处理加密后的数据1.4蜜罐技术原理蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易攻击的主机,给攻击者提供一个容易攻击的目标。用来观测黑客如何探测并最终入侵系统;用于拖延攻击者对真正目标的攻击。Honeypot模型关键应用系统内部网虚拟网络主机防火墙高层交换可疑数据流Internet2.1基于异常的入侵检测也称为基于行为的检测技术,在总结出的正常行为规律基础上,检查入侵和滥用行为特征与其之间的差异,以此来判断是否有入

5、侵行为。基于统计学方法的异常检测系统使用统计学的方法来学习和检测用户的行为。预测模式生成法利用动态的规则集来检测入侵。神经网络方法将神经网络用于对系统和用户行为的学习。2.1.1基于统计学的异常检测系统步骤:Step1:收集样本对系统和用户的行为按照一定的时间间隔进行采样,样本的内容包括每个会话的登录、退出情况,CPU和内存的占用情况,硬盘等存储介质的使用情况等。Step2:分析样本对每次采集到的样本进行计算,得出一系列的参数变量来对这些行为进行描述,从而产生行为轮廓,将每次采样后得到的行为轮廓与以后轮廓进行合并,最终得到系统和用户的正常行为轮廓。Step3:检查入侵行为通过将当前采集到

6、的行为轮廓与正常行为轮廓相比较,来检测是否存在网络入侵行为。算法:M1,M2,…,Mn表示行为轮廓中的特征变量,S1,S2,…,Sn分别表示各个变量的异常性测量值,Si的值越大就表示异常性越大。ai表示变量Mi的权重值。将各个异常性测量值的平均加权求和得出特征值然后选取阈值,例如选择标准偏差其中均值取μ=M/n,如果S值超出了μ±dσ的范围就认为异常。2.1.2预测模式生成法利用动态的规则集来检测入侵,这些规则是由系统的归纳引擎,根据已发生的事件的情况来预测将来发生的事件的概率来产生的,归纳引擎为每一种事件设置可能发生的概率。归纳出来的规律一般为:E1,…,Ek:-(Ek+1,P(Ek+

7、1)),…,(En,P(En))例如:规则A,B:-(C,50%),(D,30%),(E,15%),(F,5%),如果AB已经发生,而F多次发生,远远大于5%,或者发生了事件G,都认为是异常行为。优点能检测出传统方法难以检测的异常活动;具有很强的适应变化的能力;容易检测到企图在学习阶段训练系统中的入侵者;实时性高。缺点对于不在规则库中的入侵将会漏判。2.1.3神经网络方法神经网络是一种算法,通过学习已有的输入/输出信息对,抽象出其内

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。