欢迎来到天天文库
浏览记录
ID:40239815
大小:734.50 KB
页数:97页
时间:2019-07-28
《信息安全原理 张基温 第4章信息系统安全监控》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第4章信息系统安全监控从安全性的角度看,所有试图破坏系统安全性的行为都称为攻击,入侵就是成功的攻击。当一次入侵是成功的时候,一次入侵就发生了。或着说,系统藉以保障安全的第一道防线已经被攻破了。所以,只从防御的角度被动地构筑安全系统是不够的。安全监控是从一种积极的防御措施。它通过对系统中所发生的现象的记录,分析系统出现了什么异常,以便采取相应的对策。本章结构4.1入侵检测系统概述4.2入侵检测系统的基本结构4.3入侵检测系统的实现4.4入侵检测系统的标准化4.5网络诱骗4.6安全审计习题4.1入侵检测系统概述入侵检测(IntrusionDetectionSystem,IDS)就是一种主动安
2、全保护技术。入侵检测像雷达警戒一样,在不影响网络性能的前提下,对网络进行警戒、监控,从计算机网络的若干关键点收集信息,通过分析这些信息,看看网络中是否有违反安全策略的行为和遭到攻击的迹象,从而扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。4.1.1入侵检测与入侵检测系统IDS是对计算机和网络系统资源上的恶意使用行为进行识别和响应的处理,它最早于1980年4月由JamesP.Anderson在为美国空军起草的技术报告《ComputerSecurityThreatMonitoringandSurveillance》(计算机安全威胁监控与监视)中提出。他提出了一种对计算机系统
3、风险和威胁的分类方法,将威胁分为外部渗透、内部渗透和不法行为;提出了利用审计跟踪数据,监视入侵活动的思想。相关概念“入侵”(Intrusion)是一个广义的概念,不仅包括发起攻击的人(包括黑客)取得超出合法权限的行为,也包括收集漏洞信息,造成拒绝访问(DenialofService)等对系统造成危害的行为。入侵检测(IntrusionDetection)就是对入侵行为的发觉。它通过对计算机网络等信息系统中若干关键点的有关信息的收集和分析,从中发现系统中是否存在有违反安全规则的行为和被攻击的迹象。入侵检测系统(IntrusionDetectionSystem,IDS)就是进行入侵检测的软件
4、和硬件的组合。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,被认为是防火墙后面的第二道安全防线。入侵检测系统的主要功能具体说来,入侵检测系统的主要功能有:·监视并分析用户和系统的行为;·审计系统配置和漏洞;·评估敏感系统和数据的完整性;·识别攻击行为、对异常行为进行统计;·自动收集与系统相关的补丁;·审计、识别、跟踪违反安全法规的行为;·使用诱骗服务器记录黑客行为;·……4.1.2实时入侵检测和事后入侵检测实时入侵检测实时入侵检测在网络的连接过程中进行,通过攻击识别模块对用户当前的操作进行分析,一旦发现攻击迹象就转入攻击处理模块,如立即断开攻击者与
5、主机的连接、收集证据或实施数据恢复等。如图4.1所示,这个检测过程是反复循环进行的。当前操作入侵检测攻击识别模块攻击处理模块是攻击否监测NY图4.1实时入侵检测过程事后入侵检测事后入侵检测是根据计算机系统对用户操作所做的历史审计记录,判断是否发生了攻击行为,如果有,则转入攻击处理模块处理。事后入侵检测通常由网络管理人员定期或不定期地进行的。图4.2为事后入侵检测的过程。历史记录入侵监测攻击处理模块攻击识别模块是攻击否返回NY图4.2事后入侵检测的过程4.1.3入侵检测系统模型1.IDES模型1980年JamesP.Anderson为美国空军起草的技术报告《ComputerSecurity
6、ThreatMonitoringandSurveillance》仅仅提出了关于入侵检测一些概念。1984年到1986年间,乔治敦大学的DorothyDenning和SRI/CSI(SRI公司的计算机科学实验室)的PeterNeumann研究出了一个如图4.3所示的实时入侵检测系统模型IDES(入侵检测专家系统)。审计记录/网络数据包等事件产生器行为特征模块规则模块规则更新异常记录变量阈值特征表更新事件图4.3Denning的IDES模型这个模型的结构特点:·事件产生器从审计记录/网络数据包以及其他可视行为中获取事件,构成检测的基础。·行为特征表是整个检测系统的核心,它包含了用于计算用户行
7、为特征的所有变量。这些变量可以根据具体采用的统计方法以及事件记录中的具体动作模式定义,并根据匹配上的记录数据进行变量值的更新。一旦有统计变量的值达到了异常程度,行为特征表即产生异常记录,并采取相应的措施。·规则模块可以由系统安全策略、入侵模式等赞成。它一方面为判断是否入侵提供参考标准;另一方面,可以根据事件记录、异常记录以及有效日期等控制并更新其他模块的状态。·这个模型还独立于特定的系统平台、应用环境和入侵类型,为构建入侵检测系统提
此文档下载收益归作者所有