返回
网络与信息安全教程 吴煜煌 第5章 入侵检测技术

网络与信息安全教程 吴煜煌 第5章 入侵检测技术

ID:40336399

大小:598.50 KB

页数:37页

时间:2019-07-31

网络与信息安全教程 吴煜煌 第5章 入侵检测技术_第1页
网络与信息安全教程 吴煜煌 第5章 入侵检测技术_第2页
网络与信息安全教程 吴煜煌 第5章 入侵检测技术_第3页
网络与信息安全教程 吴煜煌 第5章 入侵检测技术_第4页
网络与信息安全教程 吴煜煌 第5章 入侵检测技术_第5页
资源描述:

《网络与信息安全教程 吴煜煌 第5章 入侵检测技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第五章入侵检测技术5.1入侵检测概述5.2入侵检测系统分类5.3入侵检测系统的分析方式5.4入侵检测系统的设置5.5入侵检测系统的部署5.6入侵检测系统的优点与局限性(1)入侵检测的结构(2)入侵检测系统分类(3)入侵检测系统分析方式(4)入侵检测系统的设置与部署(5)入侵检测系统的优缺点本章学习目标5.1入侵检测概述5.1.1基本概念5.1.2入侵检测系统的结构5.1.1基本概念1.入侵行为入侵行为主要指对系统资源的非授权使用,它可以造成系统数据的丢失和破坏,甚至会造成系统拒绝对合法用户服务等后果。2.入侵检测入侵检测技术是一种网络信息安全新技

2、术,它可以弥补防火墙的不足,对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时的检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。因此,入侵检测系统被认为是防火墙之后的第二道安全闸门。入侵检测技术是一种主动保护系统免受黑客攻击的网络安全技术。3.入侵检测系统入侵检测系统是一种能够通过分析系统安全相关数据来检测入侵活动的系统。入侵检测系统的主要功能有以下几点:监测并分析用户和系统的活动。核查系统配置和漏洞。评估系统关键资源和数据文件的完整性。识别已知的攻击行为。统计分析异常行为。对操作系统进行日志管理,并识别违反安全策略的

3、用户活动。5.1.2入侵检测系统的结构CIDF(CommonIntrusionDetectionFramework)阐述了一个入侵检测系统的通用模型,如图5-1所示。5.2入侵检测系统分类5.2.1基于主机的入侵检测系统5.2.2基于网络的入侵检测系统5.2.3基于内核的入侵检测系统5.2.4两种入侵检测系统的结合运用5.2.5分布式的入侵检测系统5.2.1基于主机的入侵检测系统基于主机的入侵检测系统用于保护单台主机不受网络攻击行为的侵害,需要安装在被保护的主机上。按照检测对象的不同,基于主机的入侵检测系统可以分为两类:网络连接检测和主机文件检测

4、。1.网络连接检测网络连接检测是对试图进入该主机的数据流进行检测,分析确定是否有入侵行为,避免或减少这些数据流进入主机系统后造成损害。2.主机文件检测通常入侵行为会在主机的各种相关文件中留下痕迹,主机文件检测能够帮助系统管理员发现入侵行为或入侵企图,及时采取补救措施。主机文件检测的检测对象主要包括以下几种:(1)系统日志。(2)文件系统。(3)进程记录。基于主机的入侵检测系统具有以下优点:检测准确度较高。可以检测到没有明显行为特征的入侵。能够对不同的操作系统进行有针对性的检测。成本较低。不会因网络流量影响性能。适于加密和交换环境。基于主机的入侵检

5、测系统具有以下不足:实时性较差。无法检测数据包的全部。检测效果取决于日志系统。占用主机资源。隐蔽性较差。如果入侵者能够修改校验和,这种入侵检测系统将无法起到预期的作用。5.2.2基于网络的入侵检测系统基于网络的入侵检测系统通常是作为一个独立的个体放置于被保护的网络上,它使用原始的网络分组数据包作为进行攻击分析的数据源,一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到攻击,入侵检测系统应答模块通过通知、报警以及中断连接等方式来对攻击做出反应。1.包嗅探器和网络监视器2.包嗅探器和混杂模式3.基于网络的入侵检测基于网络的入

6、侵检测系统可以执行以下任务:(1)检测端口扫描。在攻击一个系统时,一个入侵者通常对该系统进行端口扫描,从而判断存在哪些脆弱性。企图对Internet上的一台主机进行端口扫描通常是一个人要试图破坏网络的一个信号。(2)检测常见的攻击行为。访问Web服务器的80端口通常被认为是无害的活动,但是,一些访问企图事实上是故意在进行攻击,或者试图攻击。(3)识别各种各样可能的IP欺骗攻击。用来将IP地址转化为MAC地址的ARP协议通常是一个攻击目标。通过在以太网上发送伪造的ARP数据包,已经获得系统访问权限的入侵者可以假装是一个不同的系统在进行操作。基于网络

7、的入侵检测系统有以下优点:可以提供实时的网络行为检测。可以同时保护多台网络主机。具有良好的隐蔽性。有效保护入侵证据。不影响被保护主机的性能。基于网络的入侵检测系统有以下不足:防入侵欺骗的能力通常较差。在交换式网络环境中难以配置。检测性能受硬件条件限制。不能处理加密后的数据。5.2.3基于内核的入侵检测系统基于内核的入侵检测是一种较新的技术,近来它开始流行起来,特别是在Linux上。在Linux上目前可用的基于内核的入侵检测系统主要有两种:OpenWall和LIDS。这些系统采取措施防止缓冲区溢出,增加文件系统的保护,封闭信号,从而使入侵者破坏系统

8、越来越困难。LIDS同时也采取一些步骤以阻止根用户的一些活动,例如安装一个包嗅探器或改变防火墙策略。5.2.4两种入侵检测系统的结合运用

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。