返回
计算机网络安全技术刘永华 第6章 入侵检测技术

计算机网络安全技术刘永华 第6章 入侵检测技术

ID:40344794

大小:629.50 KB

页数:64页

时间:2019-07-31

计算机网络安全技术刘永华 第6章 入侵检测技术_第1页
计算机网络安全技术刘永华 第6章 入侵检测技术_第2页
计算机网络安全技术刘永华 第6章 入侵检测技术_第3页
计算机网络安全技术刘永华 第6章 入侵检测技术_第4页
计算机网络安全技术刘永华 第6章 入侵检测技术_第5页
资源描述:

《计算机网络安全技术刘永华 第6章 入侵检测技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、计算机网络安全技术主编刘永华中国水利水电出版社1第5章入侵监测技术2本章主要内容:入侵监测的概念、组成、功能及分类入侵检测模型和体系结构常用的入侵检测技术入侵检测系统与协同入侵检测发展现状和趋势3本章要求:掌握:入侵监测的概念、组成、功能及分类,入侵检测模型和体系结构。了解:常用的入侵检测技术,入侵检测系统与协同,入侵检测发展现状和趋势。46.1入侵检测概述6.1.1入侵检测概念这里对入侵检测相关的一些基本概念作如下通俗的定义。入侵(Intrusion)指的就是试图破坏计算机保密性、完整性、可用性或可控性的一系列活动。入侵活动包括非授权用户试图存取数据、处理数据,或者妨碍计

2、算机正常运行等活动。入侵检测(IntrusionDetection)就是对计算机网络和计算机系统的关键节点信息进行收集分析,检测其中是否有违反安全策略的事件发生或攻击迹象,并通知系统安全管理员(SiteSecurityOfficer)。入侵检测系统(IntrusionDetectionSystem,简称IDS)是用于入侵检测的软件和硬件的合称,是加载入侵检测技术的系统。56.1.2入侵检测系统组成事件产生器响应单元事件分析器事件数据库66.1.3入侵检测功能1.监控、分析用户和系统的活动入侵检测系统通过获取进出某台主机及整个网络的数据,或者通过查看主机日志等信息来监控用户和

3、系统活动。获取网络数据的方法一般是“抓包”,即将数据流中的所有包都抓下来进行分析。72.发现入侵企图或异常现象这是入侵检测系统的核心功能。主要包括两个方面,一是入侵检测系统对进出网络或主机的数据流进行监控,查看是否存在入侵行为;另一方面则评估系统关键资源和数据文件的完整性,查看系统是否已经遭受了入侵。前者的作用是在入侵行为发生时及时发现,从而避免系统遭受攻击;而后者一般是攻击行为已经发生,但可以通过攻击行为留下的痕迹的一些情况,从而避免再次遭受攻击。对系统资源完整性的检查也有利于对攻击者进行追踪或者取证。83.记录、报警和响应入侵检测系统在检测到攻击后,应该采取相应的措施来

4、阻止或响应攻击。它应该首先记录攻击的基本情况,其次应该能够及时发出警告。良好的入侵检测系统,不仅应该能把相关数据记录在文件或数据库中,还应该提供报表打印功能。必要时,系统还能够采取必要的响应行为,如拒绝接收所有来自某台计算机的数据,追踪入侵行为等。实现与防火墙等安全部件的交互响应,也是入侵检测系统需要研究和完善的功能之一。96.2入侵检测系统分类6.2.1根据数据源分类入侵检测系统要对所监控的网络或主机的当前状态做出判断,需要以原始数据中包含的信息为基础。按照原始数据的来源,可以将入侵检测系统分为基于主机的入侵检测系统、基于网络的入侵检测系统和基于应用的入侵检测系统等类型。

5、101.基于主机的入侵检测系统基于主机的入侵检测系统主要用于保护运行关键应用的服务器,它通过监视与分析主机的审计记录和日志文件来检测入侵,日志中包含发生在系统上的不寻常活动的证据,这些证据可以指出有人正在入侵或已成功入侵了系统。通过查看日志文件,能够发现成功的入侵或入侵企图,并启动相应的应急措施。112.基于网络的入侵检测系统基于网络的入侵检测系统主要用于实时监控网络关键路径的信息,它能够监听网络上的所有分组,并采集数据以分析可疑现象。基于网络的入侵检测系统使用原始网络包作为数据源,通常利用一个运行在混杂模式下的网络适配器来实时监视,并分析通过网络的所有通信业务。基于网络的

6、入侵检测系统可以提供许多基于主机的入侵检测法无法提供的功能。许多客户在最初使用入侵检测系统时,都配置了基于网络的入侵检测。123.基于应用的入侵检测系统基于应用(Application)的入侵检测系统是基于主机的入侵检测系统的一个特殊子集,其特性、优缺点与基于主机的入侵检测系统基本相同。由于这种技术能够更准确地监控用户某一应用行为,所以在日益流行的电子商务中越来越受到注意。136.2.2根据检测原理分类根据系统所采用的检测方法,将入侵检测分为异常入侵检测和误用入侵检测两类。14(1)异常入侵检测。异常入侵检测是指能够根据异常行为和使用计算机资源的情况检测入侵。异常入侵检测试

7、图用定量的方式描述可以接受的行为特征,以区分非正常的、潜在的入侵行为。Anderson做了如何通过识别“异常”行为来检测入侵的早期工作,他提出了一个威胁模型,将威胁分为外部闯入(用户虽然授权,但对授权数据和资源的使用不合法,或滥用授权)、内部渗透和不当行为3种类型,并采用这种分类方法开发了一个安全监视系统,可检测用户的异常行为。15(2)误用入侵检测。误用入侵检测是指利用已知系统和应用软件的弱点攻击模式来检测入侵。与异常入侵检测不同,误用入侵检测能直接检测不利或不可接受的行为,而异常入侵检测则是检查出与正常行为相违

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。