欢迎来到天天文库
浏览记录
ID:40400138
大小:260.50 KB
页数:24页
时间:2019-08-01
《网络与信息安全第16章入侵检测》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、第16章入侵检测对付网络入侵,只有防火墙是不够的。防火墙只是试图抵挡网络入侵者,很难去发现入侵的企图和成功的入侵。这就需要一种新的技术—入侵检测技术。入侵检测技术能发现网络入侵者的入侵行为和入侵企图,及时向用户发出警报,将入侵消灭在成功之前。第16章入侵检测NetworkandInformationSecurity16.1入侵检测系统概述入侵检测系统的任务和作用是:(1)监视、分析用户及系统活动;(2)对系统弱点的审计;(3)识别和反应已知进攻的活动模式并向相关人士报警;(4)异常行为模式的统计分析;(5)评估重要系统和数据文件的完整性;(6)操作系统
2、的审计跟踪管理,识别用户违反安全策略的行为。NetworkandInformationSecurity第16章入侵检测入侵检测系统有两个指标。一是漏报率,指攻击事件没有被IDS检测到,与其相对的是检出率;二是误报率,指把正常事件识别为攻击并报警。误报率与检出率成正比例关系。NetworkandInformationSecurity第16章入侵检测0检出率100%100%误报率16.2.1入侵检测系统的CIDF模型NetworkandInformationSecurity第16章入侵检测16.2入侵检测系统结构IETF的入侵检测系统模型Networkan
3、dInformationSecurity第16章入侵检测Denning的通用入侵检测系统模型NetworkandInformationSecurity第16章入侵检测16.3.1按数据来源的分类由于入侵检测是个典型的数据处理过程,因而数据采集是其首当其冲的第一步。同时,针对不同的数据类型,所采用的分析机理也是不一样的。根据入侵检测系统输入数据的来源来看,它可分为:基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统。NetworkandInformationSecurity第16章入侵检测16.3入侵检测系统类型1.基于主机的(Host-
4、Based)入侵检测系统基于主机的入侵检测系统(HIDS)通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计记录文件的记录与攻击签名(AttackSignature,指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配,检测系统就向系统管理员发出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件,并可对入侵事件作出立即反应。它具有着明显的优点:(1)能够确定攻击是否成功(2)非常适合于加密和交换环境(3)近实时的检测和响应(4)不需要额外的硬件(5)可监视特定的系统行为NetworkandInfor
5、mationSecurity第16章入侵检测2.基于网络的(Network-Based)入侵检测系统以原始的网络数据包作为数据源。它是利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务的。其攻击识别模块在进行攻击签名识别时常用的技术有:●模式、表达式或字节码的匹配;●频率或阈值的比较;●事件相关性处理;●异常统计检测。一旦检测到攻击,IDS的响应模块通过通知、报警以及中断连接等方式来对攻击行为作出反应。NetworkandInformationSecurity第16章入侵检测较之于基于主机的IDS,它有着自身明显的优势:(1)攻击者转移证据
6、更困难(2)实时检测和应答(3)能够检测到未成功的攻击企图(4)操作系统无关性(5)较低的成本当然,对于基于网络的IDS来讲,同样有着一定的不足:它只能监视通过本网段的活动,并且精确度较差;在交换网络环境中难于配置;防欺骗的能力比较差,对于加密环境它就更是无能为力了。NetworkandInformationSecurity第16章入侵检测3.分布式的入侵检测系统从以上对基于主机的IDS和基于网络的IDS的分析可以看出:这两者各自都有着自身独到的优势,而且在某些方面是很好的互补。如果采用这两者结合的入侵检测系统,那将是汲取了各自的长处,又弥补了各自的不
7、足的一种优化设计方案。通常,这样的系统一般为分布式结构,由多个部件组成,它能同时分析来自主机系统的审计数据及来自网络的数据通信流量信息。分布式的IDS将是今后人们研究的重点,它是一种相对完善的体系结构,为日趋复杂的网络环境下的安全策略的实现提供了最佳的解决方案。NetworkandInformationSecurity第16章入侵检测16.3.2按分析技术的分类从入侵检测的典型实现过程可以看出,数据分析是入侵检测系统的核心,它是关系到能否检测出入侵行为的关键。检出率是人们关注的焦点,不同的分析技术所体现的分析机制也是不一样的,从而对数据分析得到的结果当
8、然也就大不相同,而且不同的分析技术对不同的数据环境的适用性也不一样。根据入侵检测系统所采用的分
此文档下载收益归作者所有