返回
计算机网络信息安全理论与实践教程第11章

计算机网络信息安全理论与实践教程第11章

ID:40516319

大小:1.60 MB

页数:68页

时间:2019-08-03

计算机网络信息安全理论与实践教程第11章_第1页
计算机网络信息安全理论与实践教程第11章_第2页
计算机网络信息安全理论与实践教程第11章_第3页
计算机网络信息安全理论与实践教程第11章_第4页
计算机网络信息安全理论与实践教程第11章_第5页
资源描述:

《计算机网络信息安全理论与实践教程第11章》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第11章入侵检测技术的原理与应用11.1入侵检测概述11.2入侵检测技术11.3入侵检测系统的组成与分类11.4入侵检测系统的评估指标11.5入侵检测系统的部署方法与应用案例11.6本章小结本章思考与练习11.1入侵检测概述11.1.1入侵检测概念20世纪80年代初期,安全专家认为:“入侵是指未经授权蓄意尝试访问信息、篡改信息、使系统不可用的行为。”美国大学安全专家将入侵定义为“非法进入信息系统,包括违反信息系统的安全策略或法律保护条例的动作。”我们认为,入侵应与受害目标相关联,该受害目标可以是一个大的系统或单个对象。判断与

2、目标相关的操作是入侵的依据是:对目标的操作是否超出了目标的安全策略范围。因此,入侵是指违背访问目标的安全策略的行为。入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危及系统安全的行为。具有入侵检测功能的系统称为入侵检测系统,简称IDS。11.1.2入侵检测系统模型最早的入侵检测模型是由Denning给出的,该模型主要根据主机系统审计记录数据,生成有关系统的若干轮廓,并监测轮廓的变化差异,发现系统的入侵行为,如图11-1所示。图11-1入侵检测模型现在,入侵行为的种类在不断增多,许多攻击都是

3、经过长时期准备的。面对这种情况,入侵检测系统的不同功能组件之间、不同IDS之间共享这类攻击信息是十分重要的。于是,一种通用的入侵检测框架模型(简称CIDF)就被提出来了。该模型认为入侵检测系统由事件产生器(eventgenerators)、事件分析器(eventanalyzers)、响应单元(responseunits)和事件数据库(eventdatabases)组成,如图11-2所示。CIDF将入侵检测系统需要分析的数据统称为事件,它可以是网络中的数据包,也可以是从系统日志等其他途径得到的信息。事件产生器从整个计算环境中获

4、得事件,并向系统的其他部分提供事件。事件分析器分析所得到的数据,并产生分析结果。响应单元对分析结果做出反应,如切断网络连接,改变文件属性,简单报警等。事件数据库存放各种中间和最终数据,数据存放的形式既可以是复杂的数据库,也可以是简单的文本文件。CIDF模型具有很强的扩展性,目前已经得到广泛认同。图11-2CIDF各组件之间的关系图11.1.3入侵检测作用入侵检测系统在网络安全保障过程中扮演类似“预警机”或“安全巡逻人员”的角色,入侵检测系统的直接目的不是阻止入侵事件的发生,而是通过检测技术来发现系统中企图或违背安全策略的行为

5、,其作用表现为以下几个方面:*发现受保护系统中的入侵行为或异常行为。*检验安全保护措施的有效性。*分析受保护系统所面临的威胁。*有利于阻止安全事件扩大,及时报警触发网络安全应急响应。*可以为网络安全策略的制定提供重要指导。*报警信息可用作网络犯罪取证。11.2入侵检测技术11.2.1基于误用的入侵检测技术基于误用的入侵检测通常称为基于特征的入侵检测方法,是指根据已知的入侵模式检测入侵行为。攻击者常常利用系统和应用软件中的漏洞技术进行攻击,而这些基于漏洞的攻击方法具有某种特征模式。如果入侵者的攻击方法恰好匹配上检测系统中的特征

6、模式,则入侵行为可立即被检测到,如图11-3所示。图11-3基于攻击模式匹配的原理图显然,误用入侵检测依赖于攻击模式库,因此,这种采用误用入侵检测技术的IDS产品的检测能力就取决于攻击模式库的大小以及攻击方法的覆盖面。如果攻击模式库太小,则IDS的有效性就大打折扣。而如果攻击模式库过大,则IDS的性能会受到影响。基于上述分析,误用入侵检测的前提条件是,入侵行为能够按某种方式进行特征编码,而入侵检测的过程实际上就是模式匹配的过程。根据入侵特征描述的方式或构造技术,误用检测方法可以进一步细分。下面介绍几种常见的误用检测方法。1.

7、基于条件概率的误用检测方法基于条件概率的误用检测方法是指将入侵方式对应一个事件序列,然后观测事件发生序列,应用贝叶斯定理进行推理,推测入侵行为。令ES表示事件序列,先验概率为P(Intrusion),后验概率为P(ES

8、Intrusion),事件出现概率为P(ES),则:通常,网络安全员可以给出先验概率P(Intrusion),对入侵报告的数据统计处理可得出P(ES

9、?Intrusion)和P(ES

10、Intrusion),于是可以计算出:因此,可以通过事件序列的观测推算出P(Intrusion

11、ES)。基于条件概率的误用检测

12、方法是基于概率论的一种通用方法。它是对贝叶斯方法的改进,其缺点是先验概率难以给出,而且事件的独立性难以满足。2.基于状态迁移的误用检测方法状态迁移方法利用状态图表示攻击特征,不同状态刻画了系统某一时刻的特征。初始状态对应于入侵开始前的系统状态,危害状态对应于已成功入侵时刻的系统状态。初始状

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。