信息安全概论第19讲

信息安全概论第19讲

ID:44328449

大小:283.50 KB

页数:30页

时间:2019-10-20

信息安全概论第19讲_第1页
信息安全概论第19讲_第2页
信息安全概论第19讲_第3页
信息安全概论第19讲_第4页
信息安全概论第19讲_第5页
资源描述:

《信息安全概论第19讲》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、信息安全概论第19讲2008年x月y日6.5入侵检测如果攻击者成功地绕过防御措施,渗透到网络中,如何检测出攻击行为呢?包括内部和外部发动的攻击。这节将介绍在这些情况下的防御手段—入侵检测系统(IntrusionDetectionSystem,简称IDS)。6.5.1入侵检测的基本原理1980年J.Anderson在他的那篇被誉为入侵检测的开山之作的文章‑‑“ComputerSecurityThreatMonitoringandSurveillance”中首次提出了创建安全审计纪录和在此基础上的计算机威胁监控系统的基本构想。

2、把攻击分为假冒者(假冒他人的内部用户);误用者(合法用户误用了对系统或数据的访问);秘密用户(获取了对系统的管理控制)。至于来自外部的渗透者,当他们成功地突破了目标系统的访问控制后,相应的威胁就转变为内部的威胁。1.三类内部渗透者与入侵检测的分析模型假冒者盗用他人账户信息。他对系统的访问行为轮廓应该和他所冒充的用户有所不同,因此一个自然的检测方法是在审计记录中为系统的每个合法用户建立一个正常行为轮廓,当检测系统发现当前用户的行为和他的正常行为轮廓有较大偏差时,就应该及时提醒系统安全管理员。这样的检测方法称为异常检测。误用者

3、是合法用户的越权访问。与授权用户的行为相比,可能在统计上没有显著的区别。这些越权举动,则可以通过事先刻画已知攻击的特征,将越权举动和这些特征相匹配,从而检测出攻击。这种方法称为误用检测。秘密用户拥有对系统的管理控制权。可以利用他的权限来躲避审计记录,因此是很难通过安全审计记录来检测出所发生的攻击,除非他的秘密行动显示出上述两类攻击者的特征。综上所述,异常检测和误用检测是入侵检测的两种主要分析模型,其中用户正常行为轮廓的建立主要是基于统计的方法,而攻击特征的刻画主要是基于规则。2.入侵检测的数据源反映受保护系统运行状态的记录

4、和动态数据。分为:基于主机的数据源基于网络的数据源基于主机的数据源(1)操作系统审计记录—由专门的操作系统机制产生的系统事件的记录;(2)系统日志—由系统程序产生的用于记录系统或应用程序事件的文件。操作系统的审计记录是系统活动的信息集合,它按照时间顺序组成数个审计文件,每个文件由审计记录组成,每条记录描述了一次单独的系统事件,由若干个域(又称审计标记)组成。当系统中的用户采取动作或调用进程时,引起的系统调用或命令执行,此时审计系统就会产生对应的审计记录。大多数商用操作系统的审计记录是按照可信产品评估程序的标准设计和开发的,

5、具有低层次和细节化的特征,因此成为基于主机的入侵检测系统首选数据源。系统日志是反映系统事件和设置的文件。例如Unix提供通用的服务syslog(用于支持产生和更新事件日志);SunSolaris中的lastlog(记录用户最近的登陆,成功或不成功)、pacct(记录用户执行的命令和资源使用的情况)。产生系统日志的软件通常作为应用程序而不是操作系统的子程序运行,易于遭到恶意的破坏和修改。系统日志通常存储在系统未经保护的目录中,而且以文本的形式存储,而审计记录则经过加密和校验处理,为防止篡改提供了保护机制。系统日志和审计记录相

6、比,具有较强的可读性;在某些特殊的环境下,可能无法获得操作系统的审计记录或不能对审计记录进行正确的解释,此时系统日志就成为系统安全管理必不可少的信息来源。网络数据来源采用特殊的数据提取技术,收集网段中传播的数据,作为检测系统的数据来源。优势:网络数据是通过网络监听的方式获得的,由于网络嗅探器所做的工作仅仅是从网络中读取传输的数据包,因此对被保护系统的性能影响很小,而且无需改变原有的系统和网络结构。网络监视器与受保护主机的操作系统无关。相应的两类入侵检测系统分别称为基于主机和基于网络的入侵检测系统。3.入侵检测系统的一般框架

7、审计数据收集:数据源主要是上节所讨论的基于主机和基于网络两个来源。数据处理(检测):主要的检测模型是前文所介绍的误用检测和异常检测,它们所采用的主要分析方法分别是基于规则和基于统计。在应用这些方法之前,常常对审计数据进行预处理。参考数据:主要包括已知攻击的特征和用户正常行为的轮廓,而检测引擎会不断地更新这些数据。报警:该模块处理由整个系统产生的所有输出,结果可以是对怀疑行动的自动相应,但最为普遍的是通知系统安全管理员。配置数据:主要指影响检测系统操作的状态,例如审计数据的来源和收集方法,如何响应入侵等。系统安全管理员是通过

8、配置数据来控制入侵检测系统的运行。审计数据存储与预处理:是为后期数据处理提供方便的数据检索和状态保存而设置的,可以看成数据处理的一部分。入侵检测系统参考图6.5.2入侵检测的主要分析模型和方法1.异常检测假设:不同用户之间的正常行为轮廓是可以区分开来的异常检测的两个步骤:(1)建立正常行为轮廓;(2)比

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。