返回
《入侵检测流程》PPT课件

《入侵检测流程》PPT课件

ID:45194828

大小:298.34 KB

页数:53页

时间:2019-11-10

《入侵检测流程》PPT课件_第1页
《入侵检测流程》PPT课件_第2页
《入侵检测流程》PPT课件_第3页
《入侵检测流程》PPT课件_第4页
《入侵检测流程》PPT课件_第5页
资源描述:

《《入侵检测流程》PPT课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第四章入侵检测流程4.1入侵检测的过程信息收集:从入侵检测系统的信息源中收集信息,内容包括系统、网络、数据以及用户活动的状态和行为等信息分析:是入侵检测过程的核心环节告警与响应:IDS根据攻击或事件的类型或性质,通知管理员或采取一定措施阻止入侵继续信息收集入侵检测利用的信息一般来自四个方面:1.系统和网络日志(重复登录失败,登录到不期望位置等),所有重要系统都应定期做日志2.目录和文件中的不期望的改变(修改,创建,删除等),特别是正常情况下限制访问的3.程序执行中的不期望行为(一个进程出现了不期望

2、的行为可能表明攻击者正在入侵系统)一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同4.物理形式的入侵信息.一是未授权的对网络硬件连接;二是对物理资源的未授权访问信息分析对上述四类信息收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析1.模式匹配:模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为2.统计分析:首先给系统对象创建一个统计描述,统计正常使用时的一些测量属性(如访

3、问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生3.完整性分析:主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性,它在发现被更改的、被特洛伊化的应用程序方面特别有效告警与响应分为主动响应和被动响应被动响应型系统只会发出告警通知,将发生的不正常情况报告给管理员,本身并不试图降低所造成的破坏,更不会主动地对攻击者采取反击行动主动响应系统可以分为对被攻击系统实施控制和对攻击系统实施控制的系统对被攻击系统实施控制

4、(防护):它通过调整被攻击系统的状态,阻止或减轻攻击影响,例如断开网络连接、增加安全日志、杀死可疑进程等对攻击系统实施控制(反击):这种系统多被军方所重视和采用4.2入侵检测系统的数据源基于主机的数据源基于网络的数据源应用程序日志文件其他IDS的报警信息基于主机的数据源审计数据是收集一个给定机器用户活动信息的唯一方法系统运行状态信息:通过系统命令来获取系统运行情况(如ps,pstat,vmstat,getrlimit等)系统记账信息:一般只是作为审计数据的一个补充系统日志:指syslog守护程序提

5、供的信息C2级安全性审计信息:记录系统中所有潜在的安全相关事件的信息记账系统的优缺点记账系统处理开销小,格式一致,能与OS很好的集成用户填充存放记账文件分区,使其使用率达到90%以上,记账会停止记账系统可打开或关闭,但不能只对指定用户记账记账信息缺乏精确的时间戳记账系统缺乏精确的命令识别记账系统缺乏系统守护程序的活动记录获取信息的时间太迟C2级安全性审计信息的优点优点:1、可以对用户的登录身份、真实身份、有效身份及真实有效的所属组的标识进行强验证2、可以很容易地通过配置审计系统实现审计事件的分类3

6、、审计系统遇到错误状态时机器会关闭4、可获取详细的参数化信息缺点1、需要详细监控时会消耗大量系统资源2、通过填充审计系统的磁盘空间可造成拒绝服务攻击3、记录格式和系统接口存在异构性3.4基于网络的数据源优势:1、采用网络监听方式获取信息,受保护系统性能影响很小2、对网络中的用户是透明的,降低了监视器本身遭受攻击的可能性3、相对基于主机的IDS更容易检测到某些基于网络协议的攻击方法4、可针对网段的数据进行入侵分析,与受保护主机的操作系统无关SNMP信息简单网络管理协议:指一系列网络管理规范的集合,包

7、括协议本身,数据结构的定义和一些相关概念SNMP中的管理操作:1、get操作用来提取特定的网络管理信息2、get-next操作通过遍历活动来提供强大的管理信息提取能力3、set操作用来对管理信息进行控制(修改、设置)4、trap操作用来报告重要的事件网络通信包网络通信包可以解决的相关问题1、能通过分析网络业务检测出网络攻击2、不存在审计记录的格式异构性问题3、不会影响整个网络的处理性能4、可通过签名分析报文载荷内容来检测攻击弱点1、当检测出入侵时,很难确定入侵者2、加密技术的应用使得不可能对报文载

8、荷进行分析,从而失去大量有用的信息应用程序日志文件优势1、精确性:不会造成入侵检测系统对安全信息的理解偏差2、完整性:日志文件能包含所有相关信息3、性能:信息收集机制的开销小于安全审计缺点1、只有系统能够正常写日志文件才能检测出攻击2、针对系统软件低层协议的攻击不利用应用程序代码,则攻击情况在日志中看不出来,只能看到攻击结果其他其他入侵检测系统的报警信息:DIDS,GrIDSDIDS:把基于主机系统的和基于网络的检测系统组合到一起进行检测GrIDS:基于图形分析的入侵检测系统,能检

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。