返回
启明星辰入侵检测培训PPT(讲稿)

启明星辰入侵检测培训PPT(讲稿)

ID:46802755

大小:2.67 MB

页数:88页

时间:2019-11-28

启明星辰入侵检测培训PPT(讲稿)_第1页
启明星辰入侵检测培训PPT(讲稿)_第2页
启明星辰入侵检测培训PPT(讲稿)_第3页
启明星辰入侵检测培训PPT(讲稿)_第4页
启明星辰入侵检测培训PPT(讲稿)_第5页
资源描述:

《启明星辰入侵检测培训PPT(讲稿)》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、入侵检测系统IDS启明星辰认证培训部:沈尚方shen_shangfang@venustech.com.cn第一部分入侵检测系统概述入侵检测系统概述什么是入侵检测系统入侵检测的作用入侵检测的起源入侵检测系统的体系结构什么是入侵检测系统入侵检测(intrusiondetection)入侵检测是对即将发生、正在发生的或已经发生的入侵行为的一种识别过程,是一种动态的安全防护手段,它能主动寻找入侵信号,给网络系统提供对外部攻击、内部攻击和误操作的安全保护,是一种增强系统安全的有效方法。入侵检测系统(IDS-intrusionde

2、tectionsystem)用于辅助进行入侵检测或者独立进行入侵检测的自动化工具。一般是用于检测的软件和硬件的组合。入侵检测系统概述什么是入侵检测系统入侵检测的作用入侵检测的起源入侵检测系统的体系结构IDS的作用在安全体系中,IDS是唯一一个通过数据和行为模式判断其是否有效的系统检测检测后门监控检测CardKey响应入侵检测系统的作用监控网络和系统发现入侵企图或异常现象实时报警主动响应审计跟踪入侵检测系统概述什么是入侵检测系统入侵检测的作用入侵检测的起源入侵检测系统的体系结构入侵检测技术的起源(1)审计技术:产生、记

3、录并检查按照时间顺序排列的系统事件记录的过程1980年,Jamesanderson的《计算机安全监控与监视》computersecuritythreatmonitoringandsurveillance第一次详细阐述了入侵检测的概念将计算机系统威胁分为:外部渗透、内部渗透和不法行为提出了利用审计跟踪数据监视入侵活动的思想被认为是入侵检测的开山之作入侵检测技术的起源(2)1984-1986年,乔治敦大学的Dorothydenning和SRI/CSL的peterneumann研究出了一个实时入侵检测系统模型—IDES(入侵

4、检测专家系统)1990年,加州大学戴维斯分校的L.T.heberlein等人开发的NSM(networksecurityMonitor)该系统第一次直接将网络流作为审计数据来源。因而可以在不将审计数据转换成统一格式的情况下监控异种主机入侵检测系统发展史的新的一页,两大阵营的正式形成:基于网络的IDS和基于主机的IDS入侵检测技术的起源(3)1988年之后,美国开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产物。20世纪90年代到现

5、在,入侵检测系统的研发呈现百家争鸣的局面,并在智能化和分布式两个方向取得了长足的进展入侵检测系统概述什么是入侵检测系统入侵检测的作用入侵检测的起源入侵检测系统的体系结构入侵检测系统IDS体系结构事件产生器检测引擎(事件分析引擎)事件数据库响应组件事件产生器负责原始数据的采集,并将获得的原始数据转化为可以向其它系统提供的事件。数据来源:对于NIDS系统,主要在网络不同的关键点处,收集的来自网络中的数据包。对于HIDS系统,主要来自审计日志、系统日志、主机网络端口等处获得的信息。检测引擎(事件分析引擎)对事件产生器所提供的

6、事件,进行分析,通过与预定义的检测规则进行比对,判断是否为入侵行为。并将分析结果提供给其他系统,转变为告警信息。检测引擎(事件分析引擎)事件分析方法:目前IDS系统主要有两种通用的分析方法,每种分析方法也各有利弊。1、模式匹配(误用检测模型):将收集到的事件与已知的网络入侵行为数据库和系统误用模式数据库进行对比,从而发现违背安全规律的行为。2、统计分析(异常检测模型):首先给系统对象(用户、文件、目录和设备)等创建一个统计描述,统计一些正常使用时的一些测量属性(如访问次数、操作失败次数)。测量属性的平均值和偏差将被用来

7、与网络、系统的行为进行对比,任何观察值在正常范围值之外,就认为入侵发生。入侵检测系统两个重要参数误报:检测系统在检测时,将系统的正常行为判为入侵行为的错误,被称为误报。检测系统在检测过程中,出现误报的概率称为系统的误报率漏报:检测系统在检测时,没有能够正确的识别某些入侵行为,因而没有报警现象称为漏报。检测系统在检测过程中出现漏报的概率称为系统漏报率误用检测前提:所有的入侵行为都有可被检测到的特征攻击特征库:当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵过程监控特征提取匹配判定特点:误报率低、漏报率

8、高误用检测误用检测的效率和准确性取决于攻击特征库完整性和对攻击行为特征提取的准确性采用模式匹配,能明显降低误报率,但是漏报率较高。攻击特征的细微变化,可能导致系统漏报。异常检测前提:入侵是异常行为的子集用户轮廓(Profile):通常定义为各种行为参数和阈值的集合。用于描述正常行为范围过程监控量化比对判定修改特点:误报率高、漏报率

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。