返回
第7章 信息系统安全检测技术

第7章 信息系统安全检测技术

ID:5565083

大小:627.00 KB

页数:59页

时间:2017-11-14

第7章 信息系统安全检测技术_第1页
第7章 信息系统安全检测技术_第2页
第7章 信息系统安全检测技术_第3页
第7章 信息系统安全检测技术_第4页
第7章 信息系统安全检测技术_第5页
资源描述:

《第7章 信息系统安全检测技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息系统安全电子教程信息管理教研室张勇E-mail:zycsust@126.comHttp://csust.vicp.net第七章信息系统安全检测技术信息系统安全6/12/20212*本章主要内容7.1入侵检测技术7.2漏洞检测技术7.3审计追踪6/12/20213*本章学习目标本章重点介绍入侵检测的概念、分类、基本方法;入侵响应、审计追踪技术;漏洞扫描技术的概念。给出了入侵检测系统现成实现模式。最后介绍了入侵检测工具Snort的安装与配置。通过本章的学习,使学员:(1)理解入侵检测的概念、分类、基本方法;

2、(2)理解入侵响应、审计追踪技术;(3)理解漏洞扫描技术;(4)掌握Snort入侵检测工具的使用。6/12/20214*入侵检测技术是动态安全技术的最核心技术之一。传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术,对网络环境下日新月异的攻击手段缺乏主动的反应。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息、分析信息,查看是否有违反安全策略的行为和遭到袭

3、击的迹象。入侵检测被认为是防火墙之后的第二道安全防线,提供对内部攻击、外部攻击和误操作的实时保护。7.1入侵检测技术6/12/20215*7.1.1入侵检测定义入侵检测(IntrusionDetection)是检测和识别系统中未授权或异常现象,利用审计记录,入侵检测系统应能识别出任何不希望有的活动,这就要求对不希望的活动加以限定,一旦当它们出现就能自动地检测。入侵检测技术的第一条防线是接入控制,第二条防线是检测。IDS可分为两种:基于主机的IDS和基于网络的IDS。一个完备的入侵检测系统(IDS)一定是基于

4、主机和基于网络两种方式兼备的分布式系统。利用最新的可适应网络安全技术和P2DR(Policy,Protection,Detection,Response)安全模型,已经可以深入地研究入侵事件、入侵手段本身及被入侵目标的漏洞等。7.1入侵检测技术6/12/20216*7.1.2IDS分类1.基于行为的和基于知识的检测按具体的检测方法,将检测系统分为基于行为的和基于知识的两类。基于行为的检测也被称为异常检测。基于知识的检测也被称为误用检测。7.1入侵检测技术6/12/20217*7.1.2IDS分类2.根据数据

5、源不同的检测根据检测系统所分析的原始数据不同,将入侵检测分为来自系统日志和网络数据包两种。系统日志网络数据包异常检测误用检测报警报警并做出相应措施实时检测周期性检测原始数据检测原理两类检测的关系7.1入侵检测技术6/12/20218*7.1.3入侵检测系统基本原理1.入侵检测框架对安全事件的检测包括大量复杂的步骤,涉及到很多系统,任何单一技术很难提供完备的检测能力,需要综合多个检测系统以达到尽量完备检测能力。因此,对于入侵检测框架的研究国内外专家都十分重视。比较有名的成果是通用入侵检测框架(CIDF)和入侵

6、检测交换格式(IDEF)。CIDF是由美国加洲大学Davis分校的安全实验室提出的框架:IDEF是由IETF的入侵检测工组(IDWG)开发的安全事件报警的标准格式。7.1入侵检测技术6/12/20219*7.1.3入侵检测系统基本原理1.入侵检测框架数据源操作员传感器管理器分析器管理员活动事件报警安全策略通告响应通用入侵检测框架(CIDF)7.1入侵检测技术6/12/202110*7.1.3入侵检测系统基本原理1.入侵检测框架报警攻击模式库配置系统库入侵分析引擎响应处理数据采集安全控制主机系统系统操作审计记

7、录/协议数据简单的入侵检测系统7.1入侵检测技术6/12/202111*7.1.3入侵检测系统基本原理2.信息收集在网络系统中的若干不同关键点(网段和主机)。收集系统、网络、数据及用户活动的状态和行为信息。入侵检测可以利用的分析数据信息:(1)网络和系统日志文件(2)目录和文件中的不期望的改变(3)程序执行中的不期望行为(4)物理形式的入侵信息(5)其他信息7.1入侵检测技术6/12/202112*7.1.3入侵检测系统基本原理3.信息分析通过三种技术手段进行分析:模式匹配(实时):将收集到的信息与已知网络

8、入侵和系统误用模式数据库进行比较,而发现违背安全策略的行为。统计分析(实时):先给系统对象(用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(访问次数、操作失败次数、延时)。测量属性的平均值将被用来与网络、系统的行为进行比较。完整性分析(事后):关注文件和目录的内容及属性,发现被更改的或被特洛伊木马化的应用程序。7.1入侵检测技术6/12/202113*1.基于主机的入侵检测系统7.1.4

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。