网络安全入侵检测技术 ppt课件.ppt

网络安全入侵检测技术 ppt课件.ppt

ID:57173478

大小:75.00 KB

页数:19页

时间:2020-08-02

网络安全入侵检测技术 ppt课件.ppt_第1页
网络安全入侵检测技术 ppt课件.ppt_第2页
网络安全入侵检测技术 ppt课件.ppt_第3页
网络安全入侵检测技术 ppt课件.ppt_第4页
网络安全入侵检测技术 ppt课件.ppt_第5页
资源描述:

《网络安全入侵检测技术 ppt课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第10章入侵检测技术10.1入侵检测概述10.2入侵检测的技术实现10.3入侵检测技术的性能指标和评估标准10.1.1入侵检测系统的基本概念Anderson将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为:检测企图破坏计算机资源的完整性,真实性和可用性的行为

2、的软件。10.1入侵检测概述入侵检测系统执行的主要任务包括:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为三个步骤:信息收集、数据分析、响应。入侵检测的目的:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大;10.1.2入侵检测系统的结构图10.1入侵检测系统的组

3、成部分一个成功的入侵检测系统至少要满足以下五个主要要求:(1)实时性要求。(2)可扩展性要求。(3)适应性要求。(4)安全性与可用性要求。(5)有效性要求。10.1.3入侵检测系统的需求特性入侵检测系统按其检测的数据来源,可分为基于主机的入侵检测系统和基于网络的入侵检测系统。10.1.4入侵检测系统的分类图10.2基于主机的入侵检测系统的结构图10.3基于网络的入侵检测技术10.2.1入侵检测模型入侵检测从策略上来讲主要分为异常检测和误用检测,从分析方法来讲,又可以分为基于统计的、神经网络和数据挖掘三类

4、技术。我们从IDS的整体框架来对入侵检测模型进行划分,则主要是三种:通用模型、层次化模型和智能化模型。10.2入侵检测的技术实现(1)通用入侵检测模型历史简档更新提取规则审计记录计时器主体活动规则集处理引擎异常记录活动简档规则设计和更新建立学习新活动简档图10.4Denning通用入侵检测模型(2)层次化入侵检测模型网络数据源攻击信息攻击行为分析主机数据源入侵检测入侵行为分析攻击特征库安全策略库攻击特征提取入侵特征提取检测出已知入侵检测出已知入侵图10.5层次化入侵检测体系结构(3)智能入侵检测模型用户

5、界面数据库网络级监控管理MobileAgent主机内传送模块主机数据分析Agent数据过滤审计日志采集主机内传送模块主机数据分析Agent数据过滤审计日志采集网络传送模块网络数据分析Agent数据过滤审计日志采集…………图10.6基于Agent的智能入侵检10.2.2误用与异常检测入侵检测技术可以分为异常检测和误用检测两种。1)异常检测异常检测技术(AnomalyDetection)也称为基于行为的检测技术,是指根据用户的行为和系统资源的使用状况判断是否存在网络入侵。异常检测的优点是:它的检测完整性高、

6、能发现企图发掘和试探系统未知漏洞的行为;较少依赖于特定的操作系统;对合法的用户违反权限的行为具有很强的检测能力。它的缺点是:如果是在用户数量多且运行状态复杂的环境中,它的误警率较高;由于系统活动的不断变化,用户要不断地在线学习。常用的方法有:(1)量化分析(2)统计法(3)预测模式生成法(4)神经网络(5)基于免疫学方法2)误用检测误用检测使用某种模式或特征描述方法对任何已知的攻击进行表达。误用检测需要确定其所定义的攻击特征模式是否可以覆盖与实际攻击有关的所有要素。当入侵者入侵时,即通过它的某些行为过程

7、建立一种入侵模型,如果该行为与入侵方案的模型一致,即判定为入侵行为。误用检测的优点是:检测的准确性高;由于可以精确描述入侵行为,因此虚警率低。它的缺点是:检测的完整性要取决于数据库的及时更新程度;收集已经攻击行为和系统脆弱性信息困难;可移植性差并且难以检测内部用户的权限滥用。误用检测往往也被称为基于特征的检测。大部分商业IDS产品采用误用检测技术,常用的误用检测方法有:(1)模式匹配(2)专家系统(3)完整性分析(4)协议分析(5)状态转移分析10.2.3分布式入侵检测分布式入侵检测系统是由分布在网络上

8、不同位置的检测部件所组成的,它不仅能检测到针对单个主机的入侵,也能检测到针对整个网络的入侵。分布式入侵检测系统在很大程度上解决了传统集中式入侵检测系统处理能力有限且容易单点失效的缺点。分布式入侵检测系统可以分为3种类型。1)层次式。2)协作式。3)对等式。10.3.1影响入侵检测系统的性能指标在分析IDS的性能时,主要考虑检测系统的有效性、效率和可用性。有效性研究检测机制的检测精确度和系统检测结果的可信度,它是开发设计和应用IDS的前提和目

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。