系统安全与保密 第05章 入侵检测

系统安全与保密 第05章 入侵检测

ID:5946923

大小:961.50 KB

页数:77页

时间:2017-11-13

系统安全与保密 第05章 入侵检测_第1页
系统安全与保密 第05章 入侵检测_第2页
系统安全与保密 第05章 入侵检测_第3页
系统安全与保密 第05章 入侵检测_第4页
系统安全与保密 第05章 入侵检测_第5页
资源描述:

《系统安全与保密 第05章 入侵检测》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第5章入侵检测6/17/20211入侵检测技术入侵检测概念及其发展入侵检测通用模型及框架入侵检测系统分类入侵检测方法和技术入侵检测体系结构入侵检测技术和产品的发展趋势入侵防御系统(IPS)6/17/20212防火墙在系统的自身加固和防护上属于静态的安全防御技术,对于网络环境下新的攻击手段缺乏主动的反应。针对日益严重的网络安全问题和越来越突出的安全需求,自适应网络安全技术(动态安全技术)和动态安全模型应运而生。入侵检测作为动态安全技术的核心技术之一,是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理

2、员的安全管理能力,提高了信息安全基础结构的完整性,是安全防御体系的一个重要组成部分。6/17/20213P2DR模型6/17/20214入侵检测的发展历史最早可追溯到1980年,当时JamesP.Anderson在一份技术报告中提出审计记录可用于检测计算机误用行为的思想。另一位对入侵检测起着开创作用的人就是DorothyE.Denning,他在1987年的提出了实时入侵检测系统模型,此模型成为后来的入侵检测研究和系统原型的基础。6/17/20215早期的入侵检测系统是基于主机的系统,它是通过监视和分析主

3、机的审计记录来检测入侵的。入侵检测发展史上又一个具有重要意义的里程碑就是NSM(NetworkSecurityMonitor)的出现,它是由L.ToddHeberlien在1990年提出的。NSM与此前的入侵检测系统相比,它并不检查主机系统的审计记录,而是通过监视网络的信息流量来跟踪可疑的入侵行为。6/17/20216入侵检测基本原理入侵检测的基本概念计算机安全的目标来看:是企图破坏资源的完整性、保密性、可用性的任何行为,也指违背系统安全策略的任何事件。入侵策略的角度来看:可分为企图进入、冒充其它合法用

4、户、成功闯入、合法用户的泄漏、拒绝服务以及恶意使用等几个方面。入侵的来源:来自外部的攻击内部用户的未授权行为6/17/20217入侵检测(IntrusionDetection)就是通过从计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做出响应。入侵检测的一般过程是:信息收集信息(数据)预处理数据的检测分析根据安全策略做出响应6/17/202186/17/20219信息源:包含有最原始的入侵行为信息的数据,主要是网络、系统的审计数

5、据或原始的网络数据包。数据预处理:对收集到的数据进行预处理,将其转化为检测模型所接受的数据格式,也包括对冗余信息的去除,即数据简约。这是入侵检测研究领域的关键,也是难点之一。6/17/202110检测模型:根据各种检测算法建立起来的检测分析模型,它的输入一般是经过数据预处理后的数据,输出为对数据属性的判断结果,数据属性一般是针对数据中包含的入侵信息的断言。检测结果:检测模型输出的结果,由于单一的检测模型的检测率不理想,往往需要利用多个检测模型进行并行分析处理,然后对这些检测结果进行数据融合处理,以达到满

6、意的效果。6/17/202111安全策略:根据安全需求设置的策略。响应处理:综合安全策略和检测结果所作出的响应过程,包括产生检测报告、通知管理员、断开网络连接或更改防火墙的配置等积极的防御措施。6/17/202112入侵检测系统入侵检测系统(IntrusionDetectionSystem,简称IDS)是实现入侵检测功能的一系列的软件、硬件的组合。就其最基本的形式来讲,可以说是一个分类器,是根据系统的安全策略来对收集到的事件或状态信息进行分类处理,从而判断出入侵和非入侵的行为。是入侵检测的具体实现,作为

7、一种安全管理工具,它从不同的系统资源收集信息,分析反映误用或异常行为模式的信息,对检测的行为做出自动的反应,并报告检测过程的结果。6/17/202113功能模块包括:提供事件记录的信息源;发现入侵迹象的分析引擎;基于分析引擎的结果产生反应的响应部件。6/17/202114入侵检测系统必须能够维护一些与检测系统的分析技术相关的信息,以使检测系统能够确保检测出对系统具有威胁的恶意事件。通常这类信息包括:系统、用户以及进程行为的正常或异常的特征轮廓;标识可疑事件的字符串,包括关于已知攻击的特征签名;激活针对各

8、种系统异常情况以及攻击行为采取响应所必需的信息。6/17/202115其主要功能有:用户和系统行为的监测和分析;系统配置和漏洞的审计检查;重要的系统和数据文件的完整性评估;已知的攻击行为模式的识别;异常行为模式的统计分析;操作系统的审计跟踪管理及违反安全策略的用户行为的识别。6/17/202116入侵检测系统完善了以前的静态安全防御技术的诸多不足,是对防火墙的合理补充,为计算机网络、系统的安全防护提供了新的解决方案。入侵检测系统作为动态安全

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。