返回
入侵检测方法.ppt

入侵检测方法.ppt

ID:61784236

大小:4.80 MB

页数:65页

时间:2021-03-20

入侵检测方法.ppt_第1页
入侵检测方法.ppt_第2页
入侵检测方法.ppt_第3页
入侵检测方法.ppt_第4页
入侵检测方法.ppt_第5页
资源描述:

《入侵检测方法.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、入侵检测主讲教师:曹秀莲计算机网络教研室主要内容:入侵检测的定义入侵检测的分类入侵检测系统的设计原理6.1入侵检测方法入侵:包括发起攻击的人取得超出范围的系统控制权、收集漏洞信息,造成拒绝访问或对计算机危害的行为。入侵检测:是对入侵行为的发觉。它通过对计算机网络或系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统:指的是任何有能力检测系统或网络状态改变的系统或系统的集合,它能发送警报或采取预先设置好的行动来帮助保护网络。6.1.1异常入侵检测技术异常检测(A

2、nomalyDetection)技术是运行在系统层或应用层的监控程序通过将当前主体的活动情况和用户轮廓进行比较来监控用户的行为。错报(FalsePositive):系统错误地将异常活动定义为入侵。漏报(FalseNegative):系统未能检测出真正的入侵行为。6.1.1异常入侵检测技术异常检测只能识别出那些与正常过程有较大偏差的行为,而无法知道具体的人侵情况。由于对各种网络环境的适应性不强,且缺乏精确的判定准则,难以配置,异常检测经常会出现错报和漏报情况。6.1.2误用入侵检测技术误用检测(MisuseDetectio

3、n)的前提是首先提取已知入侵行为的特征,建立入侵特征库,然后将当前用户或系统行为与入侵特征库中的记录进行匹配,如果相匹配就认为当前用户或系统行为是入侵,否则人侵检测系统认为是正常行为。6.1.2误用入侵检测技术通过误用入侵检测技术可以看出,其缺点是漏报率会增加,因为当新的入侵行为出现或入侵特征发生细微变化,误用检测技术将无法检测出入侵行为。6.2入侵检测系统的设计原理入侵检测系统(IDS)可以用来保护不同的对象,有的IDS仅用来保护某台主机的安全;有的IDS用来检测内部用户对内部网络的攻击行为;有的IDS用来检测外部网络

4、用户对内部网络的攻击;还有的采用分布式入侵检测系统结构,即在多个点部署IDS,进而在不同的层次、不同的区域使用入侵检测技术。6.2.1其于主机系统结构基于主机的入侵检测系统(HIDS)通常从主机的审计记录和日志文件中获得所需要的主要数据,并辅助以主机上的其他信息。6.2.2基于网络系统的结构基于网络的入侵检测系统(NIDS),如图所示,它在共享式网络上对通信数据进行侦听并采集数据,分析可疑现象。与主机系统相比,这类系统对入侵者而言是透明的。6.2.3基于分布式系统的结构在大范围网络中部署有效的IDS推动了分布式入侵检测系

5、统的诞生和不断发展。分布式入侵检测系统一般具有如图所示的体系结构。分布式系统的几种类型:集中式协同检测层次化协同检测完全分布式协同检测6.2.4入侵检测系统需求特性入侵检测的部署与实现是和用户的需求密切相关的入侵检测系统应该具有以下特点:1.可靠性。检测系统必须可以在无人监控的情况下持续运行。2.容错性。入侵检测系统必须是可容错的,即使系统崩溃,检测系统本身必须能保留下来,而且不必在重启系统时重建知识库。6.2.4入侵检测系统需求特性入侵检测的部署与实现是和用户的需求密切相关的入侵检测系统应该具有以下特点:3.可用性。入

6、侵检测系统所占用的系统资源要最小,这样不会严重降低系统性能。4.可检验性。入侵检测系统必须能观察到非正常行为。5.对观察的系统来说必须是易于开发的。6.2.4入侵检测系统需求特性入侵检测的部署与实现是和用户的需求密切相关的入侵检测系统应该具有以下特点:6.可适应性。检测系统应能实时追踪系统环境的改变,7.准确性。检测系统不能随意发送误警报和漏报。8.安全性。检测系统应不易于被欺骗,能保护自身系统的安全。6.2.5入侵检测框架简介入侵检测框架包括通用入侵检测框架CIDF和入侵检测交换格式IDDEF。1.通用入侵检测框架CI

7、DFCIDF的主要工作在于集成各种IDS使之协同工作,实现各IDS之间的组件重用,所以CIDF也是构建分布式IDS的基础。6.2.5入侵检测框架简介CIDF的体系结构6.2.5入侵检测框架简介入侵检测框架包括通用入侵检测框架CIDF和入侵检测交换格式IDDEF。2.入侵检测交换格式IDEF入侵检测工作组IDWG定义和设计了入侵检测的数据模型,用于描述在不同组件之间所交换的各种警报信息、控制命令和配置信息等通信数据。6.3入侵检测系统的部署不同的组网应用可能使用不同的规则配置,所以用户在配置人侵检测系统前应先明确自己的目标

8、,建议从如下几个方面进行考虑。6.3.1定义IDS的目标1.明确网络拓扑需求2.安全策略需求3.1DS的管理需求6.3.1定义IDS的目标1.明确网络拓扑需求。 分析网络拓扑结构,需要监控什么样的网络,是交换式的网络还是共享式网络;是否需要同时监控多个网络,多个子网是交换机连接还是通过路由器/网关连接;选择网络入口点

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。