返回
最新入侵检测技术教学讲义PPT课件.ppt

最新入侵检测技术教学讲义PPT课件.ppt

ID:62103266

大小:1.98 MB

页数:40页

时间:2021-04-16

最新入侵检测技术教学讲义PPT课件.ppt_第1页
最新入侵检测技术教学讲义PPT课件.ppt_第2页
最新入侵检测技术教学讲义PPT课件.ppt_第3页
最新入侵检测技术教学讲义PPT课件.ppt_第4页
最新入侵检测技术教学讲义PPT课件.ppt_第5页
资源描述:

《最新入侵检测技术教学讲义PPT课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、入侵检测技术引言防火墙是所有保护网络的方法中最能普遍接受的方法,能阻挡外部入侵者,但对内部攻击无能为力;同时,防火墙绝对不是坚不可摧的,即使是某些防火墙本身也会引起一些安全问题。防火墙不能防止通向站点的后门,不提供对内部的保护,无法防范数据驱动型的攻击,不能防止用户由Internet上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输。入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。相关术语攻击•攻击者利用工具,出于某种动机,对目标系统采取的行动,其后果是

2、获取/破坏/篡改目标系统的数据或访问权限事件•在攻击过程中发生的可以识别的行动或行动造成的后果;在入侵检测系统中,事件常常具有一系列属性和详细的描述信息可供用户查看。•CIDF将入侵检测系统需要分析的数据统称为事件(event)入侵•对信息系统的非授权访问及(或)未经许可在信息系统中进行操作入侵检测•对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程入侵检测系统(IDS)•用于辅助进行入侵检测或者独立进行入侵检测的自动化工具入侵检测系统的作用实时检测实时地监视、分析网络中所有的数据报文发现并实时处理所捕获的数据报文安全审计对系统记录的网络事件进行统计分析发现异

3、常现象得出系统的安全状态,找出所需要的证据主动响应主动切断连接或与防火墙联动,调用其他程序处理入侵检测系统的类型IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类。根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和误用入侵检测IDS有两种类型。基于主机的入侵检测系统基于主机的入侵检测系统系统安装在主机上面,对本主机进行安全检测优点:能够检查到基于网络的系统检查不出的攻击。误报率要低不要求额外的硬件设备可监视特定的系统活动不足基于主机的IDS需要安装在需要保护的设备上,降低系统效率,同时也会带来一些额外的安全问题。事后检测,

4、而非实时全面部署主机入侵检测系统的代价较大。基于网络的入侵检测系统系统安装在比较重要的网段内特点检测基于主机的系统检测不到的攻击。实时检测和响应保留攻击证据操作系统无关性不足需要检测的信息量太大无法在交换式环境以及加密环境中检测容易受到拒绝服务攻击逃避网络检测的技术层出不穷。混合型混合型安装在网络节点的主机中,结合基于主机的和基于网络的技术,适合于高速交换环境和加密数据。基于主机的和基于网络的两个系统在很大程度上是互补的许多安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统,即组建混合型入侵检测系统。异常检测(AnomalyDetection)异常检测(A

5、nomalyDetection)基于统计分析原理。首先总结正常操作应该具有的特征(用户轮廓),试图用定量的方式加以描述,当用户活动与正常行为有重大偏离时即被认为是入侵。前提:入侵是异常活动的子集。指标:漏报率低,误报率高。用户轮廓(Profile):通常定义为各种行为参数及其阀值的集合,用于描述正常行为范围。特点:异常检测系统的效率取决于用户轮廓的完备性和监控的频率;不需要对每种入侵行为进行定义,因此能有效检测未知的入侵;系统能针对用户行为的改变进行自我调整和优化,但随着检测模型的逐步精确,异常检测会消耗更多的系统资源。误用检测(MisuseDetection)误用

6、检测(MisuseDetection)基于模式匹配原理。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。前提:所有的入侵行为都有可被检测到的特征。指标:误报低、漏报高。攻击特征库:当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。特点:采用模式匹配,误用模式能明显降低误报率,但漏报率随之增加。攻击特征的细微变化,会使得误用检测无能为力。入侵检测系统的工作流程及部署一、入侵检测系统的工作流程信息收集数据分析实时记录、报警或有限度反击一、入侵检测系统的工作流程信息收集入侵检测的第一步是

7、信息收集,内容包括网络流量的内容、用户连接活动的状态和行为。入侵检测利用的信息一般来自以下四个方面系统日志目录以及文件中的异常改变程序执行中的异常行为物理形式的入侵信息一、入侵检测系统的工作流程数据分析对收集到的信息,一般分为四种手段进行分析:模式匹配,统计分析,专家系统和完整性分析。其中前三种方法用于实时的入侵检测,而完整性分析则用于事后分析。1.模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。2.统计分析分析方法首先给信息对象(如用户、连接、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。