返回
入侵检测技术

入侵检测技术

ID:20221953

大小:100.61 KB

页数:8页

时间:2018-10-11

入侵检测技术_第1页
入侵检测技术_第2页
入侵检测技术_第3页
入侵检测技术_第4页
入侵检测技术_第5页
资源描述:

《入侵检测技术》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、1.教学:入侵检测技术1.1入侵检测简介1.概念入侵检测(IntrusionDetection)是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。因此被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。2.功能及优点监督并分析用户和系统的

2、活动;检查系统配置和漏洞;检查关键系统和数据文件的完整性;识别代表已知攻击的活动模式;对反常行为模式的统计分析;入侵检测系统和漏洞评估工具的优点在于:提高了信息安全体系其它部分的完整性;提高了系统的监察能力;跟踪用户从进入到退出的所有活动或影响;识别并报告数据文件的改动;发现系统配置的错误,必要时予以更正;识别特定类型的攻击,并向相应人员报警,以做出防御反应;可使系统管理人员最新的版本升级添加到程序中;允许非专家人员从事系统安全工作;为信息安全策略的创建提供指导;1.2IDS简介1.概念IDS是英文“Intrusi

3、onDetectionSystems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。例如:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦外部人员爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。2.原理入侵检测可分为实时入侵检测和事后入侵检测两种:实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储

4、在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测则是由具有网络安全专业知识的网络管理人员来进行的,是管理员定期或不定期进行的,不具有实时性,因此防御入侵的能力不如实时入侵检测系统。入侵检测流程:(1)入侵检测的第一步:信息收集收集的内容包括系统、网络、数据及用户活动的状态和行为。收集信息需要在计算机网络系统中不同的关键点来进行,这样一方面可以尽可能扩大检测范围,另一方面从几个信源来的信息的

5、不一致性是可疑行为或入侵的最好标识,因为有时候从一个信源来的信息有可能看不出疑点。入侵检测利用的信息一般来自以下四个方面:1)系统日志黑客经常在系统日志中留下他们的踪迹,因此,充分利用系统日志是检测入侵的必要条件。日志文件中记录了各种行为类型,每种类型又包含不同的信息,很显然地,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等。2)目录以及文件中的异常改变网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。

6、3)程序执行中的异常行为网络系统上的程序执行一般包括操作系统、网络服务、用户启动的程序和特定目的的应用,例如数据库服务器。每个在系统上执行的程序由一到多个进程来实现。每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统资源、程序和数据文件等。一个进程出现了不期望的行为可能表明黑客正在入侵你的系统。黑客可能会将程序或服务的运行分解,从而导致运行失败,或者是以非用户或非管理员意图的方式操作。4)物理形式的入侵信息这包括两个方面的内容:一是未授权的对网络硬件连接;二是对物理资源的未授权访问。(2)入侵检测的

7、第二步:数据分析一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。1)模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测以前从未出现过的黑客攻击手段。2)统计分析统计分析方法首先

8、给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值如果超过了正常值范围,就认为有入侵发生。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。