返回
入侵检测技术

入侵检测技术

ID:25961668

大小:74.00 KB

页数:17页

时间:2018-11-23

入侵检测技术_第1页
入侵检测技术_第2页
入侵检测技术_第3页
入侵检测技术_第4页
入侵检测技术_第5页
资源描述:

《入侵检测技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、本文由yiyubin2008贡献ppt文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。IDS与IPSIDS——(入侵检测系统)IPS——(入侵防御系统)学习内容如下:什么是入侵检测系统及主要类型主要IDS技术主要IDS模型及各自特点IDS工作原理IPS工作原理IPS的分类IDS的主要不足和IPS的主要优势防火墙、IDS和IPS比较1入侵检测简介什么是入侵检测系统入侵检测系统是一套监控计算机系统或网络系统中发生的事件,根据规则进行安全审计的软件或硬件系统。生的事件,根据规则进行安全审计的软件或硬件系

2、统。入侵检测系统的工作原理1)信息收集信息收集(1)系统和网络日志文件(2)目录和文件中的不期望的改变(3)程序执行中的不期望行为(4)物理形式的入侵信息2)信号分析信号分析(1)模式匹配:模式匹配:模式匹配(2)统计分析统计分析(3)完整性分析完整性分析2入侵检测的任务检测来自内部的攻击事件和越权访问–85%以上的攻击事件来自于内部的攻击%–防火墙只能防外,难于防内防火墙只能防外,入侵检测系统作为防火墙系统的一个有效的补充–入侵检测系统可以有效的防范防火墙开放的服务入侵–通过事先发现风险来阻止入侵事件的发生,提前发现试图攻击

3、或滥用网络通过事先发现风险来阻止入侵事件的发生,系统的人员。系统的人员。–检测其它安全工具没有发现的网络工具事件。检测其它安全工具没有发现的网络工具事件。–提供有效的审计信息,详细记录黑客的入侵过程,从而帮助管理员发现网提供有效的审计信息,详细记录黑客的入侵过程,络的脆弱性。络的脆弱性。–网络中可被入侵者利用的资源–在一些大型的网络中,管理员没有时间跟踪系统漏洞并且安装相应的系统在一些大型的网络中,补丁程序。补丁程序。–用户和管理员在配置和使用系统中的失误。用户和管理员在配置和使用系统中的失误。3–对于一些存在安全漏洞的服务、

4、协议和软件,用户有时候不得不使用。对于一些存在安全漏洞的服务、协议和软件,用户有时候不得不使用。入侵检测系统的分类1)按照入侵检测系统的数据来源划分按照入侵检测系统的数据来源划分①基于主机的入侵检测系统②基于网络的入侵检测系统③采用上述两种数据来源的分布式的入侵检测系统2)按照入侵检测系统采用的检测方法来分类按照入侵检测系统采用的检测方法来分类①基于行为的入侵检测系统②基于模型推理的入侵检测系统③采用两者混合检测的入侵检测系统3)按照入侵检测的时间的分类按照入侵检测的时间的分类①实时入侵检测系统②事后入侵检测系统4入侵检测系统

5、的CIDF模型入侵检测系统的模型C-box输出:对事件的反应通用入侵检测框架(CIDF)是由美国)输出:高层、经加州大学Davis分校的加州大学分校的安全实验室提出的框架。安全实验室提出的框架。解释的事件CIDF从逻辑上把从逻辑上把A-boxIDS分成面向任务的一分成面向任务的一个组件集合,个组件集合,这些组件一起定义了入侵检测系统的结构。统的结构。这些组件包括:这些组件包括:事件发生器(E-boxes)事件发生器分析引擎(A-boxes)分析引擎存贮机制(D-boxes)存贮机制对抗措施(C-boxes)对抗措施输出:事件存

6、贮D-boxE-box输出:新的或低层事件CIDF组件关系组件关系5工作过程收集信息数据分析响应6入侵检测系统构件响应单元输出:高级中断事件输出:反应或事件输出:事件的存储信息事件分析器事件数据库输出:原始或低级事件事件产生器输入:原始事件源7入侵检测系统构件事件产生器(Eventgenerators)(E-box)事件产生器事件产生器的目的是从整个计算环境中获得事件,事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件事件分析器(Eventanalyzers)(A-box)事件分析器事件分析器分析得到的数

7、据,事件分析器分析得到的数据,并产生分析结果响应单元(Responseunits)(C-box)响应单元响应单元则是对分析结果作出作出反应的功能单元,它可以作出切响应单元则是对分析结果作出作出反应的功能单元,断连接、改变文件属性等强烈反应,甚至发动对攻击者的反击甚至发动对攻击者的反击,断连接、改变文件属性等强烈反应甚至发动对攻击者的反击,也可以只是简单的报警事件数据库(Eventdatabases)(D-box)事件数据库事件数据库是存放各种中间和最终数据的地方的统称,事件数据库是存放各种中间和最终数据的地方的统称,它可以是复

8、杂的数据库,杂的数据库,也可以是简单的文本文件8入侵检测引擎工作流程9放在边界防火墙之内放在边界防火墙之外放在主要的网络中枢放在一些安全级别需求高的子网检测器部署示意图部署二部署一Internet10入侵检测系统部署方式检测器放置于防火墙的DMZ区域区域检测器放置于防火墙的可

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。