返回
第9章入侵检测技术

第9章入侵检测技术

ID:14259020

大小:52.50 KB

页数:10页

时间:2018-07-27

第9章入侵检测技术_第1页
第9章入侵检测技术_第2页
第9章入侵检测技术_第3页
第9章入侵检测技术_第4页
第9章入侵检测技术_第5页
资源描述:

《第9章入侵检测技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、本文由javoldon贡献ppt文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。第9章入侵检测技术9.1入侵检测的基本原理9.2网络入侵技术9.3应用实例9.1入侵检测的基本原理本节内容9.1.19.1.29.1.3入侵检测的基本原理入侵检测系统的分类入侵检测系统的发展方向9.1.1入侵检测的基本原理1.入侵检测产品的现状入侵检测系统IDS(IntrusionDetectSystem)分为两种:主机入侵检测系统(HIDS)和网络入侵检测系统(NIDS)。主机入侵检测系统分析对象为主

2、机审计日志,所以需要在主机上安装入侵检测软件,针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较为复杂,同时对系统的运行和稳定性造成影响,目前在国内应用较少。网络入侵监测分析对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响,目前国内使用较为广泛。本章介绍的是当前广泛使用的网络入侵监测系统。2.入侵检测系统的作用我们知道,防火墙是Internet网络上最有效的安全保护屏障,防火墙在网络安全中起到大门警卫的作用,对进出的数据依照预先设定的规则进行匹配,符合规则的就予以放行,起到访问控制的

3、作用,是网络安全的第一道闸门。但防火墙的功能也有局限性,防火墙只能对进出网络的数据进行分析,对网络内部发生的事件完全无能为力。同时,由于防火墙处于网关的位置,不可能对进出攻击作太多判断,否则会严重影响网络性能。如果把防火墙比作大门警卫的话,入侵检测就是网络中不间断的摄像机,入侵检测通过旁路监听的方式不间断的收取网络数据,对网络的运行和性能无任何影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警。IDS是主动保护自己免受攻击的一种网络安全技术。IDS对网络或系统上的可疑行为做出相应的反应,及时切断入侵

4、源,保护现场并通过各种途径通知网络管理员,增大保障系统安全。3.入侵检测系统的工作流程入侵检测系统由数据收集、数据提取、数据分析、事件处理等几个部份组成。(1)数据收集入侵检测的第一步是数据收集,内容包括系统、网络运行、数据及用户活动的状态和行为,而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集数据。入侵检测很大程度上依赖于收集数据的准确性与可靠性,因此,必须使用精确的软件来报告这些信息,因为黑客经常替换软件以搞混和移走这些数据,例如替换被程序调用的子程序、库和其它工具。数据的收集主要来源

5、以下几个方面:系统和网络日志文件、目录和文件不期望的改变、程序不期望的行为、物理形式的入侵数据。(2)数据提取从收集到的数据中提取有用的数据,以供数据分析之用。(3)数据分析对收集到的有关系统、网络运行、数据及用户活动的状态和行为等数据通过三种技术手段进行分析:模块匹配、统计分析和完整性分析。(4)结果处理记录入侵事件,同时采取报警、中断连接等措施。9.1.2入侵检测系统的分类入侵检测系统(IDS)可以分成3类:基于主机型(HostBased)入侵检测系统、基于网络型(NetworkBased)入侵检测系统和基

6、于代理型(AgentBased)入侵检测系统。1.基于主机的入侵检测系统基于主机的入侵检测系统通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计记录文件的记录与攻击签名(AttackSignature,指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配,检测系统向系统管理员发出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件,并可对入侵事件及时做出反应。它还可针对不同操作系统的特点判断应用层的入侵事件。基于主机的IDS有着明显的优点:适合于加密和交换环境

7、;可实时的检测和响应;不需要额外的硬件。基于主机的入侵检测系统对系统内在的结构却没有任何约束,同时可以利用操作系统本身提供的功能,并结合异常检测分析,更能准确的报告攻击行为。基于主机的入侵检测系统存在的不足之处在于:会占用主机的系统资源,增加系统负荷,而且针对不同的操作平台必须开发出不同的程序,另外所需配置的数量众多。2.基于网络的入侵检测系统基于网络的入侵检测系统把原始的网络数据包作为数据源。利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务。它的攻击识别模块进行攻击签名识别的方法有:模式、表达式

8、或字节码匹配;频率或阈值比较;次要事件的相关性处理;统计异常检测。一旦检测到攻击,IDS的响应模块通过通知、报警以及中断连接等方式来对攻击行为做出反应。然而它只能监视通过本网段的活动,并且精确度较差,在交换网络环境中难于配置,防欺骗的能力也比较差。其优势有:成本低;攻击者转移证据困难;实时检测和响应;能够检测到未成功的攻击企图;与操作系统无关。3.基于代理的入侵检测系统基于代理的入侵检

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。