返回
网络安全入侵检测和安全审计技术

网络安全入侵检测和安全审计技术

ID:36197406

大小:521.00 KB

页数:82页

时间:2019-05-07

网络安全入侵检测和安全审计技术_第1页
网络安全入侵检测和安全审计技术_第2页
网络安全入侵检测和安全审计技术_第3页
网络安全入侵检测和安全审计技术_第4页
网络安全入侵检测和安全审计技术_第5页
资源描述:

《网络安全入侵检测和安全审计技术》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、退出第4章入侵检测与安全审计网络安全技术学习目的:了解入侵检测概念初步掌握入侵检测系统(IDS)的分析方法了解入侵检测系统(IDS)结构初步掌握入侵检测工具了解安全审计技术学习重点:入侵检测系统(IDS)的分析方法入侵检测工具安全审计技术4.1 入侵检测系 统概述当我们无法完全防止入侵时,那么只能希望系统在受到攻击时,能尽快检测出入侵,而且最好是实时的,以便可以采取相应的措施来对付入侵,这就是入侵检测系统要做的,它从计算机网络中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵

2、检测被认为是防火墙之后的第二道安全闸门。4.1.1入侵检测定义1、定义可以看到入侵检测的作用就在于及时地发现各种攻击以及攻击企图并作出反应。我们可以给入侵检测做一个简单的定义,入侵检测就是对(网络)系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性与可用性。2、基本特性经济性时效性安全性可扩展性1、入侵检测的发展入侵检测从最初实验室里的研究课题到目前的商业IDS产品,已经有20多年的发展历史,可分为两个阶段:4.1.2入侵检测的发展及未来安全审计IDS的诞生2、入侵检测技术主要

3、的发展方向体系结构方向进一步研究分布式入侵检测与通用的入侵检测架构。应用层入侵检测智能的入侵检测提供高层统计与决策响应策略与恢复研究入侵检测的评测方法和其它网络安全部件的协作、与其他安全技术的结合4.1.3入侵检测系统的功能及分类1、入侵检测系统的功能监测并分析用户和系统的活动,查找非法用户和合法用户的越权操作。检查系统配置和漏洞,并提示管理员修补漏洞(现在通常由安全扫描系统完成)。评估系统关键资源和数据文件的完整性。识别已知的攻击行为。统计分析异常行为。操作系统日志管理,并识别违反安全策略的用户活动等。2.入侵检测的分

4、类对入侵检测技术的分类方法很多,根据着眼点的不同,主要有下列几种分法:按数据来源和系统结构分类,入侵检测系统分为3类:基于主机的入侵检测系统,基于网络的入侵检测系统,分布式入侵检测系统(混合型)。根据数据分析方法(也就是检测方法)的不同,可以将入侵检测系统分为2类:异常检测和误用检测。按数据分析发生的时间不同,入侵检测系统可以分为2类:离线检测系统与在线检测系统。按照系统各个模块运行的分布方式不同,可以分为2类:集中式检测系统和分布式检测系统。4.1.4入侵响应(IntrusionResponse)入侵响应就是当检测到入

5、侵或攻击时,采取适当的措施阻止入侵和攻击的进行。入侵响应系统分类也有几种分类方式,按响应类型可分为:报警型响应系统、人工响应系统、自动响应系统;按响应方式可分为:基于主机的响应、基于网络的响应;按响应范围可分为:本地响应系统、协同入侵响应系统。当我们检测到入侵攻击时,采用的技术很多,又大致可分为被动入侵响应技术和主动入侵响应技术。被动入侵响应包括:记录安全事件、产生报警信息、记录附加日志、激活附加入侵检测工具等。主动入侵响应包括隔离入侵者IP、禁止被攻击对象的特定端口和服务、隔离被攻击对象、警告攻击者、跟踪攻击者、断开危

6、险连接、攻击攻击者等。Garfinkel和Spafford于1996年推荐了两个重要的响应方案:第一个是保持冷静,不要惊慌。第二个是对每件事情都进行记录。Chapman与Zwicky也针对入侵攻击提出了如下七步建议:第一步:估计形势并决定需要做出那些响应第二步:如果有必要就断开连接或关闭资源第三步:事故分析和响应第四步:根据响应策略向其他人报警第五步:保存系统状态第六步:恢复遭到攻击的系统工程第七步:记录所发生的一切4.1.5入侵跟踪技术1、基础互联网的各种协议的了解在不同的网络层,主要的不同网络地址2、跟踪电子邮件简单

7、邮件传输协议SMTP跟踪发信者最好的办法就是对邮件中附加的头信息中出现的整个路径作彻底的调查。SMTP邮件服务器保存的日志记录信息审计3、跟踪Usenet的信息传递对消息中附加的头信息中出现的整个路径作彻底的调查和审计日志信息。4.第三方跟踪工具(NetscanPro)5.蜜罐技术4.2入侵检测系统 (IDS)的分析 方法入侵分析的任务就是在提取到的庞大数据中找到入侵的痕迹。入侵分析过程需要将提取到的事件与入侵检测规则等进行比较,从而发现入侵行为。一方面入侵检测系统需要尽可能多地提取数据以获得足够的入侵证据,而另一方面由

8、于入侵行为的千变万化而导致判定入侵的规则等越来越复杂,为了保证入侵检测的效率和满足实时性的要求,入侵分析必须在系统的性能和检测能力之间进行权衡,合理地设计分析策略,并且可能要牺牲一部分检测能力来保证系统可靠、稳定地运行,并具有较快的响应速度。入侵检测分析技术主要分为两类:异常检测和误用检测。4.2.1基于异常的入侵检

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。