返回
网络安全22入侵检测系统方案

网络安全22入侵检测系统方案

ID:36422310

大小:1.13 MB

页数:56页

时间:2019-05-09

网络安全22入侵检测系统方案_第1页
网络安全22入侵检测系统方案_第2页
网络安全22入侵检测系统方案_第3页
网络安全22入侵检测系统方案_第4页
网络安全22入侵检测系统方案_第5页
资源描述:

《网络安全22入侵检测系统方案》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、吕延庆mailto:yanqlv@yahoo.com.cn入侵检测系统NetworkSecurity&Privacy计算机安全的三大中心目标是:保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)其中比较突出的技术有:身份认证与识别,访问控制机制,加密技术,防火墙技术自适应网络安全技术(动态安全技术)和动态安全模型应运而生。典型的就是P2DR模型(如图11-1所示)。静态安全(防御)技术引言图11-1P2DR模型入侵检测是动态安全技术的核心技

2、术之一是防火墙的合理补充是安全防御体系的一个重要组成部分入侵检测系统属于比较新的技术,据专家预测,将来可能个人计算机上必备的三大安全软件将为:杀毒软件,防火墙,入侵检测系统。入侵检测的发展简史最早可追溯到1980年,JamesP.Anderson在一份技术报告中提出审计记录可用于检测计算机误用行为的思想,这可谓是入侵检测的开创性的先河。DorothyE.Denning在1987年的一篇论文[3]中提出了实时入侵检测系统模型L.ToddHeberlien在1990年提出的NSM(NetworkSe

3、curityMonitor)是入侵检测发展史上又一个具有重要意义的里程碑。监视主机监视网络IDS的作用已知的网络安全系统(防火墙、安全评估系统、加密、身份认证)众多,为什么还要入侵检测系统?关于防火墙网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部入侵很容易入侵教程随处可见各种工具唾手可得IDS与Firewall联动通过在防火墙中驻留的一个IDSAgent对象,以接收来自IDS的控制消息,然后再增加防火墙的过滤规则,最终实现联动CiscoCIDF(CISL)ISSChe

4、ckpoint一个国产入侵检测系统: 系统规则库的选择界面入侵检测基本原理入侵检测的基本概念入侵企图破坏资源的完整性、保密性、可用性的任何行为,也指违背系统安全策略的任何事件。入侵行为不仅仅是指来自外部的攻击,同时内部用户的未授权行为也是一个重要的方面从入侵策略的角度来看,入侵可分为企图进入、冒充其它合法用户、成功闯入、合法用户的泄漏、拒绝服务以及恶意使用等几个方面。检测通过从计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹

5、象,同时做出响应。图11-2入侵检测的一般过程信息源是指包含有最原始的入侵行为信息的数据主要是网络、系统的审计数据或原始的网络数据包数据预处理是指将其转化为检测模型所接受的数据格式包括对冗余信息的去除,即数据简约是入侵检测研究领域的关键,也是难点之一检测模型是指根据各种检测算法建立起来的检测分析模型它的输入一般是经过数据预处理后的数据,输出为对数据属性的判断结果数据属性一般是针对数据中包含的入侵信息的断言检测结果即检测模型输出的结果由于单一的检测模型的检测率不理想,往往需要利用多个检测模型进行并

6、行分析处理,然后对这些检测结果进行数据融合处理,以达到满意的效果。安全策略是指根据安全需求设置的策略。响应处理主要是指综合安全策略和检测结果所作出的响应过程包括产生检测报告、通知管理员、断开网络连接或更改防火墙的配置等积极的防御措施3入侵检测系统分类入侵检测系统的分类有多种,这里主要介绍两种:一种是根据入侵检测系统的输入数据来源的分类基于主机的入侵检测系统(HIDS)基于网络的入侵检测系统(NIDS)一种是根据入侵检测系统所采用的技术的分类异常检测(AnomalyDetection)误用检测(M

7、isuseDetection)3.1按数据来源的分类输入数据的来源来看,它可分为:基于主机的入侵检测系统基于网络的入侵检测系统。1.基于主机的(Host-Based)入侵检测系统基于主机的入侵检测系统(HIDS)通常以系统日志、应用程序日志等审计记录文件作为数据源。它是通过比较这些审计记录文件的记录与攻击签名(AttackSignature,指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配,检测系统就向系统管理员发出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵

8、事件,并可对入侵事件作出立即反应。它还可针对不同操作系统的特点判断出应用层的入侵事件。HIDS的优点和不足早期的入侵检测系统大多都是基于主机的IDS,作为入侵检测系统的一大重要类型,它具有着明显的优点:1)能够确定攻击是否成功2)非常适合于加密和交换环境3)近实时的检测和响应4)不需要额外的硬件5)可监视特定的系统行为基于主机的IDS也存在一些不足:会占用主机的系统资源,增加系统负荷,而且针对不同的操作系统必须开发出不同的应用程序,另外,所需配置的IDS数量众多。但是对系统内在的结构没有任何的约

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。