返回
《讲入侵检测技术》PPT课件

《讲入侵检测技术》PPT课件

ID:37411069

大小:1.76 MB

页数:49页

时间:2019-05-12

《讲入侵检测技术》PPT课件_第1页
《讲入侵检测技术》PPT课件_第2页
《讲入侵检测技术》PPT课件_第3页
《讲入侵检测技术》PPT课件_第4页
《讲入侵检测技术》PPT课件_第5页
资源描述:

《《讲入侵检测技术》PPT课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、1入侵检测技术第十二讲2主要的传统安全技术•加密•消息摘要、数字签名•身份鉴别:口令、鉴别交换协议、生物特征•访问控制•安全协议:IPSec、SSL•网络安全产品与技术:防火墙、VPN•内容控制:防病毒、内容过滤等一、概述防火墙是所有保护网络的方法中最能普遍接受的方法,能阻挡外部入侵者,但对内部攻击无能为力;无法防范数据驱动型的攻击,不能防止用户由Internet上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输等。入侵检测(IntrusionDetection)对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹

2、象。IDS(IntrusionDetectionSystem,入侵检测系统)处于防火墙之后并对网络活动进行实时的检测。在许多情况下,由于可以记录和禁止网络活动,所以可以把入侵检测系统看作是防火墙的延续。它们可以配合防火墙和路由器工作。例如:IDS可以重新配置规则,禁止从防火墙外部进入的恶意流量。入侵检测是对传统安全产品的补充和加强,是任何一个安全系统中不可缺的最后一道防线!一、概述IDS的需求特性1.实时性要求尽快发现、阻止攻击、记录攻击过程、…2.可扩展性要求不需改动系统体系结构,仍能够检测新的攻击3.适应性要求仍能适用多种应用环境和网络环境、跨平台工作4.安全性要求预测新的攻击威胁,

3、不能带来新的安全隐患5.有效性要求错报与漏报能够控制在一定范围内一、概述入侵检测给予的重要前提是:非法行为和合法行为是可区分的。入侵检测系统需要解决两个关键问题:一是如何充分并可靠地提取描述行为特征的数据;二是如何根据特征数据,高效并准确地判断行为的特征。一、概述IDS一般结构:IDS信息的收集和预处理。对来自网络系统不同节点(不同子网和不同主机)隐藏了的网络入侵行为的数据进行采集,如系统日志、网络数据包、文件与用户活动的状态和行为。入侵分析引擎。对数据进行分析以寻找入侵。响应和恢复系统。一旦发现入侵,IDS就会马上进入响应过程,并在日志、警告和安全控制等方面作出反应。一、概述7信息收集

4、•入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。•需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,尽可能扩大检测范围•入侵检测很大程度上依赖于收集信息的可靠性和正确性。一、概述8信息收集的来源数据来源可分为四类:来自主机的:基于主机的监测收集通常在操作系统层的来自计算机内部的数据,包括包括系统日志、安全审计记录、系统配置文件的完整性情况和应用服务程序产生的日志文件等。•来自网络的:网络信息是最被关注的信息来源。凡是流经网络的数据流都可以被利用作为入侵检测系统的信息源,其涉及的范围也最广。•来自应用程序的:监测收集来自运行着的应用程序

5、的数据,包括应用程序事件日志和其它存储在应用程序内部的数据•其他安全产品提供的信息:如防火墙、身份认证系统、访问控制系统和网络管理系统等产生的审计记录和通用消息等。一、概述9信息分析•模式匹配(误用检测)•统计分析(异常检测)•完整性分析,往往用于事后分析一、概述10统计分析•统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。•测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生完整性分析•完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录

6、的内容及属性,它在发现被更改的、被安装木马的应用程序方面特别有效。模式匹配•模式匹配就是将收集到的信息与已知的网络入侵特征数据库进行匹配比较,从而发现违背安全策略的行为。一、概述入侵检测性能关键参数误报(falsepositive):如果系统错误地将非入侵行为(异常行为)定义为入侵。漏报(falsenegative):如果系统未能检测出真正的入侵行为。11一、概述12IDS分类按照分析方法–异常检测模型(AnomalyDetection):首先统计归纳正常用户行为特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。–一、概述13前提:建立完备的用户轮廓(Profile)集:

7、通常定义为各种行为参数及其阀值,用于描述正常行为范围。阀值的设定能保证异常活动集与入侵活动集相等过程:监控→量化→比较→判定→修正指标:误报率;漏报率•特点:异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵行为进行定义,因此能检测未知或变种的入侵。该方法的关键是异常阈值的选择。漏报率低,误报率高一、概述–误用检测模型(MisuseDetection):收集非正常操作的行为特征,建立相关的特征库,当监测的用户

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。