返回
《入侵检测技术》PPT课件(I)

《入侵检测技术》PPT课件(I)

ID:39410766

大小:815.10 KB

页数:61页

时间:2019-07-02

《入侵检测技术》PPT课件(I)_第1页
《入侵检测技术》PPT课件(I)_第2页
《入侵检测技术》PPT课件(I)_第3页
《入侵检测技术》PPT课件(I)_第4页
《入侵检测技术》PPT课件(I)_第5页
资源描述:

《《入侵检测技术》PPT课件(I)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第13讲入侵检测技术信息安全系王志伟对计算机系统或网络的入侵已成为计算机安全最严重的威胁之一。入侵检测系统可以提供早期的预警,从而避免或减轻入侵所造成的损失。入侵检测涉及对正常行为的模式检测和对于入侵相关的异常行动的模式检测。概述入侵检测的分类入侵检测方法入侵检测响应机制本章摘要概述入侵检测分类入侵检测方法入侵检测响应机制IDS存在与发展的必然性一、网络攻击的破坏性、损失的严重性二、日益增长的网络安全威胁三、单纯的防火墙无法防范复杂多变的攻击网络安全工具的特点优点局限性防火墙可简化网络管理,产品成熟无法处理网络内部的攻击IDS实时监控网络安全状态误报警,缓慢攻

2、击,新的攻击模式Scanner简单可操作,帮助系统管理员和安全服务人员解决实际问题并不能真正扫描漏洞VPN保护公网上的内部通信可视为防火墙上的一个漏洞防病毒针对文件与邮件,产品成熟功能单一IntrusionIntrusion:Attemptingtobreakintoormisuseyoursystem.Intrudersmaybefromoutsidethenetworkorlegitimateusersofthenetwork.Intrusioncanbeaphysical,systemorremoteintrusion.传统的信息安全方法采用严格的访问控制

3、和数据加密策略来防护,但在复杂系统中,这些策略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全。入侵检测(IntrusionDetection)是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。IntrusionDetectionIntrusionDetectionSystem进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS:IntrusionDetectionSystem)对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的

4、机密性、完整性和可用性。IDS基本结构入侵检测系统包括三个功能部件(1)信息收集(2)信息分析(3)结果处理信息收集信息收集入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息尽可能扩大检测范围从一个源来的信息有可能看不出疑点信息收集入侵检测很大程度上依赖于收集信息的可靠性和正确性。要保证用来检测网络系统的软件的完整性。特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息。信息收集的来源系统或网络的日志文件网络流量系统目录和文件的异常变化程序执

5、行中的异常行为系统或网络的日志文件攻击者常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容显然,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等系统目录和文件的异常变化网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标目录和文件中的不期望的改变(包括修改、创建和删除

6、),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号入侵者经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件信息分析信息分析模式匹配统计分析完整性分析,往往用于事后分析模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为一般来讲,一种攻击模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全

7、状态的变化)统计分析统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)测量属性的平均值和偏差将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生完整性分析完整性分析主要关注某个文件或对象是否被更改这经常包括文件和目录的内容及属性在发现被更改的、被安装木马的应用程序方面特别有效结果处理入侵检测性能关键参数误报(falsepositive):如果系统错误地将异常活动定义为入侵漏报(falsenegative):如果系统未能检测出真正的入侵行为1.概述

8、入侵检测分类入侵检测方

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。