信息安全技术教程清华大学出版社-第八章节

信息安全技术教程清华大学出版社-第八章节

ID:41302836

大小:993.50 KB

页数:25页

时间:2019-08-21

信息安全技术教程清华大学出版社-第八章节_第1页
信息安全技术教程清华大学出版社-第八章节_第2页
信息安全技术教程清华大学出版社-第八章节_第3页
信息安全技术教程清华大学出版社-第八章节_第4页
信息安全技术教程清华大学出版社-第八章节_第5页
资源描述:

《信息安全技术教程清华大学出版社-第八章节》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、2021/10/6第八章入侵检测8.1入侵检测的概念与基本术语8.2入侵检测系统的检测机制8.3入侵检测系统8.4入侵检测系统实现8.5入侵检测系统产品的选择8.6入侵检测的发展趋势8.7Snort简介8.8习题8.1入侵检测的概念与基本术语典型的入侵检测系统2021/10/6基本术语入侵、入侵过程、误报、漏报、入侵检测、入侵检测系统(IDS)、基于主机的入侵检测系统(HIDS)、基于网络的入侵检测系统(NIDS)、混杂模式入侵检测系统组成2021/10/68.2入侵检测系统的检测机制8.2.1异常检测8.2.2误用检测2021/10/68.2.1异常检测定义异常检测通过将系统或用户行为

2、与正常行为进行比较来判别是否为入侵行为白名单用户,用户组,应用程序,系统等的经验数据存在问题误报问题、漏报问题、计算量过大问题2021/10/68.2.2误用检测定义误用检测在系统中建立异常行为的特征库,然后将系统或用户的行为与特征库进行比较存在问题不能预知新的攻击,只能检测出已发生过的攻击。2021/10/68.3入侵检测系统8.3.1入侵检测系统的设计准则8.3.2基于网络的入侵检测系统(NIDS)8.3.3基于主机的入侵检测系统(HIDS)8.3.4NIDS与HIDS比较8.3.5其它类型的入侵检测系统2021/10/68.3.1入侵检测系统的设计准则设计准则其配置结束后可以自我运

3、行。工作时必须时刻保持积极的工作状态且自身不易被攻击。能够识别系统不常见的行为,每一个入侵检测系统都会遗漏一些异常行为,不过一个好的系统能够尽可能多得发现入侵行为。系统运行要尽可能减少对正常工作的影响。系统必须可控,可调试2021/10/68.3.2基于网络的入侵检测系统(NIDS)基于网络的入侵检测系统将整个网络作为扫描范围,通过检测整个网络来发现网络上异常的,不恰当的,或其它可能导致未授权,有害事件发生的事件。2021/10/6图8-3基于网络的入侵检测系统的部署8.3.3基于主机的入侵检测系统(HIDS)基于主机的入侵检测系统(HIDS)将检测转向组织网络的内部,检测针对本地主机入

4、侵行为的系统特点单一主机上进行恶意行为检测的技术可以部署在单一主机上,同样也可以部署在远程主机上,或部署在网段上来检测整个网段处理压力增大2021/10/68.3.4NIDS与HIDS比较NIDS的优点可以检测到HIDS不能检测到的攻击实时监测可以检测到未成功的入侵行为NIDS的缺点和HIDS比,NIDS拥有盲区,因为部署在组织网络的边缘地带,NIDS对整个内部网络是不了解的NIDS不能解密数据包其他加密的部分2021/10/68.3.5其它类型的入侵检测系统系统完整性验证者(SIVs)一直监测系统中的核心文件(例如系统文件或注册表)来检测是否被入侵者更改日志文件监督(LFM)监测网络服

5、务创建的日志记录,并将其与关键字进行匹配来判断入侵者是否正在攻击蜜罐包含漏洞,诱使入侵者对其进行攻击从而获取攻击者攻击工具和攻击方法的信息2021/10/68.4入侵检测系统实现入侵检测系统对收集的数据进行分析并以此判断是否为入侵行为,具体的实现方法有以下几种:特征检测、统计检测和专家系统。特征检测特征检测对已知的攻击或入侵方式做确定性的描述,形成相应的事件模式,当被审计的事件与已知的入侵事件模式相匹配时即报警。原理上与专家系统相仿检测方法上与计算机病毒的检测方式类似应用广泛、检测率高对无经验知识的入侵与攻击行为无效2021/10/6统计检测统计检测的统计模型常用异常检测,参数包括:审计

6、事件的数量、间隔时间、资源消耗情况等。可以“学习”用户的使用习惯,从而具有较高检出率与可用性。给入侵者训练入侵事件的机会专家系统专家系统是用专家系统对入侵进行检测针对的大多数是有特征的入侵行为。专家系统的建立依赖于知识库的完备性,最终依赖于审计记录的完备性与实时性关键在于入侵的特征抽取与表达2021/10/68.5入侵检测系统产品的选择价格系统价格以及特征库升级与维护的费用,性能价格比、以及要保护系统的价值网络的部署环境入侵检测系统对于异常行为的敏感度产品的可扩展性系统的选用应该具有良好的扩展性以满足网络日益扩大及日后升级的需要;产品支持的入侵特征数,产品有哪些响应方法,系统支持的传感器

7、数目、最大数据库大小等误报率与漏报率2021/10/68.6入侵检测的发展趋势大规模分布式入侵检测两层含义:1)针对分布式网络攻击的检测方法;2)用分布式的方法来检测分布式的攻击智能化入侵检测将神经网络、遗传算法、模糊技术、免疫原理等方法用于入侵特征的辨识与泛化入侵检测的数据融合技术全面的安全防御方案从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,并且结合防火墙,病毒防护以及电子商务技术,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。