网络的攻击与防范-理论与实践 第3篇 网络防御部分 第15章 入侵检测技术的原理与应用

网络的攻击与防范-理论与实践 第3篇 网络防御部分 第15章 入侵检测技术的原理与应用

ID:43809912

大小:275.50 KB

页数:82页

时间:2019-10-14

网络的攻击与防范-理论与实践 第3篇 网络防御部分 第15章 入侵检测技术的原理与应用_第1页
网络的攻击与防范-理论与实践 第3篇 网络防御部分 第15章 入侵检测技术的原理与应用_第2页
网络的攻击与防范-理论与实践 第3篇 网络防御部分 第15章 入侵检测技术的原理与应用_第3页
网络的攻击与防范-理论与实践 第3篇 网络防御部分 第15章 入侵检测技术的原理与应用_第4页
网络的攻击与防范-理论与实践 第3篇 网络防御部分 第15章 入侵检测技术的原理与应用_第5页
资源描述:

《网络的攻击与防范-理论与实践 第3篇 网络防御部分 第15章 入侵检测技术的原理与应用》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第三篇网络防护篇第11章安全扫描技术的原理与应用第12章操作系统安全防范第13章密码及认证技术第14章防火墙的技术原理与应用第15章入侵检测技术的原理与应用第16章蜜罐与蜜网技术第17章数据备份与灾难恢复技术第18章网络安全综合防范平台第15章入侵检测技术的原理与应用入侵检测系统(IntrusionDetectionSystem,IDS)通过实时地收集和分析计算机网络或系统中的信息,来检查是否出现违反安全策略的行为和遭到袭击的迹象,进而达到防止攻击、预防攻击的目的。第15章入侵检测技术的原理与应用15.1入侵检测概述15.2IDS的基本原理15.3实验:入侵检测系统

2、Snort15.1入侵检测概述入侵检测,顾名思义,是指对入侵行为的发觉。它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析,从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。15.1入侵检测概述15.1.1IDS的产生15.1.2IDS功能与模型国际上在20世纪70年代就开始了对计算机和网络遭受攻击进行防范的研究,审计跟踪是当时的主要方法。1980年4月,JamesP.Anderson为美国空军做了一份题为《ComputerSecurityThreatMonitoringandSurveillance》(计算机安全威胁监控与监视)

3、的技术报告,这份报告被公认为是入侵检测的开山之作,报告里第一次详细阐述了入侵检测的概念。15.1.1IDS的产生1980年4月,JamesP.Anderson提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据,监视入侵活动的思想。15.1.1IDS的产生从1984年到1986年,DorothyE.Denning和PeterNeumann研究并发展了一个实时入侵检测系统模型,命名为IDES(入侵检测专家系统。该模型由六个部分组成:主体、对象、审计记录、轮廓特征、异常记录和活动规则。它独立于特定的系统平台、

4、应用环境、系统弱点以及入侵类型,为构架入侵检测系统提供了一个通用的框架。15.1.1IDS的产生1987年,Denning提出了一个经典的异常检测抽象模型,首次将入侵检测作为一种计算机系统安全的防御措施提出。1988年MorrisInternet蠕虫事件导致了许多IDS系统的开发研制。在这一年,SRIInternational公司的TeresaLunt等人开发出了一个IDES原型系统。15.1.1IDS的产生1988年为了帮助安全官员发现美国空军SBLC的内部人员的不正当使用,TracorAppliedSciences公司和Haystack合作开发了Haystack

5、系统;同时,几乎出于相同的原因,美国国家计算机安全中心开发了MIDAS入侵检测和报警系统(MulticsIntrusionDetectionandAlertingSystem);LosAlamos美国国家实验室开发了网络审计执行官和入侵报告者(NADIR),它是20世纪80年代最成功和最持久的入侵检测系统之一。15.1.1IDS的产生1990年是入侵检测系统发展史上的一个分水岭。这一年,加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM(NetworkSecurityMonitor)。该系统第一次监视网络流量并直接将流量作为主要数据源,因而可以在不将审

6、计数据转换成统一格式的情况下监控异种主机。15.1.1IDS的产生15.1.1IDS的产生到现在为止,NSM的总体结构仍然可以在很多商业入侵检测产品中见到。NSM是入侵检测研究史上一个非常重要的里程碑,从此之后,入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS。简单来说,IDS包括3个部分:提供事件记录流的信息源,即对信息的收集和预处理;入侵分析引擎;基于分析引擎的结果产生反应的响应部件。15.1.2IDS功能与模型信息源是入侵检测的首要素,它可以看作是一个事件产生器。事件来源于审计记录、网络数据包、应用程序数据或者防火墙、认证

7、服务器等应用子系统。IDS可以有多种不同类型的引擎,用于判断信息源,检查数据有没有被攻击,有没有违反安全策略。当分析过程产生一个可反映的结果时,响应部件就做出反应,包括将分析结果记录到日志文件,对入侵者采取行动。15.1.2IDS功能与模型一般来说,IDS能够完成下列活动:监控、分析用户和系统的活动;发现入侵企图或异常现象;审计系统的配置和弱点;评估关键系统和数据文件的完整性;对异常活动的统计分析;识别攻击的活动模式;实时报警和主动响应。15.1.2IDS功能与模型IDS在结构上可划分为数据收集和数据分析两部分。早期入侵检测系统采用了单一的体系结构,在一台主机上

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。