返回
信息安全入侵检测技术.ppt

信息安全入侵检测技术.ppt

ID:58051176

大小:1.02 MB

页数:72页

时间:2020-09-04

信息安全入侵检测技术.ppt_第1页
信息安全入侵检测技术.ppt_第2页
信息安全入侵检测技术.ppt_第3页
信息安全入侵检测技术.ppt_第4页
信息安全入侵检测技术.ppt_第5页
资源描述:

《信息安全入侵检测技术.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第5章入侵检测技术内容提要:入侵检测概述入侵检测的技术实现分布式入侵检测入侵检测系统的标准入侵检测系统示例本章小结2021/7/301入侵检测技术研究最早可追溯到1980年JamesP.Aderson所写的一份技术报告,他首先提出了入侵检测的概念。1987年DorothyDenning提出了入侵检测系统(IDS,IntrusionDetectionSystem)的抽象模型(如图5-1所示),首次提出了入侵检测可作为一种计算机系统安全防御措施的概念与传统的加密和访问控制技术相比,IDS是全新的计算机安全措施。返回本章首页入侵检测发展历史2021/7/302返回本章首页入侵检测发展历史202

2、1/7/3031988年TeresaLunt等人进一步改进了Denning提出的入侵检测模型,并创建了IDES(IntrusionDetectionExpertSystem)该系统用于检测单一主机的入侵尝试,提出了与系统平台无关的实时检测思想1995年开发的NIDES(Next-GenerationIntrusionDetectionExpertSystem)作为IDES完善后的版本可以检测出多个主机上的入侵。返回本章首页入侵检测发展历史2021/7/3041990年,Heberlein等人提出了一个具有里程碑意义的新型概念:基于网络的入侵检测——网络安全监视器NSM(NetworkSe

3、curityMonitor)。1991年,NADIR(NetworkAnomalyDetectionandIntrusionReporter)与DIDS(DistributeIntrusionDetectionSystem)提出了通过收集和合并处理来自多个主机的审计信息可以检测出一系列针对主机的协同攻击。返回本章首页入侵检测发展历史2021/7/3051994年,MarkCrosbie和GeneSpafford建议使用自治代理(autonomousagents)以提高IDS的可伸缩性、可维护性、效率和容错性,该理念非常符合计算机科学其他领域(如软件代理,softwareagent)正在进

4、行的相关研究。另一个致力于解决当代绝大多数入侵检测系统伸缩性不足的方法于1996年提出,这就是GrIDS(Graph-basedIntrusionDetectionSystem)的设计和实现,该系统可以方便地检测大规模自动或协同方式的网络攻击。返回本章首页入侵检测发展历史2021/7/306入侵检测技术研究的主要创新有:Forrest等将免疫学原理运用于分布式入侵检测领域;1998年RossAnderson和AbidaKhattak将信息检索技术引进入侵检测;以及采用状态转换分析、数据挖掘和遗传算法等进行误用和异常检测。返回本章首页入侵检测发展历史2021/7/3075.1.1入侵检测原

5、理入侵检测入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性的一种网络安全技术。它通过监视受保护系统的状态和活动,采用误用检测(MisuseDetection)或异常检测(AnomalyDetection)的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。返回本章首页2021/7/308图5-2入侵检测原理框图返回本章首页2021/7/309入侵检测系统执行入侵检测任务的硬件或软件产品入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法。其应用前提是入侵行为和合法行为是可区分的,也即可以通过提取行为的模式特征来判断该行为的性质。一般地,入侵检测

6、系统需要解决两个问题:如何充分并可靠地提取描述行为特征的数据;如何根据特征数据,高效并准确地判定行为的性质。返回本章首页2021/7/30105.1.2系统结构由于网络环境和系统安全策略的差异,入侵检测系统在具体实现上也有所不同。从系统构成上看,入侵检测系统应包括事件提取、入侵分析、入侵响应和远程管理四大部分,另外还可能结合安全知识库、数据存储等功能模块,提供更为完善的安全检测及数据分析功能(如图5-3所示)。返回本章首页2021/7/3011图5-3入侵检测系统结构返回本章首页2021/7/3012入侵检测的思想源于传统的系统审计,但拓宽了传统审计的概念,它以近乎不间断的方式进行安全检

7、测,从而可形成一个连续的检测过程。这通常是通过执行下列任务来实现的:监视、分析用户及系统活动;系统构造和弱点的审计;识别分析知名攻击的行为特征并告警;异常行为特征的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。返回本章首页2021/7/30135.1.3系统分类由于功能和体系结构的复杂性,入侵检测按照不同的标准有多种分类方法。可分别从数据源、检测理论、检测时效三个方面来描述入侵检测系

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。