返回
入侵检测系统ppt课件.ppt

入侵检测系统ppt课件.ppt

ID:58829736

大小:196.00 KB

页数:71页

时间:2020-10-01

入侵检测系统ppt课件.ppt_第1页
入侵检测系统ppt课件.ppt_第2页
入侵检测系统ppt课件.ppt_第3页
入侵检测系统ppt课件.ppt_第4页
入侵检测系统ppt课件.ppt_第5页
资源描述:

《入侵检测系统ppt课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、8.1入侵检测系统概述传统的计算机安全技术已不能满足复杂系统的安全性要求.入侵检测系统已成为网络计算机系统中一个有效的防范检测手段,对正常和误用的系统行为提供了识别的技术.入侵是指对任何企图危及资源的完整性、机密性和可用性的活动。入侵检测(IntrusionDetection),顾名思义,就是对入侵行为的发觉入侵检测的软件与硬件的组合便形成入侵检测系统(IDS)。与其他安全产品不同的是,IDS需要更多的职能,它必须可以将得到的数据进行分析,并得出有用的结果,一个合格的IDS能大大地简化管理员的工作,保证网络安全地运行。一个安全的完整的入侵检测系统

2、必须具备以下特点:可行性、安全性、实时性、扩展性。8.2入侵检测系统的发展历史和现状入侵检测系统目前主要存在的问题有:(1)IDS产品的检测准确率比较低,漏报和误报比较多。(2)入侵检测系统不能对攻击做出响应(3)IDS维护比较难(4)缺乏国际国内标准,IDS产品的测评缺乏统一的标准和平台入侵检测系统的发展(1)体系结构的发展现有入侵检测系统多采用单一体系结构,即所有的工作包括数据采集、分析都由单一主机上的单一程序来完成。而一些分布式的入侵检测系统只是在数据采集上实现了分布式,数据的分析、入侵的发现还是由单个的程序来完成,造成系统的可扩展性较差、

3、单点失效、系统缺乏灵活性和配置性等缺点。具有多系统的、可以互相协同工作的、可重用的通用入侵检测体系结构是重要的研究方向(2)入侵检测的智能化入侵方法越来越多样化和综合化,传统的入侵检测分析方法无法完全实现检测功能,保证计算机的安全。入侵检测与智能代理、神经网络以及遗传算法的结合是更深一层的研究,特别是智能代理的IDS需要加以进一步的研究以解决自学习能力与适应能力。(3)响应策略的研究入侵检测系统只实现了检测功能,未能及时的做出相应的响应。所以入侵检测系统的响应策略是十分重要的。识别出入侵后的响应策略是IDS维护系统安全性、完整性的关键。(4)网络

4、安全技术相结合结合防火墙、PKI、安全电子交易(SET)等新的网络安全与电子商务技术,提供完整的网络安全保障。8.3入侵检测系统的类型从数据来源和系统结构分类,入侵检测系统分为3类:基于主机的入侵检测系统:主机型IDS驻留在一台主机上,监控那些有入侵动作的机器。基于网络的入侵检测系统:对流动在网络中的其他主机发送和接收的流量进行监控。分布式入侵检测系统(混合型):由多个部件组成,分布在网络的各个部分,它们分别进行数据采集、分析等工作。根据分析引擎,可以将IDS划分为滥用检测系统和异常检测系统。从响应的角度来看,IDS可分为主动响应、被动响应和混合

5、响应这三种模式。按照数据源可分为下列三种类型。8.3.1基于主机的入侵检测系统基于主机的入侵检测系统的输入数据来源于系统的审计日志,它只能检测发生在这个主机上的入侵行为。这种检测系统一般应用在系统服务器、用户机器和工作站上。检测的目标主要是主机系统和系统本地用户。检测的原理是根据主机的审计数据和系统的日志发现可疑事件,检测系统可以运行在被检测的主机或单独的主机上。基于主机的入侵检测系统图审计数据过滤审计分析分析员相关数据审计数据基于主机的入侵检测系统此系统依赖于审计数据或系统日志的准确性和完整性以及安全事件的定义。这些系统的实现不全在目标主机上,

6、有些采用独立的外围处理机,也有的使用网络将主机的信息传送到中央分析单元。但全部是根据目标系统的审计记录工作,不一定能及时采集到审计记录是这些系统的弱点,因此入侵者可能会将主机审计系统作为攻击目标以避开入侵检测系统。在现有的网络环境下,单独依靠主机审计信息进行入侵检测难以满足网络安全的需求,由于主机的审计数据的弱点,如易受攻击,而且入侵者可以通过使用某些系统特权和调用比审计本身更低级的操作来逃避审计,因此不能仅仅通过分析主机的审计记录来检测网络攻击。基于主机的HIDS(Host-basedIDS,HIDS)在操作系统、应用程序或内核层次上对攻击进行

7、监控,监视和寻找操作系统的可疑事件。要发现一些恶意事件,HIDS需要和主机协调一致,被监控的主机系统深入的知识只能由入侵检测系统所掌握。要检测一些攻击,HIDS必须具备主机的正常行为的知识。基于主机的入侵检测系统有一些重大缺点。因为HIDS是基于主机的,它对整个网络的拓扑结构认识有限。攻击者可以控制一台未安装HIDS的机器,然后对受保护的主机进行合法访问,这时HIDS检测不出攻击,使得入侵检测系统变得毫无用处。唯一的办法成了要在每一台可能遭受攻击的主机上安装HIDS,这将导致成本过高,而且也未必能保证绝对的安全。基于主机的IDS具有如下优点能够更

8、加准确地判断攻击是否成功监视特定的系统活动HIDS可以检测到那些基于网络的系统察觉不到的攻击8.3.2基于网络的入侵检测系统基于网络的入

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。