计算机信息安全技术
计算机网络与信息安全技术
计算机网络与信息安全技术计算机网络与信息安全技术在当今社会中起着至关重要的作用。
随着互联网的迅猛发展,人们的生活越来越离不开网络和信息安全。
本文将从计算机网络和信息安全技术两个方面进行探讨。
1. 计算机网络计算机网络指的是多台计算机通过网络连接起来,实现资源共享和信息传输的技术系统。
计算机网络的发展使得人们可以远程交流、共享资源和获取信息。
因此,计算机网络的快速稳定运行对于现代社会的正常运转至关重要。
1.1 网络结构常见的网络结构包括客户端/服务器模型、对等(Peer-to-Peer)模型和分布式模型。
客户端/服务器模型是一种最常见的网络结构,其中一台计算机作为服务器提供服务,其他计算机作为客户端通过网络连接到服务器上。
对等模型则是指多台计算机之间互相提供服务,没有固定的主从关系。
分布式模型则是将网络服务分布在多台计算机上,形成一个统一的服务系统。
1.2 网络协议网络协议是计算机网络中实现通信的规则和标准。
常见的网络协议包括TCP/IP协议、HTTP协议和FTP协议等。
TCP/IP协议是互联网使用最广泛的协议,它保证了计算机之间的数据传输的可靠性。
HTTP协议是支持万维网通信的协议,它定义了客户端和Web服务器之间进行通信的规范。
FTP协议则是用于在计算机之间进行文件传输的协议。
2. 信息安全技术信息安全技术是保护计算机网络和信息系统免遭攻击、破坏和非法访问的技术手段。
在信息化社会中,各种信息储存、处理和传输的方式层出不穷,而信息安全技术的应用则变得尤为重要。
2.1 加密技术加密技术是信息安全技术中的重要手段之一。
其通过对数据进行加密处理,使得未经授权的人无法读取和理解数据内容。
常见的加密技术包括对称加密和非对称加密。
对称加密指的是使用相同的密钥进行数据的加密和解密,而非对称加密则是使用一对相关的密钥进行加密和解密。
2.2 防火墙技术防火墙技术是信息安全技术中的一种重要防护手段。
它通过设置网络边界,对进出网络的数据包进行检查和过滤,防止潜在的攻击和威胁进入网络系统。
计算机中的网络安全和信息安全有哪些技术
计算机中的网络安全和信息安全有哪些技术计算机的广泛应用使得网络安全和信息安全变得尤为重要。
网络安全和信息安全技术的发展在保护个人隐私、维护国家安全以及促进网络正常运行方面起着至关重要的作用。
本文将介绍计算机中网络安全和信息安全的技术,并分析其应用。
一、防火墙技术防火墙技术是保护网络安全的重要手段之一。
它通过设置网络边界来限制对内网的未授权访问,有效防止黑客入侵和恶意软件攻击。
防火墙技术可以根据预先设定的规则对进出网络的数据进行过滤和验证,从而实现对网络流量的控制与监测。
二、加密技术加密技术是保护信息安全的核心技术之一。
通过对信息进行加密,可以将其转化为一种非常困难甚至不可能被他人破译的形式。
常见的加密技术包括对称加密算法和非对称加密算法。
对称加密算法使用相同的密钥进行加密和解密,速度较快;非对称加密算法则使用公钥和私钥进行加密和解密,更加安全可靠。
三、入侵检测与防御系统入侵检测与防御系统可以对计算机系统和网络进行实时监测,并发现和阻止未经授权的入侵行为。
它利用行为分析、模式识别等技术手段,对网络流量和系统日志进行分析,及时发现潜在的安全威胁。
一旦检测到入侵行为,系统会采取相应措施进行防御,如封堵攻击来源、断开威胁连接等。
四、访问控制技术访问控制技术用于限制用户对计算机系统和网络资源的访问权限。
它通过身份验证、访问权限管理和安全策略等手段,确保只有合法用户可以访问受保护的资源。
常见的访问控制技术包括口令验证、指纹识别、智能卡等。
五、安全审计与日志管理技术安全审计与日志管理技术用于监控和记录计算机系统和网络的安全事件。
通过分析和管理系统日志,可以及时发现异常情况和攻击行为,为调查和追溯提供重要依据。
此外,安全审计和日志管理技术还可以用于合规审计和数据泄露防范,保障信息安全的完整性和可信度。
六、漏洞扫描技术漏洞扫描技术用于主动检测计算机系统和网络中的漏洞和隐患。
它通过自动化的扫描和测试方法,定期对系统和网络进行安全扫描,并生成扫描报告。
计算机信息安全技术
计算机信息安全技术计算机信息安全技术是用于保护计算机系统和信息资源免受未经授权的访问、使用、披露、破坏或干扰的一系列技术和措施。
以下是一些常见的计算机信息安全技术:1. 防火墙(Firewall):防火墙是用于监控和控制网络流量的设备或软件。
它可以通过过滤和阻止不受信任的网络连接,防止未经授权的访问和攻击。
2. 密码学技术(Cryptography):密码学技术包括加密和解密算法,用于保护敏感数据的机密性。
它可以确保数据在传输和存储过程中的安全性,只有授权的用户才能解密和访问数据。
3. 访问控制(Access Control):访问控制技术用于限制和管理用户对计算机系统和数据资源的访问。
它通过身份验证、授权和权限管理等方式,确保只有合法用户才能获取相应资源的访问权限。
4. 恶意软件防护(Malware Protection):恶意软件防护技术包括反病毒软件、防间谍软件、反木马软件等,用于检测、阻止和删除计算机系统中的恶意软件,以保护系统免受病毒、间谍软件和其他恶意代码的侵害。
5. 网络安全监测和事件响应(Network Security Monitoring and Incident Response):这些技术用于持续监测网络活动,及时发现和响应安全事件。
它可以检测网络入侵行为、异常流量和其他安全漏洞,并采取相应的应对措施,以保护系统的安全性。
6. 安全审计和合规性(Security Auditing and Compliance):安全审计技术用于对系统和网络进行安全性评估和审核,以识别潜在的安全风险和漏洞。
合规性技术用于确保系统符合相关的安全法规和标准,并及时采取必要的改进措施。
除了上述技术之外,教育和培训也是重要的计算机信息安全措施。
提高用户对安全性问题的意识,教授正确的安全实践和行为,可以帮助减少安全漏洞和风险。
信息安全技术专业介绍及就业方向
信息安全技术专业介绍及就业方向一、专业介绍信息安全技术专业是一门综合性很强的学科,涉及到计算机科学、数学、通信、网络工程、法律等多个领域。
该专业主要培养具备信息安全技术、网络安全管理、信息系统开发等方面能力的高级专业人才。
二、核心课程1. 计算机科学基础:学习计算机科学的基础理论、方法和技能,包括编程语言、数据结构、算法、操作系统、数据库等。
2. 信息安全技术:学习信息安全的基本理论、安全协议设计、加密与解密技术、网络安全防范技术等。
3. 网络安全管理:学习网络管理的基础理论,包括网络设备、网络协议、网络安全策略等,同时学习如何进行网络安全监测和应急响应。
4. 法律与道德:学习信息安全相关的法律法规和道德规范,培养良好的职业道德。
5. 实践课程:包括实验、课程设计、项目实践等,让学生将所学知识应用于实际场景中。
三、就业方向1. 网络安全工程师:负责网络系统的安全维护和管理,需要具备丰富的安全知识和实践经验。
2. 信息安全工程师:负责信息安全系统的设计、开发、测试和实施,需要具备扎实的理论基础和实践能力。
3. 信息系统开发人员:信息安全是信息系统的重要组成部分,因此需要与软件工程师合作,共同开发安全性能卓越的信息系统。
4. 法律顾问:在大型企业或政府机构,信息安全需要受到法律的保护,因此需要法律顾问来确保合规性。
5. 教育培训讲师:从事信息安全技术专业教育的人才需求也很大,可以成为教育培训讲师,培养更多的专业人才。
6. 研究人员:在高校或研究机构,从事信息安全基础理论、安全协议、加密与解密技术等领域的研究工作。
7. 其他方向:还可以在通信、网络工程、电子商务等领域寻找就业机会。
四、职业发展前景信息安全技术专业的就业前景十分广阔,随着互联网的普及和信息量的暴增,该专业的需求量也在逐渐增加。
无论是大型企业还是小型创业公司,都需要具备信息安全技能的人才来保障企业的信息安全。
同时,随着政府对信息安全的要求越来越高,该专业的公务员就业机会也越来越多。
计算机导论信息安全技术概论
第八章 信息安全技术
面向职业 体现系统 重视实践 强化应用
任务2:掌握操作系统安全防范技术
³ Windows XP安全基础
² 用户帐号 ² 计算机帐号 ²组 ²域 ² 身份验证 ² 授权 ² 审核 ² 安全设置
第八章 信息安全技术
面向职业 体现系统 重视实践 强化应用
任务2:掌握操作系统安全防范技术
² 信息安全的本质上是保护用户的利益和隐 。 ² 信息安全包括操作系统安全,数据库安全,网络安全,病毒
防护,访问控制,加密与鉴别等多个方面 。
第八章 信息安全技术
面向职业 体现系统 重视实践 强化应用
任务1:了解信息安全的概念 ³ 信息系统的不安全因素
² 自然灾害 ² 人为的或偶然事故 ² 计算机病毒传播和“黑客”攻击 ² 计算机违法犯罪活动
³ 操作系统安全是信息安全的基础,强化帐号管理,关闭不必要的服务 和端口,及时更新补丁程序,对敏感数据适时备份是使保障计算机长久 安全的基本方法 。
³ 网络安全是信息安全的重要方面,数据加密技术、访问控制技术、防火 墙技术的有效实施,可以防范来自网络的安全隐患 。
³ 计算机病毒是一种人为制造的程序,对信息安全构成极大危害,应本着 以防为主、清除为辅的观念,标本兼治,防患于未然 。
³ 常用网络安全技术
² 网络安全扫描技术 ± 它是为网络系统管理员能够及时了解系统中存在的安 全漏洞,并采取防范措施,从而降低系统的安全风险 而发展起来的一种安全技术。 ± 利用这种技术,可以对网络中的安全漏洞进行扫描, 了解网络系统中存在的不安全服务,检测系统中是否 被安装了窃听程序,防火墙系统是否存在安全漏洞和 配置错误等。
± 防火墙的作用 :提供网络安全屏障 、强化网络安全 策略 、实现网络监控与审计 、限制内部网络暴露 。
第1章 计算机信息安全技术概述-计算机信息安全技术(第2版)-付永钢-清华大学出版社
• 网络游戏成为电子鸦片……
第一章 计算机信息安全概述
Internet 变得越来越重要
复杂程度
电子交易
E-Commerce ISP门户网站 Web
时间
第一章 计算机信息安全概述
总体网民遇到的信息安全事件
第一章 计算机信息安全概述
影响计算机信息安全的因素: 1.人为的无意失误; 2.人为恶意攻击; 3.软件设计不完善。
第一章 计算机信息安全概述
1.2 信息安全的含义
机密性
通信保密
完整性 可用性 机密性
信息安全
不可否认 鉴别 可用性 完整性 机密性 信息保障
20世纪70年代前
80、90年代
21世纪
第一章 计算机信息安全概述
第一章 计算机信息安全概述
1.3.1 计算机外部安全
• 安全规章制度; • 电磁辐射/泄漏。
– 使用低辐射设备 – 利用噪声干扰源 – 电磁屏蔽 – 滤波技术 – 光纤传输
第一章 计算机信息安全概述
1.3.2 计算机内部安全
• 计算机软件保护 • 软件安全 • 数据安全
第一章 计算机信息安全概述
1.2 信息安全的含义
• 安全的信息交换应该满足5个基本特征:
– 数据机密性 – 数据完整性 – 可用性
CIA: Confidentiality
Integrity
– 不可否认性
Availability
– 鉴别。
第一章 计算机信息安全概述
1.3 计算机信息安全研究的内容
1.计算机外部安全; 2.计算机内部安全; 3.计算机网络安全。
《计算机信息安全技术》课后习题及参考答案
《计算机信息安全技术》课后习题及参考答案第1章计算机信息安全概述习题参考答案1. 对计算机信息安全造成威胁的主要因素有哪些?答:影响计算机信息安全的因素有很多,主要有⾃然威胁和⼈为威胁两种。
⾃然威胁包括:⾃然灾害、恶劣的场地环境、物理损坏、设备故障、电磁辐射和电磁⼲扰等。
⼈为威胁包括:⽆意威胁、有意威胁。
⾃然威胁的共同特点是突发性、⾃然性、⾮针对性。
这类不安全因素不仅对计算机信息安全造成威胁,⽽且严重威胁着整个计算机系统的安全,因为物理上的破坏很容易毁灭整个计算机信息管理系统以及⽹络系统。
⼈为恶意攻击有明显的企图,其危害性相当⼤,给信息安全、系统安全带来了巨⼤的威胁。
⼈为恶意攻击能得逞的原因是计算机系统本⾝有安全缺陷,如通信链路的缺陷、电磁辐射的缺陷、引进技术的缺陷、软件漏洞、⽹络服务的漏洞等。
2. 计算机信息安全的特性有哪些?答:信息安全的特性有:⑴完整性完整性是指信息在存储或传输的过程中保持未经授权不能改变的特性,即对抗主动攻击,保证数据的⼀致性,防⽌数据被⾮法⽤户修改和破坏。
⑵可⽤性可⽤性是指信息可被授权者访问并按需求使⽤的特性,即保证合法⽤户对信息和资源的使⽤不会被不合理地拒绝。
对可⽤性的攻击就是阻断信息的合理使⽤。
⑶保密性保密性是指信息不被泄露给未经授权者的特性,即对抗被动攻击,以保证机密信息不会泄露给⾮法⽤户或供其使⽤。
⑷可控性可控性是指对信息的传播及内容具有控制能⼒的特性。
授权机构可以随时控制信息的机密性,能够对信息实施安全监控。
⑸不可否认性不可否认性也称为不可抵赖性,即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。
发送⽅不能否认已发送的信息,接收⽅也不能否认已收到的信息。
3. 计算机信息安全的对策有哪些?答:要全⾯地应对计算机信息安全问题,建⽴⼀个⽴体的计算机信息安全保障体系,⼀般主要从三个层⾯来做⼯作,那就是技术、管理、⼈员。
(1)技术保障指运⽤⼀系列技术层⾯的措施来保障信息系统的安全运营,检测、预防、应对信息安全问题。
信息安全技术研究内容
信息安全技术研究内容信息安全技术是指应用于计算机系统和网络中,保护信息资产的技术手段和方法。
随着信息化的不断发展,信息安全问题日益凸显,信息安全技术的研究也变得越来越重要。
本文将从密码学、网络安全、物理安全和安全评估等方面介绍信息安全技术的研究内容。
一、密码学密码学是信息安全技术的核心领域之一,主要研究加密算法、解密算法和密钥管理等内容。
加密算法包括对称加密算法和非对称加密算法,对称加密算法包括DES、AES等,非对称加密算法包括RSA、ECC等。
密钥管理是指对密钥的生成、分发、更新和销毁等操作,包括密钥协商、密钥交换和密钥存储等。
密码学的研究旨在保证信息在传输和存储过程中的机密性、完整性和可用性。
二、网络安全网络安全是指保护计算机网络中的信息资产免受未经授权访问、使用、披露、破坏、修改和干扰的技术手段和方法。
网络安全的研究内容包括入侵检测与防御、防火墙、入侵防御系统、网络流量分析等。
入侵检测与防御是指通过监控网络流量和系统日志等手段,及时发现并阻止未经授权的访问行为。
防火墙是指用于过滤网络流量,阻止不符合规则的数据包进入内部网络。
入侵防御系统是指通过行为分析和特征识别等技术,及时发现并阻止入侵活动。
网络流量分析是指对网络流量进行监测和分析,以便发现网络攻击和异常行为。
三、物理安全物理安全是指保护计算机系统和网络硬件设备免受未经授权访问、使用、破坏和窃取的技术手段和方法。
物理安全的研究内容包括机房安全、设备安全和数据线安全等。
机房安全是指通过门禁系统、监控系统和报警系统等手段,保护机房免受未经授权的访问和破坏。
设备安全是指通过安全启动、设备锁定和设备追踪等技术手段,保护计算机设备免受未经授权的使用和窃取。
数据线安全是指通过加密和防窃听等技术手段,保护数据在传输过程中的安全。
四、安全评估安全评估是指对计算机系统和网络进行安全性评估和风险评估,以发现潜在的安全漏洞和风险,并提供相应的安全建议。
安全评估的研究内容包括漏洞扫描、渗透测试和安全策略制定等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.入侵检测系统的作用 我们知道,防火墙是Internet网络上最有效的安全保护屏障, 防火墙在网络安全中起到大门警卫的作用,对进出的数据依照预先 设定的规则进行匹配,符合规则的就予以放行,起到访问控制的作 用,是网络安全的第一道闸门。但防火墙的功能也有局限性,防火 墙只能对进出网络的数据进行分析,对网络内部发生的事件完全无 能为力。
3.基于活动的检测
一般来说,非法入侵者在入侵系统时会进行某些已知的且具有共性的操作,比如在入 侵UNIX时入侵通常要试图获得根(root)权限,所以,我们有理由认为任何企图获得根权限 的活动都要被检测。
9.2.2
异常检测模型
1.异常检测模型的基本原理 异常检测,也被称为基于行为的检测。其基本前提是: 假定所有的入侵行为都是异常的。其基本原理是:首先建 立系统或用户的“正常”行为特征轮廓,通过比较当前的 系统或用户的行为是否偏离正常的行为特征轮廓来判断是 否发生了入侵。而不是依赖于具体行为是否出现来进行检 测的,从这个意义上来讲,异常检测是一种间接的方法。
s=a 2+a 2+„+a 2
1 2 n
这里,i表示框架与变量Mi相关的权重,一般地,M1,M2,„Mn 不是相互独立的,而是具其相关性的。常见的几种异常测量值的测 量类型如下: l 活动强度测量:用以描述活动的处理速度; l 审计记录分布测量:用以描述最近审计记录中所有活动类型 的分布状况; l 类型测量:用以描述特定的活动在各种类型的分布状况; l顺序测量:用以描述活动的输出结果。
(7)基于贝叶斯聚类的异常检测方法
基于贝叶斯聚类的异常检测方法是通过在数据中发现不同类别的数据集合, 这些类反映出了基本的因果关系,以此就可以区分异常用户类,进而推断入侵事 件发生来检测异常入侵的行为。
l与操作系统无关。
3. 基于代理的入侵检测系统 基于代理的入侵检测系统用于监视大型网络系统。随着 网络系统的复杂化和大型化,系统弱点趋于分布式,而且攻 击行为也表现为相互协作式特点,所以不同的IDS之间需要 共享信息,协同检测。整个系统可以由一个中央监视器和多 个代理组成。中央监视器负责对整个监视系统的管理,它应 该处于一个相对安全的地方。代理则被安放在被监视的主机 上(如服务器、交换机、路由器等)。代理负责对某一主机的 活动进行监视,如收集主机运行时的审计数据和操作系统的 数据信息,然后将这些数据传送到中央监视器。代理也可以 接受中央监控器的指令。这种系统的优点是可以对大型分布 式网络进行检测。
2.异常检测的关键技术 (1)特征量的选择
异常检测首先是要建立系统或用户的“正常”行为特征轮廓,这就要求在建立正常模 型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以 最少的特征量就能涵盖系统或用户的行为特征。例如:我们可以检测磁盘的转速是否正常, CPU是否无故超频等异常现象。 (2)参考阈值的选定 因为在实际的网络环境下,入侵行为和异常行为往往不是一对一的等价关系,经常发 生这样的异常情况:如某一行为是异常行为,而它并不是入侵行为;同样存在某一行为是 入 侵 行 为 , 而 它 却 并 不 是 异 常 行 为 的 情 况 。 这 样 就 会 导 致 检 测 结 果 的 虚 警 (False Positives)和漏警(False Negatives)的产生。由于异常检测是先建立正常的特征轮廓作 为比较的参考基准,这个参考基准即参考阈值的选定是非常关键的,阈值定的过大,那漏 警率会很高;阈值定的过小,则虚警率就会提高。合适的参考阈值的选定是影响这一检测 方法准确率的至关重要的因素。
设M1,M2,…Mn为框架的特征变量,如CPU的使用、I/O的使用、使 用地点及时间、邮件的使用、文件的访问数量、网络的会话时间等。用S1, S2,…,Sn分别表示框架中的变量M1,M2,…Mn的异常测量值,这些值 表明了异常程度,Si的值越高,则Mi的异常性就越大。
框架的异常值是将有关的异常测量平方加权后得到的,其计算 式如下:
从异常检测的原理我们可以看出,该方法的技术难点在于:“正常”行为特征轮廓的 确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高, 但对于未知的入侵行为的检测非常有效。此外,由计算量很大,对系统的处理性能要求会很高。
3.异常检测模型的实现方法
2. 基于网络的入侵检测系统 基于网络的入侵检测系统把原始的网络数据包作为数据源。利用 网络适配器来实时地监视并分析通过网络进行传输的所有通信业务。 它的攻击识别模块进行攻击签名识别的方法有:模式、表达式或字节 码匹配;频率或阈值比较;次要事件的相关性处理;统计异常检测。 一旦检测到攻击,IDS的响应模块通过通知、报警以及中断连接等方式 来对攻击行为做出反应。然而它只能监视通过本网段的活动,并且精 确度较差,在交换网络环境中难于配置,防欺骗的能力也比较差。其 优势有: l 成本低; l 攻击者转移证据困难; l 实时检测和响应; l 能够检测到未成功的攻击企图;
基于贝叶斯网络的异常检测方法是通过建立起异常入侵检测 的贝叶斯网络,然后将其用作分析异常测量的结果。
(5)基于模式预测的异常检测方法
基于模式预测异常检测方法是假设事件序列不是随机的而是能 遵循可辨别的模式。这种检测方法的主要特点是考虑事件的序列及 其相互联系。其典型模型是由Teng和Chen提出的基于时间的推理方 法,利用时间规则识别用户行为正常模式的特征。通过归纳学习产 生这些规则集,并能动态地修改系统中的这些规则,使之具有高的 预测性、准确性和可信度。
l 适合于加密和交换环境; l 可实时的检测和响应; l 不需要额外的硬件。 基于主机的入侵检测系统对系统内在的结构却没有任何约束,同时可以利用操作系统 本身提供的功能,并结合异常检测分析,更能准确的报告攻击行为。 基于主机的入侵检测系统存在的不足之处在于:会占用主机的系统资源,增加系统负 荷,而且针对不同的操作平台必须开发出不同的程序,另外所需配置的数量众多。
(6)基于神经网络的异常检测方法
基于神经网络的入侵检测方法是训练神经网络连续的信息单元, 这里的信息单元指的是一条命令。网络的输入层是用户当前输入的 命令和已执行过的N条命令,神经网络就是利用用户使用过的N条 命令来预测用户可能使用的下一条命令。当神经网络预测不出某用 户正确的后续命令,即在某种程度上表明了有异常事件发生,以此 进行异常入侵的检测。
对收集到的有关系统、网络运行、数据及用户活动的状态和行为等数据通过三种技术 手段进行分析:模块匹配、统计分析和完整性分析。
(4)结果处理 记录入侵事件,同时采取报警、中断连接等措施。
9.1.2
入侵检测系统的分类
入侵检测系统(IDS)可以分成3类:基于主机型(Host Based) 入侵检测系统、基于网 络型(Network Based) 入侵检测系统和基于代理型(Agent Based) 入侵检测系统。 1. 基于主机的入侵检测系统
9.2 网络入侵技术
本节内容
9.2.1 基本检测方法 9.2.2 异常检测模型
9.2.3 误用检测模型
9.2.4 异常检测模型和误用检测模型的比较 9.2.5 其他入侵检测模型
9.2.1
基本检测方法
1.基于用户特征的检测 基于用户特征的检测方法是根据用户通常的举动来识别特定的用户,用户的活动模式 根据在一段时间内的观察后建立。例如,某个用户多次使用某些命令,在特定的时间内以 一定的频度访问文件、系统登录及执行相同的程序等。可以按照用户的活动情况给每个合 法的用户建立特征库,用以检测和判断登录用户的合法性,因为非法用户不可能像合法用 户一样地进行同样的操作。 2.基于入侵者的特征的检测 当外界用户或入侵者试图访问某个计算机系统时会进行某些特殊的活动或使用特殊方 法,如果这些活动能够予以描述并作为对入侵者的描述,入侵活动就能够被检测到。非法 入侵者活动的一个典型例子是,当其获得系统的访问权时,通常会立即查看当前有哪些用 户在线,并且会反复检查文件系统和浏览目录结构,还会打开这些文件,另外,非法入侵 者在一个系统上不会停留过久,而一个合法的用户一般是不会这样做的。
第9章 入侵检测技术
9.1 入侵检测的基本原理 9.2 网络入侵技术
9.3 应用实例
9.1 入侵检测的基本原理
本节内容
9.1.1
9.1.2 9.1.3
入侵检测的基本原理
入侵检测系统的分类 入侵检测系统的发展方向
9.1.1
1.
入侵检测的基本原理
入侵检测产品的现状
入侵检测系统IDS(Intrusion Detect System)分为两种:主机 入侵检测系统(HIDS)和网络入侵检测系统(NIDS)。主机入侵检测系 统分析对象为主机审计日志,所以需要在主机上安装入侵检测软件, 针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较 为复杂,同时对系统的运行和稳定性造成影响,目前在国内应用较 少。网络入侵监测分析对象为网络数据流,只需安装在网络的监听 端口上,对网络的运行无任何影响,目前国内使用较为广泛。本章 介绍的是当前广泛使用的网络入侵监测系统。
基于主机的入侵检测系统通常以系统日志、应用程序日志等审计记录文件作为数据源。 它是通过比较这些审计记录文件的记录与攻击签名(Attack Signature,指用一种特定的 方式来表示已知的攻击模式)以发现它们是否匹配。如果匹配,检测系统向系统管理员发 出入侵报警并采取相应的行动。基于主机的IDS可以精确地判断入侵事件,并可对入侵事 件及时做出反应。它还可针对不同操作系统的特点判断应用层的入侵事件。基于主机的 IDS有着明显的优点:
同时,由于防火墙处于网关的位置,不可能对进出攻击作太多 判断,否则会严重影响网络性能。如果把防火墙比作大门警卫的话, 入侵检测就是网络中不间断的摄像机,入侵检测通过旁路监听的方 式不间断的收取网络数据,对网络的运行和性能无任何影响,同时 判断其中是否含有攻击的企图,通过各种手段向管理员报警。 IDS是主动保护自己免受攻击的一种网络安全技术。IDS对网络 或系统上的可疑行为做出相应的反应,及时切断入侵源,保护现场 并通过各种途径通知网络管理员,增大保障系统安全。