第5章-入侵检测技术
入侵检测及预警技术
3.网络入侵检测信息分析 三种分析技术手段: (1)模式匹配 (2)统计分析 (3)完整性分析 4.入侵检测的基本技术 基本方法: (1)审计跟踪分析 (2)网络包监控与分析 (3)实时活动监控
基本服务功能: (1)异常检测 (2)误用检测 (3)攻击告警 5.4 入侵检测的基本方法 1.基于用户行为概率统计模型的入侵检测方法 2.基于神经网络的入侵检测方法 3.基于专家系统的入侵检测技术 4.基于模型推理的入侵检测技术
5.3 入侵检测系统的基本原理 1.入侵检测框架简介 IETF/IDWG安全检测框架模型,如图5.2所示。
图5.2 IETF/IDWGห้องสมุดไป่ตู้全检测框架模型
术语:数据源、活动、传感器、事件、分析器、安全策略、告警、 管理器、通告、管理员、操作员、响应、特征表示、入侵检测系 统 简单入侵检测系统示意图,如图5.3所示。
5.2 网络入侵攻击的典型过程 攻击过程示意图,如图5.1所示。
图5.1 攻击过程示意图
1.确定攻击目标并获取目标系统的信息 2.获取目标系统的一般权限 3.获取目标系统的管理权限 4.隐藏自己在目标系统中的行踪 5.对目标系统或其他系统发起攻击 6.在目标系统中留下下次入侵的后门
图5.3 简单入侵检测系统示意图
模块:数据采集模块、入侵分析引擎模块、管 理配置模块、响应处理模块、辅助模块。 2.网络入侵检测的信息来源 (1)网络和系统日志文件 (2)目录和文件中的不期望的改变 (3)程序执行中的不期望行为 (4)物理形式的入侵信息 (5)其他信息
第5章防火墙与入侵检测技术精品PPT课件
统。 在互联网上,防火墙是一种非常有效的网络安全系统,
通过它可以隔离风险区域(Internet或有一定风险的 网络)与安全区域(局域网)的连接,同时不会妨碍 安全区域对风险区域的访问,网络防火墙结构如图所 示
2.使用防火墙的目的: (1)限制访问者进入被严格控制的点。 (2)防止侵入者接近内部设施。 (3)限制访问者离开被严格控制的点,有效的保护内部资源。 (4)检查、过滤和屏蔽有害的服务。 3.防火墙的特征 典型的防火墙具有以下三个方面的基本特性: (1)所有进出网络的数据流都必须经过防火墙 (2)只有符合安全策略的数据流才能通过防火墙 (3)防火墙自身应具有非常强的抗攻击的能力
屏蔽子网防火墙体系结构:堡垒机放在一个子网内, 形成非军事区,两个分组过滤路由器放在这一子网的两 端,使这一子网与Internet及内部网络分离。在屏蔽子 网防火墙体系结构中,堡垒主机和分组过滤路由器共同 构成了整个防火墙的安全基础。
5.2.2 防火墙的主要技术
1.包过滤技术
(1)包过滤技术的原理
数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用, 网络性能和透明性好,它通常安装在路由器上。路由器是内 部网络与Internet连接必不可少的设备,因此在原有网络上 增加这样的防火墙几乎不需要任何额外的费用。
第 5 章 入侵检测与蜜罐技术
(3)全面的安全防御方案
5.2 建立一个入侵检测系统
Snort是一个强大的轻量级的网络入侵检测系统。 它具有实时数据流量分析和日志Ip网络数据包 的能力,能够进行协议分析,对内容搜索/匹 配。它能够检测各种不同的攻击方式,对攻击 进行实时警报。只要遵守GPL,任何组织和个 人都可以自由使用Snort。 Snort虽然功能强大,但是其代码极为简洁,其 源代码压缩包只有200KB不到。此外,Snort 具有很好的扩展性和可移植性,跨平台性能极 佳,目前已经支持Linux系列、Solaris、BSD 系列、IRIX,HP-UX、Windows系列,Sco Openserver、Unixware等。
(1)模式匹配 模式匹配就是将收集到的信息与已知的网络入侵 和系统误用模式数据库进行比较,从而发现违 背安全策略的行为。该方法的一大优点是只需 收集相关的数据集合,显著减少系统负担,且 技术已相当成熟。它与病毒防火墙采用的方法 一样,检测准确率和效率都相当高。但是,该 方法存在的弱点是需要不断的升级以对付不断 出现的黑客攻击手法,不能检测到从未出现过 的黑客攻击手段。
统计方法的最大优点是它可以“学习”用户的使用习惯,从而 具有较高检出率与可用性。但是它的“学习”能力也给入侵者 以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,
(5)专家系统 用专家系统对入侵进行检测,经常是针对有特征入侵行 为。所谓的规则,即是知识,不同的系统与设臵具有 不同的规则,且规则之间往往无通用性。专家系统的 建立依赖于知识库的完备性,知识库的完备性又取决 于审计记录的完备性与实时性。入侵的特征抽取与表 达,是入侵检测专家系统的关键。在系统实现中,将 有关入侵的知识转化为if-then结构(也可以是复合结 构),条件部分为入侵特征,then部分是系统防范措 施。运用专家系统防范有特征入侵行为的有效性完全 取决于专家系统知识库的完备性。
入侵检测习题答案
入侵检测习题答案第一章习题答案1.1 从物理安全和逻辑安全两个方面描述计算机安全的内容.答:计算机安全的内容包括物理安全和逻辑安全两方面。
物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。
逻辑安全指计算机中信息和数据的安全,它存在于信息系统中从信息的产生、信息的传输、信息的存贮直至信息的应用这一全部过程,主要包括软件的安全、数据的安全和运行的安全。
软件的安全是保护各种软件及其文档不被任意篡改、失效和非法复制,数据安全是保护所存贮的数据资源不被非法使用和修改,运行安全是保护信息系统能连续正确地运行。
1.2 安全的计算机系统的特征有几个,它们分别是什么?答:安全的计算机信息系统是指可以信赖的按照期望的方式运行的系统,它必须能够保护整个系统使其免受任何形式的入侵。
它一般应该具有以下几个特征:太高,那么用户的合法行为就会经常性地被打断或者被禁止。
这样,不仅使得系统的可用性降低,而且也会使合法用户对系统失去信心。
1.3 描述并解释Anderson在1972年提出的计算机安全模型.答:Anderson在1972年提出了计算机安全模型,如图1.1所示。
图1.1 计算机安全模型其各个模块的功能如下:安全参考监视器控制主体能否访问对象。
授权数据库并不是安全参考监视器的一部分,但是安全参考监视器要完成控制功能需要授权数据库的帮助。
识别与认证系统识别主体和对象。
审计系统用来记录系统的活动信息。
该模型的实现采用访问控制机制来保证系统安全。
访问控制机制识别与认证主体身份,根据授权数据库的记录决定是否可以允许主体访问对象。
1.4 描述并解释P2DR模型.P2DR模型(Policy——策略,Protection—防护,Detection——检测,Response——响应)是一种动态的、安全性高的网络安全模型,如图1.3所示。
图1.3 P2DR模型它的基本思想是:以安全策略为核心,通过一致的检查、流量统计、异常分析、模式匹配以及应用、目标、主机、网络入侵检查等方法进行安全漏洞检测,检测使系统从静态防护转化为动态防护,为系统快速响应提供了依据,当发现系统有异常时,根据系统安全策略快速作出响应,从而达到了保护系统安全的目的。
入侵检测技术5
基于主机的入侵检测技术
19
基于专家系统的入侵检测技术
网 络 数 据 包 的 采 集 主 机 日 志 数 据 收 集 和 分析 数 据 分 析 和 处 理 规 则 提 取功 能 模 块 特 征 值 的 提 取 和 转 换
事 实 转 换 模 块
规 则 库
推 理 机
响应 处 理 模 块 和 解 释 机 制
基于主机的入侵检测技术 5
审计数据的获取
系统日志与审计信息: Acct或pacct:记录每个用户使用的命令记录。 Aculog:保存着用户拨出去的Modems记录。 Loginlog:记录一些不正常的Login记录。 Wtmp:记录当前登录到系统中的所有用户,这个文件 伴随着用户进入和离开系统而不断变化。 Syslog:重要的日志文件,使用syslogd守护程序来获 得日志信息。 Uucp:记录的UUCP的信息,可以被本地UUCP活动更 新,也可由远程站点发起的动作修改。
基于主机的入侵检测技术
21
基于专家系统的入侵检测技术
入侵 事例库 利用学习主体 维护事例库 归档记录 专家系统 对入侵产生反 应的响应部件 报告 网络/审计 数据收集部件
事例匹配 规则匹配 利用学习机制 更新知识库
专家 知识库
被监控网络
自适应入侵检测专家系统模型结构图
基于主机的入侵检测技术 22
基于状态转移分析的入侵检测技术
基于主机的入侵检测技术 2
审计数据的获取
数据获取划分为直接监测和间接监测两种方法。 (1)直接监测——直接监测从数据产生或从属的对象直 接获得数据。例如,为了直接监测主机CPU的负荷,必 须直接从主机相应内核的结构获得数据。要监测inetd进 程提供的网络访问服务,必须直接从inetd进程获得关于 那些访问的数据; (2)间接监测——从反映被监测对象行为的某个源获得 数据。间接监测主机CPU的负荷可以通过读取一个记录 CPU负荷的日志文件获得。间接监测访问网络服务可以 通过读取inetd进程产生的日志文件或辅助程序获得。间 接监测还可以通过查看发往主机的特定端口的网络数据 包。
入侵检测技术
1.2 入侵检测系统的组成
用专家系统对入侵进行检测,经常是针对有特征的 入侵行为。规则,即是知识,不同的系统与设置具 有不同的规则,且规则之间往往无通用性。专家系 统的建立依赖于知识库的完备性,知识库的完备性 以取决于审计记录的完备性与实时性。入侵的特征 抽取与表达,是入侵检测专家系统的关键。在系统 实现中,将有关入侵的知识转化为if-then结构,条 件部分为入侵特征,then部分是系统防范措施。运 用专家系统防范有特征入侵行为的有效性完全取决 于专家系统知识库的完备性。
由于嗅探技术的限制,网络节点入侵检测仅仅能分析目 的地址是主机地址的包,但是由于网络节点入侵检测的 特性,当网络使用的是一个高速通信网络、加密网络或 者使用了交换式设备,网络节点入侵检测仍然能对所有 的子网进行检测。网络节点入侵检测的优势在于,能有 效的抵御针对特定主机的基于包的攻击。
1.3 常用的入侵检测方法 入侵检测系统常用的检测方法有特征测、统 计检测与专家系统。据公安部计算机信息系 统安全产品质量监督检验中心的报告,国内 送检的入侵检测产品中95%是属于使用入侵 模式匹配的特征检测产品,其他5%是采用 概率统计的统计检测产品与基于日志的专家 知识库型产品。
1.什么是入侵检测 入侵检测系统(IDS,Intrusion detection system)是为保证计算机系统的安全而设计与 配置的一种能够及时发现并报告系统中未授权 或异常现象的系统,是一种用于检测计算机网 络中违反安全策略行为的系统。入侵和滥用都 是违反安全策略的行为。
计算机网络安全第二版课后答案
计算机网络安全第二版课后答案【篇一:计算机网络安全教程第2版__亲自整理最全课后答案】txt>一、选择题1. 狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研究内容。
2. 信息安全从总体上可以分成5个层次,密码技术是信息安全中研究的关键点。
3. 信息安全的目标cia指的是机密性,完整性,可用性。
4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。
二、填空题1. 信息保障的核心思想是对系统或者数据的4个方面的要求:保护(protect),检测(detect),反应(react),恢复(restore)。
2. tcg目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台trusted computing platform,以提高整体的安全性。
3. 从1998年到2006年,平均年增长幅度达50%左右,使这些安全事件的主要因素是系统和网络安全脆弱性(vulnerability)层出不穷,这些安全威胁事件给internet带来巨大的经济损失。
4. b2级,又叫结构保护(structured protection)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。
5. 从系统安全的角度可以把网络安全的研究内容分成两大体系:攻击和防御。
三、简答题1. 网络攻击和防御分别包括哪些内容?答:①攻击技术:网络扫描,网络监听,网络入侵,网络后门,网络隐身②防御技术:安全操作系统和操作系统的安全配置,加密技术,防火墙技术,入侵检测,网络安全协议。
2. 从层次上,网络安全可以分成哪几层?每层有什么特点?答:从层次体系上,可以将网络安全分为4个层次上的安全:(1)物理安全特点:防火,防盗,防静电,防雷击和防电磁泄露。
(2)逻辑安全特点:计算机的逻辑安全需要用口令、文件许可等方法实现。
入侵检测第2版习题答案
习题答案第1章入侵检测概述一、思考题1、分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
DIDS解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。
DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。
DIDS是第一个具有这个能力的入侵检测系统。
DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。
这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。
2、入侵检测作用体现在哪些方面?答:一般来说,入侵检测系统的作用体现在以下几个方面:●监控、分析用户和系统的活动;●审计系统的配置和弱点;●评估关键系统和数据文件的完整性;●识别攻击的活动模式;●对异常活动进行统计分析;●对操作系统进行审计跟踪管理,识别违反政策的用户活动。
3、为什么说研究入侵检测非常必要?答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。
为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。
另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。
但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。
而从实际上看,这根本是不可能的。
因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。
05网络安全_入侵检测
用户轮廓(Profile): 通常定义为各种行为参数及其阀值 的集合,用于描述正常行为范围
过程:
监控
量化
比较
判定
修正
指标:漏报率低,误报率高
异常检测特点
异常检测系统的效率取决于用户轮廓的完备性和监控的频 率 不需要对每种入侵行为进行定义,因此能有效检测未知的 入侵 系统能针对用户行为的改变进行自我调整和优化,但随着 检测模型的逐步精确,异常检测会消耗更多的系统资源
分析方法: - 模式匹配:将收集到的信息与已知的网络入侵和系统误用模式数据库进
行比较,从而发现违背安全策略的行为 - 统计分析:首先给系统对象(如用户、文件、目录和设备等)创建一个统
计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和 延时等);测量属性的平均值和偏差将被用来与网络、系统的行为进行比 较,任何观察值在正常值范围之外时,就认为有入侵发生 - 完整性分析(往往用于事后分析):主要关注某个文件或对象是否被更改
特点:采用模式匹配,误用模式能明显降低误报率,但漏 报率随之增加。攻击特征的细微变化,会使得误用检测无 能为力。
入侵检测的分类(2)
按照数据来源 - 基于主机:系统获取数据的依据是系统运行所在的主机,
保护的目标也是系统运行所在的主机 - 基于网络:系统获取的数据是网络传输的数据包,保护的
是网络的正常运行 - 混合型
网络安全
入侵检测技术
5 第五章 入侵检测技术
5.1 概述 5.2 入侵检测技术 5.3 入侵检测体系 5.4 入侵检测发展
5.1
概述
1 入侵检测系统及起源 2 IDS基本结构 3 入侵检测的分类 4 基本术语
IDS存在与发展的必然性
网络安全本身的复杂性,被动式的防御方式显得力不从心。 有关防火墙:网络边界的设备;自身可以被攻破;对某些攻 击保护很弱;并非所有威胁均来自防火墙外部。 入侵很容易:入侵教程随处可见;各种工具唾手可得
计算机网络安全选择题
计算机网络安全第1章绪论一、单选1、在以下人为的恶意攻击行为中,属于主动攻击的是()(分数:2分)A. 数据窃听B.数据流分析D.非法访问标准答案是:C。
2、数据完整性指的是()(分数:2 分)A.保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密B.防止因数据被截获而造成泄密C.确保数据是由合法实体发出的D.防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的信息完全一致标准答案是:D。
3、以下算法中属于非对称算法的是()(分数:2分)A.DESD.三重DES标准答案是:B。
4、以下不属于代理服务技术优点的是()(分数:2 分)A.可以实现身份认证B.内部地址的屏蔽和转换功能C.可以实现访问控制D.可以防范数据驱动侵袭标准答案是:D。
5、下列不属于主动攻击的是()(分数:2 分)A.修改传输中的数据B.重放C.会话拦截D.利用病毒标准答案是:D。
6、下列不属于被动攻击的是()(分数:2 分)A.监视明文B.解密通信数据C.口令嗅探D.利用恶意代码标准答案是:D。
7、网络安全主要实用技术不包括()(分数:2分)A.数字认证B.身份认证C. 物理隔离D.逻辑隔离标准答案是:A。
8、网络安全不包括哪些重要组成部分()(分数:2 分)A.先进的技术B.严格的管理C.威严的法律D.以上都不是标准答案是:D。
9、不是计算机网络安全的目标的是()(分数:2分)A. 保密性D.不可否认性标准答案是:C。
10、计算机网络安全是一门涉及多学科的综合性学科,以下不属于此学科的是()(分数:2 分)A. 网络技术D.信息论标准答案是:C。
第2章物理安全一、单选1、物理安全在整个计算机网络信息系统安全中占有重要地位,下列不属于物理安全的是B.机房环境安全C. 通信线路安全D.设备安全标准答案是:A。
C.5D.6标准答案是:A。
3、为提高电子设备的抗干扰能力,除在芯片、部件上提高抗干扰能力外,主要措施有()(分数:2 分)C.隔离D.接地标准答案是:B。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5.7入侵检测的发展
5.7.2入侵检测标准 到目前为止,还没有广泛接受的入侵检测相关 国际标准,美国国防高级研究计划署(DARPA) 和万联网工程任务组(IETF)的入侵检测工作织 (IDWG)在这方面做了很多工作,我国的有关 网络安全产品检测部门也做了很多卓有成效的 工作:给出了主机入侵检测产品和网络入侵检 测产品的规范。
5.6常用的入侵检测系统
5.6.2 ISS RealSecure ISS RealSecure是一种实时监控软件, 它包含控制台、网络引擎和系统代理三 个部分组成。 ISS RealSecure的安装和使用
5.3 AAFID AAFID(Autonomous Agents for Intrusion Detection)是由美国Purdue大学提出的。在 AAFID系统中,Agent用来收集信息并进行一些 基本的处理和判断,然后向上传递.实际上起 到收集、过滤和判断的作用;Autonomous的 意思是自治,在AAFID中主要强调入Agent的独 立性。
5.7入侵检测的发展
IDWG提出的建议草案包括三部分内容: 入侵检测消息交换格式(IDMEF) 入侵检测交换协议(IDXP) 隧道轮廓(Tunnel Profile)。
5.7入侵检测的发展
5.7.3入侵检测性能评估 1、对IDS进行测试和评估的作用 2、测试评估IDS性能的标准 3、IDS测试评估现状以及存在的问题
5.7入侵检测的发展
5.7.1入侵检测现状分析
一个安全系统至少应该满足用户系统的保密性、完整 性及可用性要求。但是,随着网络连接的迅速扩展, 特别是互联网大范围的开放以及金融领域网络的接入, 越来越多的系统遭到入侵攻击的威胁。这些威胁大多 是通过挖掘操作系统利用服务程序的弱点或者缺陷来 实现的。 目前,对付破坏系统企图的理想方法是建立一个完全 安全的系统。这不仅要求所有的用户能识别和认证自 己,而且还要求用户采用各种各样的加密技术和强制 访问控制策略来保护数据。
5.4基于网络的入侵检测系统
5.4.2 基于网络入侵检测系统的结构
安全配置构造器
分析结果
网络安全数据库
网络接口 探测器 探测器
5.5基于分布式入侵检测系统
操作员提供反馈
训练模块
受训练的代理 网络原语层 原始网络层(DLPI)
5.6常用的入侵检测系统
5.6.1 snort系统 Snort的特点 Snort的三种模式:嗅探器模式、数据包 记录器模式和网络入侵检测系统模式 Snort的安装
5.3基于主机的入侵检测系统
5.3.1 基于主机的入侵检测系统概述 基于主机的入侵检测系统主要用于保护关键应 用的服务器,如图5-5所示。它通过监视与分 析主机的审计记录和日志文件来检测入侵。日 志中包含发生在系统上的不寻常和不期望活动 的证据。通过这些证据可以指出有人正在入侵 或已成功入侵了系统,并很快地启动相应的应 急响应程序。
5.1入侵检测技术概述
5.1.1入侵检测技术的定义 入侵检测技术就是依据这一思想建立起 来的一种积极主动的安全防护技术。它 提供了对内部攻击、外部攻击和误操作 的实时保护,能在网络系统受到危害之 前进行拦截和响应。
5.1入侵检测技术概述
入侵检测技术主要完成以下功能: (1)监视、分析用户和系统的活动; (2)检查系统的配置和漏洞; (3)评估关键系统和数据的完整性: (4)识别代表已知的攻击活动模式: (5)对反常行为模式进行统计分析: (6)对操作系统进行日志管理,判断是否有破坏 安全的用户行为。
5.3基于主机的入侵检测系统
基于主机的入侵检测又可以分成四大类: 1、网络监测 2、主机监测 3、外来连接监测 4、监测端口扫描
5.3基于主机的入侵检测系统
5.3.2 基于主机的入侵检测系统的结构 基于主机入侵检测系统为早期的入侵检 测系统结构,其检测的目标主要是主机 系统和系统本地用户。检测原理是根据 主机的审计数据和系统的日志发现可疑 事件,检测系统可以运行在被检测的主 机或单独的主机
5.4基于网络的入侵检测系统
基于网络的入侵检测系统具有如下优点: 1、监测速度快 2、隐蔽性好 3、资源占用少 4、检测范围更宽 5、软硬件成本低 6、攻击者不易毁灭或修改证据 7、与操作系统无关性
5.4基于网络的入侵检测系统
基于网络的入侵检测系统主要缺点如下: 1、检测范围具有一定的局限性 2、检测方法具有局限性 3、影响网络性能 4、处理加密的会话过程比较困难
输出:事件的存储信息
事件数据库
输出:原始或低级事件 事件产生器
输入:原始事件源
5.1入侵检测技术概述
5.1.3入侵检测的功能 入侵检测系统的应用,能使在入侵攻击 对系统发生危害前,检测到入侵攻击, 并利用报警与防护系统驱逐入侵攻击; 在入侵攻击过程中,能减少入侵攻击所 造成的损失;在被入侵攻击后,能收集 与入侵攻击相关的信息,作为防范系统 的知识。
5.1入侵检测技术概述
按检测原理分类 1、异常入侵检测 2、误用入侵检测
5.1入侵检测技术概述
按体系分类 按照体系结构,IDS可分为集中式、等级 式和协作式等三种。
5.2 入侵检测系统的原理
5.2.1异常检测 进行异常检测的前提是认为入侵为异常活动的 子集。异常检测依靠这样一个假定:用户表现 为可观测的、一致的系统使用模式。异常检测 系统通过运行在系统或应用层的监控程序监控 用户的行为,通过将当前主体的活动情况和用 户轮廓进行比较。用户轮廓通常定义为各种行 为参数及其阈值的集合,用于描述正常行为范 围。当用户活动与正常行为有重大偏离时即被 认为是入侵。
5.1入侵检测技术概述
入侵检测功能大致分为以下三点: 1、监控、分析用户和系统的活动 2、发现入侵企图或异常现象 3、记录、报警和响应
5.1入侵检测技术概述
5.1.4入侵检测技术分类 按检测技术分类 : 1、异常发现技术 2、模式发现技术
5.1入侵检测技术概述
按输入数据的来源分类 : 1、基于主机的入侵检测系统:其输入数 据来源于系统的审计日志,一般只能检 测该主机上发生的入侵。 2、基于网络的入侵检测系统:其输入数 据来源于网络的信息流,能够检测该网 段上发生的网络入侵。
5.2 入侵检测系统的原理
误用检测模型
正常形态
系统审计
不匹配
攻击特征库 比较
匹配
入侵
5.2 入侵检测系统的原理
5.2.3特征检测 特征检测关注的是系统本身的行为。定义系统行为轮 廓,并将系统行为与轮廓进行比较,将未指明为正常 行为的事件定义为入侵。特征检测系统常采用某种特 征语言定义系统的安全策略。其错报与行为特征定义 的准确度有关,当系统特征不能囊括所有的状态时就 会产生漏报。 特征检测最大的优点是可以通过提高行为特征定义的 准确度和覆盖范围。大幅度降低漏报和错报率。最大 的不足是要求严格定义安全策略,这需要经验和技巧。 另外,维护动态系统的特征库通常是很耗时的事情。
第5章入侵检测技术
本章导读
1.入侵检测技术概述 2.入侵检测系统的原理 3.基于主机的入侵检测系统 4.基于网络的入侵检测系统 5.基于分布式入侵检测系统 6.常用的入侵检测系统 7.入侵检测的发展
5.1入侵检测技术概述
5.1入侵检测技术概述 入侵检测技术作为一种积极主动的安全防护技 术。提供了对内部攻击、外部攻击和误操作的 实时保护,在网络系统受到危害之前扩截和响 应入侵。从网络安全立体纵深、多层次防御的 角度出发,人侵检测理应受到人们的高度重视, 这从国外入侵检测产品市场的蓬勃发展就可以 看出。
5.1入侵检测技术概述
5.1.2入侵检测系统模型 1、 Denning模型
时钟 规则设计与修改 学习
主体活动 审计记录 更新
创建 规则处理引擎 提取规则 异常记录
历史活动 状况
新建活动状况 主体正常行为模 型
第5章 入侵检测技术
2. CIDF入侵检测模型
响应单元
输出:反应或事件
输出:高级中断事件 时间分析器
5.2 入侵检测系统的原理
异常检测模型
5.2 入侵检测系统的原理
5.2.2误用检测 进行误用检测的前提是所有的入侵行为都有能 被检测到的特征。误用检测系统提供攻击特征 库。当监测到用户或系统行为与库中的记录相 匹配时,系统就认为这种行为是入侵。如果入 侵特征与正常的用户行为匹配,则系统会发生 错报;如果没有特征能与某种新的攻击行为匹 配,则系统会发生漏报。