入侵检测技术原理及科学应用
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
入侵检测技术原理及科学应用
16
入侵检测系统的历史
1986 年 Dorothy Denning
发表了“An Intrusion-Detection Model-
一个入侵检测的模型” ,入侵检测领域开创性的工作。
基本的行为分析机制。 一些可能的实现系统的方法。
IETF IDWG(Intrusion Detection Working Group) 《Draft:Intrusion Detection Message Exchange Requirements 》
入侵检测技术原理及科学应用
9
CIDF—Common Intrusion Detection Framework
入侵检测
—是一种对计算机系统或网络事件进行监测并分析这些入侵事件特征的过程。
入侵检测系统
—自动进行这种监测和分析过程的软件或硬件产品。
入侵检测技术原理及科学应用
4
入侵检测技术简介
入侵检测(Intrusion Detection),顾名思义, 便是对入侵行为的发觉
它通过对计算机网络或计算机系统中得若干关键 点收集信息并对其进行分析,从中发现网络或系 统中是否有违反安全策略的行为和被攻击的迹象
入侵检测技术原理及科学应用
11
CVE—Common Vulnerabilities and Exposures
CVE:Common Vulnerabilities and Exposures
是脆弱性和其他信息安全暴露的标准化名称的列表-CVE的目标 是标准化命名所有公共已知的脆弱性和安全暴露
网址:
历史
DARPA(Defense Advanced Research Projects Agency)的 Teresa Lunt女士提出
Stuart Staniford-Chen对CIDF概念进行拓宽
通用入侵检测框架-Common Intrusion Detection Framework
体系结构的IDS模块 用于审计数据和数据传送的规范
CVE是:
A Dictionary, NOT a Database A Community-Wide Effort Freely Available for Review or Download
以上内容:http://cve.mitre.org/about/
入侵检测技术原理及科学应用
12
入侵检测系统概述——功能
传感器 SENSOR
控制台 CONSOLE
传感器 SENSOR
传感器 SENSOR
入侵检测技术原理及科学应用
7
IDWG—Intrusion Detection Working Group
IDWG:入侵检测工作组
目的: 定义数据格式 定义交换流程
输出 需求文件 公共入侵检测语言规范 框架文件
CIDF信息
http:// http:///
入侵检测技术原理及科学应用
10
CIDF通用入侵检测框架
标准接口
- 数据搜集、分析和响应组件的互连框架 - 可扩展的体系 - 核心技术的重用 - 方便技术转让 - 减少成本
IDS框架、分层通信、CISL语言、 API
标准API E 事件生成器 A 事件分析器 D 事件数据库 C 系统特定的控制器
5
入侵检测系统的主要功能
监测并分析用户和系统的活动 核查系统配置和漏洞 评估系统关键资源和数据文件的完整性 识别已知的攻击行为 统计分析异常行为 操作系统日志管理,并识别违反安全策略的
用户活动 实时通知
入侵检测技术原理及科学应用
6
IDS产品常见结构
传感器 SENSOR
传感器 SENSOR
第十二讲 入侵检测技术 原理及应用
入侵检测技术原理及科学应用
主要内容
入侵检测系统定义和模型 入侵检测系统的发展历史 入侵检测系统的原理
入侵检测技术原理及科学应用
2
主要内容
入侵检测系统定义和模型 入侵检测系统的发展历史 入侵检测系统的原理
入侵检测技术原理及科学应用
3
入侵及入侵检测系统的定义
入侵
—绕过系统安全机制的非授权行为。 —危害计算机、网络的机密性、完整性和可用性或者绕过计算机、网络的安 全机制的尝试。入侵通常是由从互联网访问系统的攻击者、或者试图获得额 外或者更高的非法权限的授权用户等引起的。
入侵检测是网络防火墙的逻辑补充,扩展了系统 管理员的安全管理能力,提供了安全审计、监控、 攻击识别和响应
入侵检测系统主要执行功能:
监控和分析用户和系统活动 审计系统配置和脆弱性 评估关键系统和数据文件的完整性 识别活动模式以反应已知攻击 统计分析异常活动模式 操作系统审计跟踪管理,识别违反策略的用户活动
入侵检测系统(Intrusion Detection System,简 称IDS)是进行入侵检测的软件与硬件的组合
与其他安全产品不同的是,入侵检测系统需要更 多的智能,它必须可以将得到的数据进行分析, 并得出有用的结果。一个合格的入侵检测系统能 大大的简化管理员的工作,保证网络安全的运行
入侵检测技术原理及科学应用
目前成果
尚未形成正式标准入,侵检形测技成术原理4及个科学草应用案
8
IDWG通用IDS模型
入侵检测系统(IDS) – 一个或多个下列组建的组 合:传感器、分析器和管理 器。
安全策略 – 预定义的、正式的成文的 说明,它定义了组织机构内 网络或特定主机上允许发生 的目的为支持组织机构要求 的活动。它包括但不限于下 列活动:哪一台主机拒绝外 部网络访问等。
入侵检测技术原理及科学应用
13
主要内容
入侵检测系统定义和பைடு நூலகம்型 入侵检测系统的发展历史 入侵检测系统的原理
入侵检测技术原理及科学应用
14
入侵检测系统的历史
1980年 James P. Anderson
可以使用审计记录以标识误用 威胁分类的分类学 建议在审计子系统的基础上进行改进以检测误用
入侵检测技术原理及科学应用
15
入侵检测系统的历史
1985 年
SRI由美国海军(SPAWAR)资助以建立Intrusion Detection Expert System(IDES)-入侵检测专家系统(IDES) 的初步原型。 第一个系统中同时使用了statistical and rule-
based-基于统计和基于规则的方法。