您的位置:360文档中心› 第6章 入侵检测系统

第6章 入侵检测系统

合集下载

入侵检测ppt课件

入侵检测ppt课件
入侵检测
传统防火墙的主要缺陷之一在于对内联网络的防范措施不力。这是因 为一般的防火墙的目的就是为了保护用户网络,所以它们都假定内联网络 是安全的外联网络是不安全的。但研究表明,50%以上的攻击行为是从内 部发起的。
入侵检测技术是人们对网络探测与攻击技术层出不穷的的反应,其目 的是通过对系统负载的深入分析,发现和处理更加隐蔽的网络探测与攻击 行为,为系统提供更强大、更可靠的安全策略和解决方案,弥补防火墙的 不足。
28
IDS 模式匹配举例
模式匹配举例:
较早版本的Sendmail漏洞利用 $ telnet 25 WIZ shell 或者 DEBUG # 直接获得rootshell! 模式匹配 检查每个packet是否包含:
“WIZ” | “DEBUG”
29
6.5
入侵检测的历史
32
6.6.1 按照检测数据的来源划分 (1)
1 基于主机的入侵检测
基于主机的入侵检测系统(HIDS)检查 判断的依据是系统内的各种数据以及 相关记录。具体来说,可以分成以下 几种:
系统审计记录 系统日志 应用程序日志 其它数据源 比如文件系统信息
33
1 基于主机的入侵检测
基于主机的IDS的优点
26
6.4 入侵检测的主要作用
识别并阻断系统活动中存在的已知攻击行为,防止入侵行为对受保护 系统造成损害。
识别并阻断系统用户的违法操作行为或者越权操作行为,防止用户对 受保护系统有意或者无意的破坏。
检查受保护系统的重要组成部分以及各种数据文件的完整性。
审计并弥补系统中存在的弱点和漏洞,其中最重要的一点是审计并纠 正错误的系统配置信息。
7
6.1.1
拒绝服务(3)
3 报文超载

课程大纲-入侵检测与防范技术

课程大纲-入侵检测与防范技术

入侵检测技术Intrusion Detection Technology课程编号:学分: 2学时: 30 (其中:讲课学时:30 实验学时:上机学时:0)先修课程:计算机网络,TCP/IP,Internet安全适用专业:信息安全教材:自编讲义开课学院:计算机科学与通信工程学院一、课程的性质与任务课程的性质:相比于静态安全技术,如防火墙技术、数据加密技术、访问控制技术等,起源于传统的系统审计技术基础上的入侵检测技术是一种全新的主动安全技术。

入侵检测的目的是检测计算机网络系统中用户违反安全策略的行为事件,其主要功能包括:(1)提供事件记录流的信息源;(2)发现入侵迹象的分析引擎;(3)基于分析引擎结果的响应。

误用检测和异常检测是入侵检测常用的方法,前者使用模式匹配技术,检测与已知攻击相匹配的活动模式或与安全策略相冲突的事件,后者则使用统计技术检测不经常发生的事件。

随着网络应用的不断深入,网络安全问题的日显重要,入侵检测系统的事件检测、攻击识别以及自动反应与响应能力等已使其成为现代网络安全技术的重要组成部分。

课程的基本任务:1.了解入侵检测技术的基本概念、发展现状及最新动态;2.掌握入侵检测的原理及系统构成;3.掌握入侵检测的常用方法与技术;4.了解提高入侵检测率对不同用户的要求。

二、课程的基本内容及要求第一章入侵检测技术概述1.基本内容(1)入侵检测的概念(2)入侵检测技术产生的原因(3)入侵检测技术的功能、发展历史及分类(4)入侵检测技术的基本构成和体系结构2.基本要求(1)掌握入侵检测的基本概念(2)掌握入侵检测系统的基本构成(2)了解入侵检测技术的作用和发展历史第二章入侵的方法与手段1.基本内容(1)计算机网络的主要漏洞(2)缓冲区溢出攻击(3)拒绝服务攻击(4)攻击分类2.基本要求(1)掌握缓冲区溢出攻击和拒绝服务攻击的原理(2)了解计算机网络的主要漏洞和攻击分类第三章入侵检测的信息源1.基本内容(1)信息源在入侵系统中的重要地位(2)基于主机的信息源(3)基于网络的信息源(4)基于网络的信息源的获取2.基本要求(1)掌握入侵检测的信息源获取的基本途径(2)了解信息源的作用第四章入侵检测方法1.基本内容(1)入侵检测的基本原理和主要方法(2)基于数据挖掘技术的入侵检测模型(3)基于数据融合技术的入侵检测模型2.基本要求(1)掌握入侵检测的基本原理(2)掌握异常检测与滥用检测常用的检测技术与相应的模型建立(3)掌握基于数据挖掘技术和数据融合技术的入侵检测模型的建立第五章典型的入侵检测系统介绍1.基本内容(1)入侵检测系统原型产品介绍(2)入侵检测系统商业产品介绍(3)免费入侵检测系统产品介绍(4)入侵检测系统产品的选择2.基本要求(1)了解各种入侵检测系统产品第六章入侵检测系统的弱点和局限1.基本内容(1)入侵检测系统的脆弱性分析(2)入侵检测系统体系结构的局限性2.基本要求(1)掌握网络系统脆弱性分析的基本方法(2)了解入侵检测系统的局限性第七章入侵检测系统的评价1.基本内容(1)入侵检测系统的评价标准(2)对入侵检测系统的测试与评估2.基本要求(1)掌握入侵检测系统的评价标准(2)掌握入侵检测系统测试与评估方法第八章入侵检测系统的发展方向1.基本内容(1)未来的信息社会(2)未来的技术趋势(3)未来的安全趋势2.基本要求了解未来信息社会发展对入侵检测技术带来的新的挑战四、大纲说明1、采用多媒体教学;2、为学生提供丰富的参考资料;五、参考书目参考资料主要来源于与入侵检测技术相关的国际学术期刊的学术论文和有关公司的技术报告制定人:韩牟审定人:批准人:日期:2013年5月10日课程简介课程编码:课程名称:入侵检测技术英文名称:Intrusion Detection Technology学分: 2学时: 3 0(其中:讲课学时2 6 实验学时: 0 上机学时:4 )课程内容:相比于静态安全技术,如防火墙技术、数据加密技术、访问控制技术等,起源于传统的系统审计技术基础上的入侵检测技术是一种全新的主动安全技术。

防火墙入侵检测与VPN——第二部分资料

防火墙入侵检测与VPN——第二部分资料

走信息路 读北邮书
本书的 封面
6.4 入侵检测的主要作用
识别并阻断系统活动中存在的已知攻击行为,防止入侵行为对受保 护系统造成损害。
识别并阻断系统用户的违法操作行为或者越权操作行为,防止用户 对受保护系统有意或者无意的破坏。
检查受保护系统的重要组成部分以及各种数据文件的完整性。 审计并弥补系统中存在的弱点和漏洞,其中最重要的一点是审计并 纠正错误的系统配置信息。
详细内容见参考书。 本书的 封面
走信息路 读北邮书
6.6.1 按照检测数据的来源划分 (3)
3 混合式的入侵检测
基于主机的入侵检测能够对主机上用户 或进程的行为进行细粒度地监测,很好地 保护了主机的安全。基于网络的入侵检测 则能够对网络的整体态势做出反应。这两 种优点都是用户所需要的,因此计算机安 全界对两者的融合进行了大量的研究,并 称这种融合系统为混合式入侵检测系统。
走信息路 读北邮书
本书的 封面
6.1.7
ICMP秘密通道
ICMP协议作为网络控制信息传递的 基础协议在所有实现TCP/IP协议的网络 上存在。许多访问控制设备并不阻断这种 协议的传输。但是ICMP协议的某些字段 并不被安全设备检查,攻击者即可利用这 些字段传递秘密信息。
走信息路 读北邮书
本书的 封面
1984年至1986年,乔治敦大学的Dorothy Denning和SRI/CSL (SRI公司计算机科学实验室)的Peter Neumann设计并实现了入 侵检测专家系统IDES(Intrusion Detection Expert System)。 1988年,Stephen Smaha为美国空军Unisys大型主机设计并开 发了Haystack入侵检测系统。 1990年,加州大学戴维斯分校的Todd Heberlien等人开发了 NSM(Network Security Monitor)。 1992年,SAIC开发了计算机滥用检测系统CMDS(Computer Misuse Detection System)。1993年,Haystack Labs开发了 Stalker系统。它们是首批商用的入侵检测系统。

入侵检测习题答案

入侵检测习题答案

入侵检测习题答案第一章习题答案1.1 从物理安全和逻辑安全两个方面描述计算机安全的内容.答:计算机安全的内容包括物理安全和逻辑安全两方面。

物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。

逻辑安全指计算机中信息和数据的安全,它存在于信息系统中从信息的产生、信息的传输、信息的存贮直至信息的应用这一全部过程,主要包括软件的安全、数据的安全和运行的安全。

软件的安全是保护各种软件及其文档不被任意篡改、失效和非法复制,数据安全是保护所存贮的数据资源不被非法使用和修改,运行安全是保护信息系统能连续正确地运行。

1.2 安全的计算机系统的特征有几个,它们分别是什么?答:安全的计算机信息系统是指可以信赖的按照期望的方式运行的系统,它必须能够保护整个系统使其免受任何形式的入侵。

它一般应该具有以下几个特征:太高,那么用户的合法行为就会经常性地被打断或者被禁止。

这样,不仅使得系统的可用性降低,而且也会使合法用户对系统失去信心。

1.3 描述并解释Anderson在1972年提出的计算机安全模型.答:Anderson在1972年提出了计算机安全模型,如图1.1所示。

图1.1 计算机安全模型其各个模块的功能如下:安全参考监视器控制主体能否访问对象。

授权数据库并不是安全参考监视器的一部分,但是安全参考监视器要完成控制功能需要授权数据库的帮助。

识别与认证系统识别主体和对象。

审计系统用来记录系统的活动信息。

该模型的实现采用访问控制机制来保证系统安全。

访问控制机制识别与认证主体身份,根据授权数据库的记录决定是否可以允许主体访问对象。

1.4 描述并解释P2DR模型.P2DR模型(Policy——策略,Protection—防护,Detection——检测,Response——响应)是一种动态的、安全性高的网络安全模型,如图1.3所示。

图1.3 P2DR模型它的基本思想是:以安全策略为核心,通过一致的检查、流量统计、异常分析、模式匹配以及应用、目标、主机、网络入侵检查等方法进行安全漏洞检测,检测使系统从静态防护转化为动态防护,为系统快速响应提供了依据,当发现系统有异常时,根据系统安全策略快速作出响应,从而达到了保护系统安全的目的。

网络安全防护技能培训教材

网络安全防护技能培训教材

网络安全防护技能培训教材第1章网络安全基础概念 (4)1.1 网络安全的重要性 (4)1.1.1 个人信息安全 (4)1.1.2 企业信息安全 (4)1.1.3 国家信息安全 (4)1.2 常见网络安全威胁 (4)1.2.1 恶意软件 (4)1.2.2 网络钓鱼 (4)1.2.3 社交工程 (4)1.2.4 DDoS攻击 (4)1.2.5 数据泄露 (5)1.3 安全策略与防护措施 (5)1.3.1 安全策略 (5)1.3.2 防护措施 (5)第2章密码学基础 (5)2.1 密码学概述 (5)2.2 对称加密算法 (5)2.3 非对称加密算法 (6)2.4 哈希算法与数字签名 (6)第3章网络设备与系统安全 (6)3.1 网络设备的安全配置 (6)3.1.1 基本安全配置原则 (6)3.1.2 路由器安全配置 (7)3.1.3 交换机安全配置 (7)3.1.4 无线设备安全配置 (7)3.2 操作系统的安全防护 (7)3.2.1 操作系统安全概述 (7)3.2.2 常见操作系统安全漏洞 (7)3.2.3 操作系统安全防护策略 (7)3.2.4 主机安全防护 (7)3.3 网络安全设备介绍 (7)3.3.1 防火墙 (7)3.3.2 入侵检测系统(IDS)与入侵防御系统(IPS) (7)3.3.3 虚拟专用网络(VPN) (8)3.3.4 安全审计设备 (8)第4章网络攻防技术 (8)4.1 扫描与探测技术 (8)4.1.1 基本概念 (8)4.1.2 常用扫描技术 (8)4.1.3 常用探测工具 (8)4.2 漏洞分析与利用 (8)4.2.2 漏洞挖掘技术 (8)4.2.3 常用漏洞利用工具 (9)4.3 防御策略与应对措施 (9)4.3.1 防御策略 (9)4.3.2 应对措施 (9)第5章恶意代码与病毒防护 (9)5.1 恶意代码概述 (9)5.1.1 恶意代码的定义 (9)5.1.2 恶意代码的类型及特点 (10)5.2 病毒防护技术 (10)5.2.1 病毒防护原理 (10)5.2.2 常见病毒防护技术 (10)5.3 勒索软件防护策略 (10)5.3.1 勒索软件概述 (10)5.3.2 勒索软件防护策略 (11)第6章防火墙与入侵检测系统 (11)6.1 防火墙原理与配置 (11)6.1.1 防火墙概述 (11)6.1.2 防火墙工作原理 (11)6.1.3 防火墙配置 (11)6.2 入侵检测系统原理与应用 (12)6.2.1 入侵检测系统概述 (12)6.2.2 入侵检测系统工作原理 (12)6.2.3 入侵检测系统应用 (12)6.3 防火墙与入侵检测系统的联动 (12)6.3.1 联动原理 (12)6.3.2 联动配置 (12)第7章虚拟专用网络(VPN) (13)7.1 VPN技术概述 (13)7.1.1 VPN的定义与功能 (13)7.1.2 VPN的分类 (13)7.1.3 VPN的典型应用场景 (13)7.2 VPN加密协议 (13)7.2.1 加密技术在VPN中的应用 (13)7.2.2 常见VPN加密协议 (13)7.2.3 加密协议的选择与配置 (13)7.3 VPN设备的配置与管理 (13)7.3.1 VPN设备选型与部署 (13)7.3.2 VPN设备配置基本步骤 (14)7.3.3 VPN设备管理 (14)7.3.4 VPN设备故障排除 (14)第8章无线网络安全 (14)8.1 无线网络安全概述 (14)8.1.2 威胁类型 (14)8.1.3 安全挑战 (14)8.2 无线网络安全协议 (15)8.2.1 WEP (15)8.2.2 WPA (15)8.2.3 WPA2 (15)8.2.4 WPA3 (15)8.3 无线网络安全防护策略 (15)8.3.1 加强无线接入点安全 (15)8.3.2 强化密码策略 (16)8.3.3 网络隔离与访问控制 (16)8.3.4 安全监控与审计 (16)第9章应用层安全 (16)9.1 Web安全防护 (16)9.1.1 概述 (16)9.1.2 Web攻击手段 (16)9.1.3 Web防护策略 (16)9.1.4 Web应用防火墙 (16)9.1.5 与SSL/TLS (17)9.2 数据库安全 (17)9.2.1 数据库安全概述 (17)9.2.2 数据库访问控制 (17)9.2.3 数据库加密技术 (17)9.2.4 数据库防火墙 (17)9.2.5 数据库安全运维 (17)9.3 邮件安全与防护 (17)9.3.1 邮件安全概述 (17)9.3.2 邮件加密技术 (17)9.3.3 邮件认证与签名 (17)9.3.4 邮件过滤与防护 (17)9.3.5 邮件服务器安全配置 (17)第10章安全审计与应急预案 (17)10.1 安全审计概述 (17)10.1.1 安全审计的定义与作用 (17)10.1.2 安全审计的分类与标准 (18)10.1.3 安全审计的实施步骤 (18)10.2 安全事件应急响应 (18)10.2.1 安全事件概述 (18)10.2.2 安全事件应急响应流程 (18)10.2.3 安全事件应急响应团队建设 (18)10.3 安全预案制定与演练 (18)10.3.1 安全预案概述 (18)10.3.2 安全预案的编制方法 (18)10.3.3 安全预案的演练与评估 (18)第1章网络安全基础概念1.1 网络安全的重要性网络安全作为维护国家、企业和个人信息安全的关键环节,日益受到广泛关注。

06-信息安全与技术(第2版)-朱海波-清华大学出版社

06-信息安全与技术(第2版)-朱海波-清华大学出版社
网络入侵检测是大多数入侵检测厂商采用的产品形式。通过捕获和 分析网络包来探测攻击。网络入侵检测可以在网段或者交换机上进行 监听,来检测对连接在网段上的多个主机有影响的网络通讯,从而保 护那些主机。
• 网络入侵检测优点表现在以下几个方面: • 网络通信检测能力 • 无需改变主机配置和性能 • 布署风险小,独立性和操作系统无关性 • 定制设备,安装简单
6.1.3 入侵检测系统的性能指标
3.系统指标
• 系统指标主要表征系统本身运行的稳定性和使用的
方便性。系统指标主要包括最大规则数、平均无故 障间隔等。
6.1 入侵检测的概念
• 6.1.1 入侵检测系统功能及工作过程 • 6.1.2 入侵检测技术的分类 • 6.1.3 入侵检测系统的性能指标
6.1.1 入侵检测系统功能及工作过程
• 入侵是指任何企图危及资源的完整性、机密性和可用性的活动。入
侵检测(Intrusion Detection),顾名思义,便是对入侵行为的发觉。 它通过对计算机网络或计算机系统中得若干关键点收集信息并对其 进行分析,从中发现网络或系统中是否有违反安全策略的行为和被 攻击的迹象。
网络入侵检测 ( NIDS )。
6.1.2 入侵检测技术的分类
• 特征检测
• 特征检测是收集非正常操作的行为特征,建立相关的特征库,
当监测的用户或系统行为与库中的记录相匹配时,系统就认 为这种行为是入侵。特征检测可以将已有的入侵方法检查出 来,但对新的入侵方法无能为力。
• 特征检测的难点是如何设计模式既能够表达“入侵”现象又
6.1.1 入侵检测系统功能及工作过程
• 入侵检测系统的主要功能有:
• 实时检测:监控和分析用户和系统活动,实时地监视、分析
网络中所有的数据包;发现并实时处理所捕获的数据包,识 别活动模式以反应已知攻击。

第6章 基于主机的入侵检测技术

第6章 基于主机的入侵检测技术
c:\systemroot\system32\logfiles\msftpsvc1\。 • Internet信息服务WWW日志默认位置:
c:\systemroot\system32\logfiles\w3svc1\。 • Scheduler服务器日志默认位置:c:\systemroot\schedlgu.txt 。该日志
这种格式的文件可以被事件查看器读取,事件查看器可 以在“控制面板”中找到,系统管理员可以使用事件查 看器选择要查看的日志条目,查看条件包括类别、用户 和消息类型。
版权所有,盗版必纠
6.1.1 Windows下的审计数据获取
3.Windows 2000的日志系统 • 与Windows NT一样,Windows 2000中也一样使用“事件
记录了访问者的IP,访问的时间及请求访问的内容。
版权所有,盗版必纠
6.1.1 Windows下的审计数据获取
因Windows2000延续了NT的日志文件,并在其基础上又增加了FTP 和WWW日志,故本节对FTP日志和WWW日志作一个简单的讲述。 FTP日志以文本形式的文件详细地记录了以FTP方式上传文件的文件、 来源、文件名等等。不过由于该日志太明显,所以高级黑客们根本 不会用这种方法来传文件,取而代之的是使用RCP。FTP日志文件和 WWW日志文件产生的日志一般在c:\sys temroot\system32\LogFiles\W3SVC1目录下,默认是每天一个日志文 件, • FTP和WWW日志可以删除,但是FTP日志所记录的一切还是会在系统 日志和安全日志里记录下来,如果用户需要尝试删除这些文件,通 过一些并不算太复杂的方法,例如首先停止某些服务,然后就可以 将该日志文件删除。具体方法本节略。
版权所有,盗版必纠

第6章-入侵检测和入侵防御系统只是课件

第6章-入侵检测和入侵防御系统只是课件
& 此时,执行snort命令时需要用“-c”选项指定入侵 检测时所使用的配置文件。
& Snort默认安装时,已经在/etc/snort目录提供了一 个例子配置文件,其文件名是snort.conf。
Linux系统上Snort配置
➢ /etc/snort/snort.conf文件是snort命令运行时的主 配置文件,为了使用的方便,用户可以在其中定义 许多变量,以便以后在其它位置进行引用。另外, Snort系统本身也使用某些名称的变量,用户赋予的 值将影响Snort的工作状态。变量的值一般是文件系 统中的路径、IP地址、端口号等。
Linux系统上Snort配置
执行snort命令时,可以通过指定命令行选项使 Snort工作于不同的状态,实际上,很多的命令行选 项都可以在snort.conf文件中进行配置,于是,就 不需要在snort命令行中指定了。除了命令行选项外 ,在snort.conf文件中还可以指定其它一些不能在 命令行中使用的选项。
持续重新检测。
小结
本章研究了入侵检测事件的主动响应概念, 给出了三种软件SnortSam、Fwsnort和 snort_inline在使用不同策略对Snort IDS事 件作出响应。
此课件下载可自行编辑修改,仅供参考! 感谢您的支持,我们努力做得更好!谢谢
6.1入侵检测系统
• 我们可以通过入侵检测系统(IDS)和监控时间日志两种 方法就可以及时得到有关的网络安全事件。
入侵检测系统
• 入侵检测系统(IDS)是一种用来确定不需要的网 络活动,并向有关人员发警报以便及时采取措 施的检测系统。
注意:网络上不需要的活动不一定就是实际的入侵,可 以是任何不想要的活动。
第6章-入侵检测和入பைடு நூலகம்防御系统
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 1990年5月是入侵检测发展史上的另一个里程碑,加州大学戴维斯分校 的L. T. Heberlein等研究人员首次利用网络数据包作为安全审计数据源, 通过监测网络流量来识别网络入侵行为。
• 1991年2月,Haystack公司与L. T. Heberlein等人共同展开了对分布式 入侵检测系统DIDS(distributed intrusion detection system)的研 究。
• 1992年,斯坦福研究所决定对早期的IDES进行改进,开发下一代入侵 检测专家系统NIDES(next-generation intrusion detection expert system)新产品。
入侵检测的起源(续)
• 入侵检测的核心思想起源与安全审计机制。 • 审计是基于系统安全的角度来记录和分析
事件,通过风险评估制定可靠的安全策略 并提出有效的安全解决方案 。
计算机安全威胁监测与监视
• 在计算机系统遭受攻击时,审计机制应当给安全管理人 员提供足够的信息识别系统的异常行为。
• 将计算机系统的威胁划分为外部渗透、内部渗透和不法 行为三种类型。
• TCSEC评估准则已成为评估各类网络安全产品的重要依据之 一,是计算机网络安全发展史上的一个重要里程碑。
入侵检测模型
• 入侵检测模型的核心思想就是异常用户模式不同于正 常用户模式,因此,通过分析审计记录和网络数据包 能够识别违反系统安全策略的入侵行为。
• 通 用 入 侵 检 测 模 型 为 以 后 研 发 入 侵 检 测 系 统 IDS (intrusion detection system)产品奠定了坚实的 理论基础。
• James P. Anderson提出的利用安全审计监视入侵行为 的思想为开展入侵检测研究创建了思想方法,是公认的 入侵检测技术创始人。
入侵检测专家系统IDES
• 采用审计数据统计分析方法建立系统用户的行为 模式,当用户行为明显偏离系统所建立的行为模 式时,将产生报警信号。
• 采用基于规则匹配的专家系统机制来检测已知入 侵行为,当入侵特征与检测规则匹配时,系统产 生报警信号。
入侵检测的迅速发展
• 1988年5月,加州大学戴维斯分校劳伦斯利弗莫尔 (Lawrence Livermore)国家实验室承接了为美国空军基地开发新型 IDS Haystack的科研课题。
• 1989年创建了以科研课题名称Haystack命名的商业公司,并将公司开 发的IDS产品称为STALKER 。
可信计算机系统评估准则TCSEC
• TCSEC根据计算机系统硬件、软件和信息资源的不同安全保 护要求,将网络安全等级由高到低划分成A、B、C、D四大类 七个安全子级别A1、B3、B2、B1、C2、C1和D。其中, A1安全级别最高,D安全级别最低。
• TCSEC评估准则的颁布不仅推动了操作系统、数据库管理系 统及应用软件在安全方面的发展,也对入侵检测系统等安全 技术的发展起到了巨大的推动作用。
• 1983年,斯坦福研究所SRI(Stanford research institute)的 Dorothy E. Denning和Peter Neumann承担了美国空海作战系统指挥 部资助的入侵检测系统研究课题。研究成果命名为入侵检测专家系统 IDES(intrusion detection expert system)。
• 6.3主机系统调用入侵检测 • 6.3.1 系统调用跟踪概念 • 6.3.2 前看系统调用对模型 • 6.3.3 每局序列匹配模型 • 6.3.4 短序列频度分布向量模型 • 6.3.5 数据挖掘分类规则模型 • 6.3.6 隐含马尔科夫模型 • 6.3.7 支持向量机模型
• 6.4 网络连接记录入侵检测 • 6.4.1 网络数据报协议解协 • 6.4.2连接记录属性选择 • 6.5 Snort 主要特点 • 6.5.2 Snort 系统组成 • 6.5.3 Snort检测规则 • 6.6 本章知识点小结 •
6.1.1 入侵检测发展历史
1,入侵检测的起源 2,入侵检测的迅速发展 3,商用入侵检测系统问世 4,入侵检测的标准化
入侵检测的起源
• James P. Anderson早在1980年4月为美国空军所作的著名研究报告 “计机安全威胁监测与监视” (computer security threat monitoring and surveillance)。
• 传统的安全防御机制主要通过信息加密、身份认证、访问 控制、安全路由、防火墙和虚拟专用网等安全措施来保护 计算机系统及网络基础设施。入侵者一旦利用脆弱程序或 系统漏洞绕过这些安全措施,就可以获得未经授权的资源 访问,从而导致系统的巨大损失或完全崩溃。
• 网络除了要采取安全防御措施,还应该采取积极主动的入 侵检测与响应措施。
第六章 入侵检测系统
第六章 入侵检测系统
6.1 入侵Байду номын сангаас测原理与结构 6.1.1 入侵检测发展历史 6.1.2 入侵检测原理与系统结构 6.1.3 入侵检测人类方法 6.1.4 入侵检测主要性能指标 6.1.5 入侵检测系统部署
6.2 入侵检测审计数据源 6.2.1 审计数据源 6.2.2 审计数据源质量分析 6.2.3 常用审计数据源采集工具
• 入侵检测技术是近年发展起来的用于检测任何损害或企图 损害系统保密性、完整性或可用性行为的一种新型安全防 范技术。
6.1 入侵检测原理与结构
• 入侵是指系统发生了违反安全策略的事件,包括 对系统资源的非法访问、恶意攻击、探测系统漏 洞和攻击准备等对网络造成危害的各种行为。
• 入侵检测作为一种积极主动的网络安全防御技术, 通过监视系统的运行状态发现外部攻击、内部攻 击和各种越权操作等威胁,并在网络受到危害之 前拦截和阻断危害行为。
• 1985年,美国国防部所属的国家计算机安全中心正式颁布了网络安全标 准,既可信计算机系统评估准则TCSEC (trusted computer system evalution criteria)。
• 1987年2月,Dorothy E. Denning和Peter Neumann在总结几年研究 工作的基础上,正式发表了入侵检测模型著名论文(an intrusion detection model)。
相关文档
最新文档