網(wǎng)絡(luò)安全第13章入侵檢測系統(tǒng)1015(一)_第1頁
網(wǎng)絡(luò)安全第13章入侵檢測系統(tǒng)1015(一)_第2頁
網(wǎng)絡(luò)安全第13章入侵檢測系統(tǒng)1015(一)_第3頁
網(wǎng)絡(luò)安全第13章入侵檢測系統(tǒng)1015(一)_第4頁
網(wǎng)絡(luò)安全第13章入侵檢測系統(tǒng)1015(一)_第5頁
已閱讀5頁,還剩35頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、入侵檢測概述 一第13章 入侵檢測系統(tǒng)由于網(wǎng)絡(luò)安全防護(hù)和網(wǎng)絡(luò)攻擊兩者技術(shù)上是不對等的,沒有辦法保證完全的阻止入侵,只能希望在遭受攻擊之后或者攻擊之時,能盡快的或?qū)崟r的檢測入侵。入侵檢測技術(shù)是網(wǎng)絡(luò)安全的第二道閘門。IDS不間斷的從計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點上收集信息,進(jìn)行集中或分布式的分析,判斷來自網(wǎng)絡(luò)和外部的入侵企圖,并實時發(fā)出報警。13.2.1 入侵檢測概述 入侵檢測是對企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵行為進(jìn)行識別的過程。檢測對計算機(jī)系統(tǒng)的非授權(quán)訪問。1監(jiān)視系統(tǒng)運行狀態(tài),發(fā)現(xiàn)各種攻擊企圖、攻擊行為,保證資源的保密性、完整性和可用性。2識別針對計算機(jī)系統(tǒng)和網(wǎng)路系統(tǒng)的非法攻擊3

2、13.1.2 入侵檢測的定義13.1.3 入侵檢測系統(tǒng)發(fā)展歷史James P. Anderson第一次詳細(xì)闡述了入侵檢測的概念,并對計算機(jī)系統(tǒng)風(fēng)險和威脅進(jìn)行分類;還提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想。1980年4月喬治敦大學(xué)的Dorothy Denning和SRI/CSL的Peter Neumann研究設(shè)計了入侵檢測專家系統(tǒng)。19841986SRI/CSL的Teresa Lunt等人改進(jìn)了Denning的入侵檢測模型,并開發(fā)出了一個新型的IDES。1988年加州大學(xué)戴維斯分校的L.T. Heberlein等人開發(fā)出了網(wǎng)絡(luò)安全監(jiān)視器,成為分水嶺。1990年13.1.3 入侵檢測系統(tǒng)發(fā)展歷史

3、13.1.4 入侵檢測系統(tǒng)模型分析和檢測入侵的任務(wù)并向控制器發(fā)出警報信號主要負(fù)責(zé)收集數(shù)據(jù)為檢測器和控制器提供必需的數(shù)據(jù)信息支持根據(jù)警報信號人工或自動地對入侵行為做出響應(yīng) 13.1.6 IDS的功能構(gòu)成 入侵響應(yīng)負(fù)責(zé)提取相關(guān)運行數(shù)據(jù)或記錄, 并對數(shù)據(jù)進(jìn)行簡單過濾。找出入侵痕跡,區(qū)分正常和不正常的訪問,分析入侵行為并定位入侵者分析出入侵行為后被觸發(fā),根據(jù)入侵行為產(chǎn)生響應(yīng)。在一臺管理站上實現(xiàn)統(tǒng)一的管理監(jiān)控13.1.7 IDS的主要功能網(wǎng)絡(luò)流量的跟蹤與分析功能已知攻擊特征的識別功能異常行為的分析、統(tǒng)計與響應(yīng)功能特征庫的在線和離線升級功能數(shù)據(jù)文件的完整性檢查功能自定義的響應(yīng)功能系統(tǒng)漏洞的預(yù)報警功能IDS

4、探測器集中管理功能入侵檢測概述 一入侵檢測原理及主要方法 二IDS的結(jié)構(gòu)與分類 三NIDS 四HIDS 五DIDS 六IDS設(shè)計上的考慮與部署 七IDS的發(fā)展方向 八第13章 入侵檢測系統(tǒng)13.3 IDS分類13.2.1 入侵檢測原理及主要方法被動、離線地發(fā)現(xiàn)計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的攻擊者。實時、在線地發(fā)現(xiàn)計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的攻擊者。收集操作活動的歷史數(shù)據(jù),建立代表主機(jī)、用戶或網(wǎng)絡(luò)連接的正常行為描述,判斷是否發(fā)生入侵。異常檢測對已知的入侵行為和手段進(jìn)行分析,提取檢測特征,構(gòu)建攻擊模式或攻擊簽名,判斷入侵行為。入侵檢測類似于治安巡邏隊,專門注重發(fā)現(xiàn)形跡可疑者。IDS通常使用的兩種基本分析方法之一,又稱為基于行動的入侵檢測技術(shù)。IDS通常使用的兩種基本分析方法之一,又稱基于知識的檢測技術(shù)。攻擊檢測誤用檢測1.統(tǒng)計異常檢測方法(較成熟)2. 特征選擇異常檢測方法(較成熟)3. 基于貝葉斯網(wǎng)絡(luò)異常檢測方法(理論研究階段)4. 基于貝葉斯推理異常檢測方法(理論研究階段)基于異常檢測原理的入侵檢測方法5.基于模式預(yù)測異常檢測方法(理論研究階段)1.基于條件的概率誤用檢測方法2.基于專家系統(tǒng)誤用檢測方法3.基于狀態(tài)遷移

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論