第9章入侵检测技术
入侵检测技术
1.2 入侵检测系统的组成
用专家系统对入侵进行检测,经常是针对有特征的 入侵行为。规则,即是知识,不同的系统与设置具 有不同的规则,且规则之间往往无通用性。专家系 统的建立依赖于知识库的完备性,知识库的完备性 以取决于审计记录的完备性与实时性。入侵的特征 抽取与表达,是入侵检测专家系统的关键。在系统 实现中,将有关入侵的知识转化为if-then结构,条 件部分为入侵特征,then部分是系统防范措施。运 用专家系统防范有特征入侵行为的有效性完全取决 于专家系统知识库的完备性。
由于嗅探技术的限制,网络节点入侵检测仅仅能分析目 的地址是主机地址的包,但是由于网络节点入侵检测的 特性,当网络使用的是一个高速通信网络、加密网络或 者使用了交换式设备,网络节点入侵检测仍然能对所有 的子网进行检测。网络节点入侵检测的优势在于,能有 效的抵御针对特定主机的基于包的攻击。
1.3 常用的入侵检测方法 入侵检测系统常用的检测方法有特征测、统 计检测与专家系统。据公安部计算机信息系 统安全产品质量监督检验中心的报告,国内 送检的入侵检测产品中95%是属于使用入侵 模式匹配的特征检测产品,其他5%是采用 概率统计的统计检测产品与基于日志的专家 知识库型产品。
1.什么是入侵检测 入侵检测系统(IDS,Intrusion detection system)是为保证计算机系统的安全而设计与 配置的一种能够及时发现并报告系统中未授权 或异常现象的系统,是一种用于检测计算机网 络中违反安全策略行为的系统。入侵和滥用都 是违反安全策略的行为。
第9章 入侵检测技术
9.1.4 入侵检测系统的作用
入侵检测系统包括三个功能部件:提供事件记录流 的信息源、发现入侵迹象的分析引擎、基于分析引擎的 结果产生反应的响应部件。因此,IDS可以看作这样的 管理工具:它从计算机网络的各个关键点收集各种系统 和网络资源的信息,然后分析有入侵(来自组织外部的 攻击)和误用(源于内部组织的攻击)迹象的信息,并 识别这些行为和活动,在某些情况下,它可以自动地对 检测到的活动进行响应,报告检测过程的结果,从而帮 助计算机系统对付攻击。
1997年,Ross Anderson和Abida Khattak将信息检索技 术引进到了入侵检测领域。 1998年,W.Lee首次提出了运用数据挖掘技术对审计数据进 行处理。 1999年,Steven Cheung等人又提出了入侵容忍(Intrusion tolerance)的概念,在IDS中引入了容错技术。 2000年,Timm Bass提出了数据融合(Data Fusion)的 概念,将分布式入侵检测理解为在层次化模型下对多感应器的数 据综合问题。
该技术的关键是如何表达入侵的模式,把真正 的入侵行为与正常行为区分开来,因此入侵模式表 达的好坏直接影响入侵检测的能力。
优点:误报少; 缺点:只能发现攻击库中已知的攻击,且其复杂 性将随着攻击数量的增加而增加。
莆田学院计算网络教研室
9.1.5 入侵检测的分类
莆田学院计算网络教研室
9.1.5 入侵检测的分类
2.按照分析的方式
按照分析器所采用的数据分析方式,可分为:
异常检测系统
误用检测系统
混合检测系统。
莆田学院计算网络教研室
9.1.5 入侵检测的分类
异常检测(Anomaly detection)系统:假定 所有的入侵行为都与正常行为不同,建立正常活动 的简档,当主体活动违反其统计规律时,则将其视 为可疑行为。
网络安全基础第三版课后完整答案
加油 计算机网络安全第一章:1、什么是OSI安全体系结构?安全攻击 安全机制 安全服务2、被动和主动安全威胁之间有什么不同?被动攻击的本质是窃听或监视数据传输;主动攻击包含数据流的改写和错误数据流的添加3列出并简要定义被动和主动安全攻击的分类?被动攻击:小树内容泄漏和流量分析;主动攻击:假冒,重放,改写消息,拒绝服务4、列出并简要定义安全服务的分类?认证,访问控制,数据机密性,数据完成性,不可抵赖性5、列出并简要定义安全机制的分类?加密,数字签名,访问控制,数据完整性,可信功能,安全标签,事件检测,安全审计跟踪,认证交换,流量填充,路由控制,公证,安全恢复。
第二章:1、对称密码的基本因素是什么?明文,加密算法,秘密密钥,密文,解密算法2、加密算法使用的两个基本功能是什么?替换和转换3、两个人通过对称密码通信需要多少个密钥?1个4、分组密码和流密码的区别是什么?流密码是一个比特一个比特的加密,分组密码是若干比特(定长)同时加密。
比如des是64比特的明文一次性加密成密文。
密码分析方面有很多不同。
比如流密码中,比特流的很多统计特性影响到算法的安全性。
密码实现方面有很多不同。
比如流密码通常是在特定硬件设备上实现。
分组密码既可以在硬件实现,也方便在计算机上软件实现。
5、攻击密码的两个通用方法是什么?密钥搜索和夯举方法6、什么是三重加密?在这种方式里,使用三个不同的密钥对数据块进行三次加密,三重DES 的强度大约和112-bit的密钥强度相当。
三重DES有四种模型。
(a)使用三个不同密钥,顺序进行三次加密变换(b)使用三个不同密钥,依次进行加密-解密-加密变换(c)其中密钥K1=K3,顺序进行三次加密变换(d)其中密钥K1=K3,依次进行加密-解密-加密变换7、为什么3DES的中间部分是解密而不是加密?3DES加密过程中的第二步使用的解密没有密码方面的意义。
它的唯一好处是让3DES的使用者能够解密原来单重DES使用者加密的数据8、链路层加密和端到端加密的区别是什么?对于链路层加密,每条易受攻击的通信链路都在其两端装备加密设备。
网络安全技术习题及答案入侵检测系统
第9章入侵检测系统1. 单项选择题1) B2) D3) D4) C5) A6) D2、简答题(1)什么叫入侵检测,入侵检测系统有哪些功能?入侵检测系统(简称“IDS”)就是依照一定的,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
入侵检测系统功能主要有:●识别黑客常用入侵与攻击手段●监控网络异常通信●鉴别对系统漏洞及后门的利用●完善网络安全管理(2)根据检测对象的不同,入侵检测系统可分哪几种?根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。
主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。
主机型入侵检测系统保护的一般是所在的系统。
网络型入侵检测系统的数据源是网络上的数据包。
一般网络型入侵检测系统担负着保护整个网段的任务。
混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。
(3)常用的入侵检测系统的技术有哪几种?其原理分别是什么?常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。
对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。
基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。
基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。
入侵检测系统(IDS)简介
第一章入侵检测系统概念当越来越多的公司将其核心业务向互联网转移的时候,网络安全作为一个无法回避的问题呈现在人们面前。
传统上,公司一般采用防火墙作为安全的第一道防线。
而随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要,网络的防卫必须采用一种纵深的、多样的手段。
与此同时,当今的网络环境也变得越来越复杂,各式各样的复杂的设备,需要不断升级、补漏的系统使得网络管理员的工作不断加重,不经意的疏忽便有可能造成安全的重大隐患。
在这种环境下,入侵检测系统成为了安全市场上新的热点,不仅愈来愈多的受到人们的关注,而且已经开始在各种不同的环境中发挥其关键作用。
本文中的“入侵”(Intrusion)是个广义的概念,不仅包括被发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝访问(Denial of Service)等对计算机系统造成危害的行为。
入侵检测(Intrusion Detection),顾名思义,便是对入侵行为的发觉。
它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。
与其他安全产品不同的是,入侵检测系统需要更多的智能,它必须可以将得到的数据进行分析,并得出有用的结果。
一个合格的入侵检测系统能大大的简化管理员的工作,保证网络安全的运行。
具体说来,入侵检测系统的主要功能有([2]):a.监测并分析用户和系统的活动;b.核查系统配置和漏洞;c.评估系统关键资源和数据文件的完整性;d.识别已知的攻击行为;e.统计分析异常行为;f.操作系统日志管理,并识别违反安全策略的用户活动。
由于入侵检测系统的市场在近几年中飞速发展,许多公司投入到这一领域上来。
《信息安全与技术》教学大纲
《信息安全与技术》课程教学大纲课程中文名称:信息安全技术课程英文名称:Technology of Information Security适用专业:总学时数:39学时其中理论学时:30学时实验学时:9学时总学分:1开课学期:参考教材:参考资料:一、课程说明1.本课程的性质《信息安全与技术》是信息管理与信息系统专业的学科选修课。
《信息安全与技术》要求学生在已完成《计算机网络》、《操作系统》、《C++程序设计》等课程的学习基础上开设。
2.课程教学目标知识目标:本课程主要讲授信息安全的基本概念、基本理论、基本攻防技术。
通过本课程的学习,掌握威胁信息安全相关的攻击者及攻击技术、计算机恶意代码及防治、安全操作系统、密码学、防火墙、入侵检测系统、安全协议、VPN、系统容灾。
能力目标:通过本课程的学习,学生应掌握信息安全的基本概念,对信息安全面临的威胁,应对的安全手段有一个总体上的认知和把握。
素质目标:熟悉信息安全涉及的各领域知识,在将来工作中对信息系统需要的安全措施、安全方案能够有系统性的认知和恰当的设置或者使用。
3.本课程的教学环节与教学方法⑴讲授:采用多媒体课件的形式进行理论讲授。
⑵自学:一般了解的章节和延伸知识采用自学方式。
⑶习题及作业:每章均要留一定数量的作业。
⑷辅导、答疑:采取不定期辅导和答疑的方式弥补课堂教学未能解决和消化的问题。
⑸实践环节:通过对扫描监听和攻击技术的两次共6学时实验,让学生加深对攻击技术的认知与体验,同时增强学生的动手能力。
⑹考试:课程设期末考试环节,考核学生对本门课程的掌握程度。
二、学时分配三、教学内容及教学基本要求第1章信息安全概述教学目标:掌握信息安全的体系结构和意义;掌握信息安全评估标准的内容。
教学基本要求:通过本章的学习,应使学生了解和掌握一些基本的信息安全概念,(1)了解各种信息安全体系结构的概念,了解信息安全的意义;(2)理解信息安全评估标准的意义和基本内容;(3)掌握信息安全基本要求和信息保障。
网络安全与管理第3版课后习题答案
第1章网络安全概述与环境配置1. 网络攻击和防御分别包括哪些内容?答:攻击技术主要包括以下几个方面。
(1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。
(2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。
(3)网络入侵:当探测发现对方存在漏洞后,入侵到目标计算机获取信息。
(4)网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。
(5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。
防御技术主要包括以下几个方面。
(1)安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。
(2)加密技术:为了防止被监听和数据被盗取,将所有的数据进行加密。
(3)防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。
(4)入侵检测:如果网络防线最终被攻破,需要及时发出被入侵的警报。
(5)网络安全协议:保证传输的数据不被截获和监听。
2. 从层次上,网络安全可以分成哪几层?每层有什么特点?答:从层次体系上,可以将网络安全分成4个层次上的安全:物理安全,逻辑安全,操作系统安全和联网安全。
物理安全主要包括5个方面:防盗,防火,防静电,防雷击和防电磁泄漏。
逻辑安全需要用口令、文件许可等方法来实现。
操作系统安全,操作系统必须能区分用户,以便防止相互干扰。
操作系统不允许一个用户修改由另一个账户产生的数据。
联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。
(1)访问控制服务:用来保护计算机和联网资源不被非授权使用。
(2)通信安全服务:用来认证数据机要性与完整性,以及各通信的可信赖性。
(感觉如果说是特点的话这样回答有点别扭。
)3. 为什么要研究网络安全?答:网络需要与外界联系,同时也就受到许多方面的威胁:物理威胁、系统漏洞造成的威胁、身份鉴别威胁、线缆连接威胁和有害程序威胁等。
第9章 网络安全管理技术
网络安全定义:
网络安全是指保护网络系统中的软件、硬件及数 据信息资源,使之免受偶然或恶意的破坏、盗用、暴 露和篡改,保证网络系统的正常运行、网络服务不受
中断而所采取的措施和行为。
对网络的被动攻击和主动攻击
源站
目的站
源站
目的站
源站
目的站 源站
目的站
截获 被动攻击
中断
篡改 主 动 攻 击
伪造
3.网络安全威胁 所谓的安全威胁是指某个实体(人、事件、程序
等)对某一资源可能造成的危害。是某些个别用心的
人通过一定的攻击手段来实现的。
安全威胁可分为故意的(如系统入侵)和偶然的
(如将信息发到错误地址)两类。
(1)基本的安全威胁
2.数字签名原理
签名机制的特征是该签名只有通过签名者的私有 信息才能产生,也就是说,一个签名者的签名只能惟 一地由他自己生成。 当收发双方发生争议时,第三方(仲裁机构)就 能够根据消息上的数字签名来裁定这条消息是否确实 由发送方发出,从而实现抗赖服务。
另外,数字签名应是所发送数据的函数,即签名 与消息相关,从而防止数字签名的伪造和重用。
DSKA ( X )
E 运算
明文 X
加密与解密 签名与核实签名
9.1.3
CA认证与数字凭证
所谓CA(Certificate Authority:证书发行机构), 是采用PKI(Public Key Infrastructure:公开密钥体系) 公开密钥技术,专门提供网络身份认证服务,负责签发和 管理数字证书,且具有权威性和公正性的第三方信任机构, 它的作用就像颁发证件的部门,如护照办理机构。 由于CA数字证书技术采用了加密传输和数字签名技 术,能够实现上述要求,因此在国内外电子商务中,都得 到了广泛的应用,以数字证书认证来保证交易能够得到正 常的执行。
网络安全技术 习题及答案 第9章 入侵检测系统
第9章入侵检测系统1. 单项选择题1) B2) D3) D4) C5) A6) D2、简答题(1)什么叫入侵检测,入侵检测系统有哪些功能?入侵检测系统(简称“IDS”)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
入侵检测系统功能主要有:●识别黑客常用入侵与攻击手段●监控网络异常通信●鉴别对系统漏洞及后门的利用●完善网络安全管理(2)根据检测对象的不同,入侵检测系统可分哪几种?根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。
主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源.主机型入侵检测系统保护的一般是所在的系统。
网络型入侵检测系统的数据源是网络上的数据包.一般网络型入侵检测系统担负着保护整个网段的任务。
混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。
(3)常用的入侵检测系统的技术有哪几种?其原理分别是什么?常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection).对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。
基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。
基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常"情况比较,得出是否有被攻击的迹象。
网络安全技术习题及答案新编第章 入侵检测系统
第9章入侵检测系统1. 单项选择题1)B2)D3)D4)C5)A6)D2、简答题(1)什么叫入侵检测,入侵检测系统有哪些功能?入侵检测系统(简称“IDS”)就是依照一定的,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
入侵检测系统功能主要有:识别黑客常用入侵与攻击手段监控网络异常通信鉴别对系统漏洞及后门的利用完善网络安全管理(2)根据检测对象的不同,入侵检测系统可分哪几种?根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。
主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。
主机型入侵检测系统保护的一般是所在的系统。
网络型入侵检测系统的数据源是网络上的数据包。
一般网络型入侵检测系统担负着保护整个网段的任务。
混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。
(3)常用的入侵检测系统的技术有哪几种?其原理分别是什么?常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。
对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。
基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。
基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。
这种检测方式的核心在于如何定义所谓的正常情况。
网络安全技术 习题及答案 第9章 入侵检测系统
第9章入侵检测系统1。
单项选择题1) B2) D3) D4) C5) A6) D2、简答题(1)什么叫入侵检测,入侵检测系统有哪些功能?入侵检测系统(简称“IDS”)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
入侵检测系统功能主要有:●识别黑客常用入侵与攻击手段●监控网络异常通信●鉴别对系统漏洞及后门的利用●完善网络安全管理(2)根据检测对象的不同,入侵检测系统可分哪几种?根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。
主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。
主机型入侵检测系统保护的一般是所在的系统.网络型入侵检测系统的数据源是网络上的数据包.一般网络型入侵检测系统担负着保护整个网段的任务。
混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。
(3)常用的入侵检测系统的技术有哪几种?其原理分别是什么?常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。
对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。
基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新.基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。
计算机网络技术基础(微课版)(第6版)-PPT课件第 9 章 网络安全
本章学习要点:
➢ 网络安全的现状与重要性 ➢ 防火墙技术 ➢ 网络加密技术 ➢ 数字证书与数字签名 ➢ 入侵检测技术 ➢ 网络防病毒技术 ➢ 网络安全技术的发展前景
9.1 网络安全的现状与重要性
9.1.1 网络安全的基本概念
ISO 将计算机安全定义为:为数据处理系统建立和采取的技术与管 理方面的安全保护,保护计算机软件数据、硬件不因偶然和恶意的原 因而遭到破坏、更改及泄露。
➢ 软件的漏洞或“后门”
➢ 企业网络内部
返回本节首页 返回本章首页
9.2 防火墙技术
9.2.1 防火墙的基本概念
1. 什么是防火墙
“防火墙”(Fire Wall)是用来连接两个网络并控制两个网络之间相 互访问的系统,如图9-1所示。它包括用于网络连接的软件和硬件以及控 制访问的方案。防火墙用于对进出的所有数据进行分析,并对用户进行 认证,从而防止有害信息进入受保护网,为网络提供安全保障。
为了在对称加密过程中有效地管理好密钥,保证数据的机密性,美 国麻省理工学院提出了一种基于可信赖的第三方的认证系统—— Kerberos。它是一种在开放式网络环境下进行身份认证的方法,使网 络上的用户可以相互证明自己的身份。
Kerberos采用对称密钥体制对信息进行加密。其基本思想是:能正 确对信息进行解密的用户就是合法用户。用户在对应用服务器进行访 问之前,必须先从第三方(Kerberos服务器)获取该应用服务器的访 问许可证(ticket)。
链路加密简单、容易实现,但由于全部报文都以明文形式通过各结点, 因此在这些结点上,数据容易受到非法存取的危险,而且每条链路都需 要一对加、解密设备和一个独立密钥,因此成本较高。
(2)结点加密
结点加密是对链路加密的改进,它也要为通信链路上传输的所有数据 进行加密,而且加密过程对用户是透明的。
网络安全
母。
与对称密钥技术的区别
非对称加密算法的保密性比较好,它消除了最终 用户交换密钥的需要;
但加密和解密花费时间长、速度慢,它不适合于
对文件加密而只适用于对少量数据进行加密。
9.2.4 数字签名
数字签名是由Diffie、Hellman提出的,是公开密
钥加密技术的一种应用。
用户A 秘密密钥 A 签名 公开密钥B 加密
窃听 电磁泄露 信息泄露
在监视通信的过程中获得信息。 从设备发出的辐射中泄露信息。 信息泄露给未授权实体。
物理入侵
重放 资源耗尽
入侵者绕过物理控制而获得对系统的访问权。
出于非法目的而重新发送截获的合法通信数据的复制。 某一资源被故意超负荷使用,导致其他用户的服务中断。
完整性破坏
人员疏忽
对数据的未授权创建、修改或破坏造成一致性损坏。
B1级:标记安全保护级.对网上的每一个对象都实施保护;支持多级安全,
对网络,应用程序工作站实施不同的安全策略;对象必须在访问控制之 下,不容许拥有者自己改变所属资源的权限.B1级计算机系统的主要拥
有者是政府机构和防御承包商.
B2级:结构化保护级.对网络和计算机系统中所有对象都加以定义,给一 个固定标签;为工作站,终端,磁盘驱动器等设备分配不同的安全级别;
尝试而造成系统资源过载,无法为合法用户提供服务;系统
物理或逻辑上受到破坏而中断服务。 ④ 非法使用:某一资源被非授权人以授权方式使用。 ⑤ 无效的管理:来自单位的内部,主要是规章制度不健全 和网络管理员自身问题造成的,这方面的威胁是靠计算机网
络技术无法解决的。
2
可实现的威胁
可实现的威胁
渗入 威胁
1 基本的安全问题
第9章_网络攻击防范
由于网络病毒主要通过网络传播,所以其扩散面很广,一 台PC机的病毒可以通过网络感染与之相连的众多机器。
(2)种类翻新迅速
病毒可以借助网络传播到世界各地,极大地诱发了病毒制 造者研制新病毒的兴趣。目前在网络上传播的病毒层出不 穷,每天至少会有十几种病毒诞生。
计算机网络安全
(3)传播速度快 一方面,病毒自身带有较强的再生机制,甚至可以繁衍出 不同特征的多种同一类病毒,一旦与用户计算机接触,就 可迅速扩散和传染;另一方面,在网络环境下,病毒借助 网络通信以指数增长模式进行再生,短短几天就传遍整个 世界,从而威胁全网用户的安全。 (4)破坏性强 网络上的病毒将直接影响网络的工作,轻则降低速度,影 响工作效率,重则造成网络系统的瘫痪,破坏服务器系统 资源,使众多工作毁于一旦。由网络病毒造成网络 瘫痪 的损失是难以估计的。
计算机网络安全
9.2. 1 IDS的定义
网络安全技术主要有认证授权、数据加密、访问控制、安 全审计等。入侵检测技术是安全审计中的核心技术之一, 是网络安全防护的重要组成部分。入侵检测技术是一种主 动保护自己的网络和系统免遭非法攻击的网络安全技术。 它从计算机系统或者网络中收集、分析信息,检测任何企 图破坏计算机资源的完整性(Integrity)、机密性 (Confidentiality)和可用性(Availability)的行为,即 查看是否有违反安全策略的行为和遭到攻击的迹象,并作 出相应的反应。
计算机网络安全
(3)病毒特征库和扫描引擎自动升级 可以通过指定的网络目录对病毒特征库和引擎自动升级, 提供定时、命令(手工驱动)甚至实时方式进行,在紧急情 况时,可以通过中央控制平台进行强制升级。现在的防病 毒系统大多以自动增量升级方式替代传统的覆盖升级模式, 并自动判断 是否需要升级,技术好的还能在升级过程中 断情况下自动判断增量文件中断点(即断点续传功能) ,以 降低数据流量,同时有效保证下载高峰时自动下载升级的 最大成功性。
网络安全技术习题及答案第章入侵检测系统
第9章入侵检测系统1. 单项选择题1) B2) D3) D4) C5) A6) D2、简答题(1)什么叫入侵检测,入侵检测系统有哪些功能?入侵检测系统(简称“IDS”)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
入侵检测系统功能主要有:●识别黑客常用入侵与攻击手段●监控网络异常通信●鉴别对系统漏洞及后门的利用●完善网络安全管理(2)根据检测对象的不同,入侵检测系统可分哪几种?根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。
主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。
主机型入侵检测系统保护的一般是所在的系统。
网络型入侵检测系统的数据源是网络上的数据包。
一般网络型入侵检测系统担负着保护整个网段的任务。
混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。
(3)常用的入侵检测系统的技术有哪几种?其原理分别是什么?常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。
对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。
基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。
基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。
网络安全技术习题及答案 入侵检测系统
第9章入侵检测系统1. 单项选择题1)B2)D3)D4)C5)A6)D2、简答题(1)什么叫入侵检测,入侵检测系统有哪些功能?入侵检测系统(简称“IDS”)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
入侵检测系统功能主要有:识别黑客常用入侵与攻击手段监控网络异常通信鉴别对系统漏洞及后门的利用完善网络安全管理(2)根据检测对象的不同,入侵检测系统可分哪几种?根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。
主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。
主机型入侵检测系统保护的一般是所在的系统。
网络型入侵检测系统的数据源是网络上的数据包。
一般网络型入侵检测系统担负着保护整个网段的任务。
混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。
(3)常用的入侵检测系统的技术有哪几种?其原理分别是什么?常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。
对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。
基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。
基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。
这种检测方式的核心在于如何定义所谓的正常情况。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
本文由javoldon贡献ppt文档可能在WAP端浏览体验不佳。
建议您优先选择TXT,或下载源文件到本机查看。
第9章入侵检测技术9.1 入侵检测的基本原理 9.2 网络入侵技术 9.3 应用实例9.1 入侵检测的基本原理本节内容 9.1.1 9.1.2 9.1.3 入侵检测的基本原理入侵检测系统的分类入侵检测系统的发展方向9.1.1 入侵检测的基本原理 1. 入侵检测产品的现状入侵检测系统IDS(Intrusion Detect System)分为两种:主机入侵检测系统(HIDS)和网络入侵检测系统(NIDS)。
主机入侵检测系统分析对象为主机审计日志,所以需要在主机上安装入侵检测软件,针对不同的系统、不同的版本需安装不同的主机引擎,安装配置较为复杂,同时对系统的运行和稳定性造成影响,目前在国内应用较少。
网络入侵监测分析对象为网络数据流,只需安装在网络的监听端口上,对网络的运行无任何影响,目前国内使用较为广泛。
本章介绍的是当前广泛使用的网络入侵监测系统。
2.入侵检测系统的作用我们知道,防火墙是Internet网络上最有效的安全保护屏障,防火墙在网络安全中起到大门警卫的作用,对进出的数据依照预先设定的规则进行匹配,符合规则的就予以放行,起到访问控制的作用,是网络安全的第一道闸门。
但防火墙的功能也有局限性,防火墙只能对进出网络的数据进行分析,对网络内部发生的事件完全无能为力。
同时,由于防火墙处于网关的位置,不可能对进出攻击作太多判断,否则会严重影响网络性能。
如果把防火墙比作大门警卫的话,入侵检测就是网络中不间断的摄像机,入侵检测通过旁路监听的方式不间断的收取网络数据,对网络的运行和性能无任何影响,同时判断其中是否含有攻击的企图,通过各种手段向管理员报警。
IDS是主动保护自己免受攻击的一种网络安全技术。
IDS对网络或系统上的可疑行为做出相应的反应,及时切断入侵源,保护现场并通过各种途径通知网络管理员,增大保障系统安全。
3.入侵检测系统的工作流程入侵检测系统由数据收集、数据提取、数据分析、事件处理等几个部份组成。
(1) 数据收集入侵检测的第一步是数据收集,内容包括系统、网络运行、数据及用户活动的状态和行为,而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集数据。
入侵检测很大程度上依赖于收集数据的准确性与可靠性,因此,必须使用精确的软件来报告这些信息,因为黑客经常替换软件以搞混和移走这些数据,例如替换被程序调用的子程序、库和其它工具。
数据的收集主要来源以下几个方面:系统和网络日志文件、目录和文件不期望的改变、程序不期望的行为、物理形式的入侵数据。
(2)数据提取从收集到的数据中提取有用的数据,以供数据分析之用。
(3)数据分析对收集到的有关系统、网络运行、数据及用户活动的状态和行为等数据通过三种技术手段进行分析:模块匹配、统计分析和完整性分析。
(4)结果处理记录入侵事件,同时采取报警、中断连接等措施。
9.1.2入侵检测系统的分类入侵检测系统(IDS)可以分成3类:基于主机型(Host Based) 入侵检测系统、基于网络型(Network Based) 入侵检测系统和基于代理型(Agent Based) 入侵检测系统。
1. 基于主机的入侵检测系统基于主机的入侵检测系统通常以系统日志、应用程序日志等审计记录文件作为数据源。
它是通过比较这些审计记录文件的记录与攻击签名(Attack Signature,指用一种特定的方式来表示已知的攻击模式)以发现它们是否匹配。
如果匹配,检测系统向系统管理员发出入侵报警并采取相应的行动。
基于主机的IDS可以精确地判断入侵事件,并可对入侵事件及时做出反应。
它还可针对不同操作系统的特点判断应用层的入侵事件。
基于主机的 IDS有着明显的优点:适合于加密和交换环境;可实时的检测和响应;不需要额外的硬件。
基于主机的入侵检测系统对系统内在的结构却没有任何约束,同时可以利用操作系统本身提供的功能,并结合异常检测分析,更能准确的报告攻击行为。
基于主机的入侵检测系统存在的不足之处在于:会占用主机的系统资源,增加系统负荷,而且针对不同的操作平台必须开发出不同的程序,另外所需配置的数量众多。
2. 基于网络的入侵检测系统基于网络的入侵检测系统把原始的网络数据包作为数据源。
利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务。
它的攻击识别模块进行攻击签名识别的方法有:模式、表达式或字节码匹配;频率或阈值比较;次要事件的相关性处理;统计异常检测。
一旦检测到攻击,IDS的响应模块通过通知、报警以及中断连接等方式来对攻击行为做出反应。
然而它只能监视通过本网段的活动,并且精确度较差,在交换网络环境中难于配置,防欺骗的能力也比较差。
其优势有:成本低;攻击者转移证据困难;实时检测和响应;能够检测到未成功的攻击企图;与操作系统无关。
3. 基于代理的入侵检测系统基于代理的入侵检测系统用于监视大型网络系统。
随着网络系统的复杂化和大型化,系统弱点趋于分布式,而且攻击行为也表现为相互协作式特点,所以不同的IDS之间需要共享信息,协同检测。
整个系统可以由一个中央监视器和多个代理组成。
中央监视器负责对整个监视系统的管理,它应该处于一个相对安全的地方。
代理则被安放在被监视的主机上(如服务器、交换机、路由器等)。
代理负责对某一主机的活动进行监视,如收集主机运行时的审计数据和操作系统的数据信息,然后将这些数据传送到中央监视器。
代理也可以接受中央监控器的指令。
这种系统的优点是可以对大型分布式网络进行检测。
9.2 网络入侵技术本节内容 9.2.1 9.2.2 9.2.3 9.2.4 9.2.5 基本检测方法异常检测模型误用检测模型异常检测模型和误用检测模型的比较其他入侵检测模型9.2.1基本检测方法1.基于用户特征的检测基于用户特征的检测方法是根据用户通常的举动来识别特定的用户,用户的活动模式根据在一段时间内的观察后建立。
例如,某个用户多次使用某些命令,在特定的时间内以一定的频度访问文件、系统登录及执行相同的程序等。
可以按照用户的活动情况给每个合法的用户建立特征库,用以检测和判断登录用户的合法性,因为非法用户不可能像合法用户一样地进行同样的操作。
2.基于入侵者的特征的检测当外界用户或入侵者试图访问某个计算机系统时会进行某些特殊的活动或使用特殊方法,如果这些活动能够予以描述并作为对入侵者的描述,入侵活动就能够被检测到。
非法入侵者活动的一个典型例子是,当其获得系统的访问权时,通常会立即查看当前有哪些用户在线,并且会反复检查文件系统和浏览目录结构,还会打开这些文件,另外,非法入侵者在一个系统上不会停留过久,而一个合法的用户一般是不会这样做的。
3.基于活动的检测一般来说,非法入侵者在入侵系统时会进行某些已知的且具有共性的操作,比如在入侵UNIX时入侵通常要试图获得根(root)权限,所以,我们有理由认为任何企图获得根权限的活动都要被检测。
9.2.2 异常检测模型 1.异常检测模型的基本原理异常检测,也被称为基于行为的检测。
其基本前提是:假定所有的入侵行为都是异常的。
其基本原理是:首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。
而不是依赖于具体行为是否出现来进行检测的,从这个意义上来讲,异常检测是一种间接的方法。
2.异常检测的关键技术 (1)特征量的选择异常检测首先是要建立系统或用户的“正常”行为特征轮廓,这就要求在建立正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。
例如:我们可以检测磁盘的转速是否正常, CPU是否无故超频等异常现象。
(2)参考阈值的选定因为在实际的网络环境下,入侵行为和异常行为往往不是一对一的等价关系,经常发生这样的异常情况:如某一行为是异常行为,而它并不是入侵行为;同样存在某一行为是入侵行为,而它却并不是异常行为的情况。
这样就会导致检测结果的虚警 (False Positives)和漏警(False Negatives)的产生。
由于异常检测是先建立正常的特征轮廓作为比较的参考基准,这个参考基准即参考阈值的选定是非常关键的,阈值定的过大,那漏警率会很高;阈值定的过小,则虚警率就会提高。
合适的参考阈值的选定是影响这一检测方法准确率的至关重要的因素。
从异常检测的原理我们可以看出,该方法的技术难点在于:“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。
由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。
此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求会很高。
3.异常检测模型的实现方法异常检测模型常用的实现方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
(1)基于统计分析的异常检测方法基于统计分析的异常检测方法是根据异常检测器观察主体的活动情况,随之产生能刻画这些活动的行为框架。
每一个框架能保存记录主体的当前行为,并定时地将当前的框架与存储的框架合并。
通过比较当前的框架与事先存储的框架来判断异常行为,从而检测出网络的入侵行为。
设M1,M2,…Mn 为框架的特征变量,如CPU的使用、I/O的使用、使用地点及时间、邮件的使用、文件的访问数量、网络的会话时间等。
用S1, S2,…,Sn分别表示框架中的变量M1,M2,…Mn的异常测量值,这些值表明了异常程度,Si的值越高,则Mi的异常性就越大。
框架的异常值是将有关的异常测量平方加权后得到的,其计算式如下:s=a 2+a 2+…+a 21 2 n这里,i表示框架与变量Mi相关的权重,一般地,M1,M2,…Mn 不是相互独立的,而是具其相关性的。
常见的几种异常测量值的测量类型如下:活动强度测量:用以描述活动的处理速度;审计记录分布测量:用以描述最近审计记录中所有活动类型的分布状况;类型测量:用以描述特定的活动在各种类型的分布状况;顺序测量:用以描述活动的输出结果。
(2)基于特征选择的异常检测方法基于特征选择的异常检测方法是通过从一组度量中挑选能检测出入侵的度量构成子集来准确地预测或分类已检测到的入侵。
(3)基于贝叶斯推理的异常检测方法基于贝叶斯(Bayesian)推理异常检测方法是通过在任意的时刻,测量A1,A2,…,An变量值推理判断系统是否有入侵事件的发生。
其中每个Ai变量表示系统不同的方面特征(如磁盘I/O的活动数量,或者系统中页面出错的次数等)。