第十一章 入侵检测PPT课件
合集下载
《入侵检测技术 》课件
总结词
能够应对复杂多变的网络威胁。
详细描述
基于统计、数据挖掘、机器学习等技术的入侵检测方法, 能够从大量数据中提取有用的信息,并自动学习攻击手段 的变化,从而更有效地应对复杂的网络威胁。
总结词
对资源要求较高。
详细描述
由于这些方法需要处理大量的网络流量数据,因此对系统 资源的要求较高,需要高性能的硬件和软件支持。
《入侵检测技术》 PPT课件
• 入侵检测技术概述 • 入侵检测技术分类 • 入侵检测技术原理 • 入侵检测技术应用场景 • 入侵检测技术面临的挑战与解决
方案 • 未来入侵检测技术的发展趋势
目录
01
入侵检测技术概述
定义与目的
定义
入侵检测技术是一种用于检测、识别 和应对网络或系统上未经授权的访问 或异常行为的手段。
性能有一定影响。
混合型入侵检测技术
混合型入侵检测技术是指结合 基于主机和基于网络的入侵检 测技术的一种技术。
它通过综合分析主机系统和网 络流量数据,提高对攻击行为 的检测和识别的准确性。
混合型入侵检测技术可以提供 更全面的安全防护,但需要同 时考虑主机和网络的部署和管 理。
其他分类方法
基于时间的入侵检测技术
主机入侵检测技术可以提供更精确的攻击识别和更深入的攻击分析,但需要安装在 被保护的主机上,且对主机的性能有一定影响。
基于网络的入侵检测技术
网络入侵检测技术是指基于网络 流量数据来检测和识别恶意行为
的一种技术。
它通过分析网络流量数据,检测 和识别异常的网络行为,如未经 授权的访问、恶意代码传播等。
网络入侵检测技术可以提供实时 的攻击检测和预警,但需要部署 在网络的关键节点上,且对网络
通过检测和应对安全威胁,入侵检测 技术有助于提高网络和系统的安全性 ,保护组织的机密信息和资产。
能够应对复杂多变的网络威胁。
详细描述
基于统计、数据挖掘、机器学习等技术的入侵检测方法, 能够从大量数据中提取有用的信息,并自动学习攻击手段 的变化,从而更有效地应对复杂的网络威胁。
总结词
对资源要求较高。
详细描述
由于这些方法需要处理大量的网络流量数据,因此对系统 资源的要求较高,需要高性能的硬件和软件支持。
《入侵检测技术》 PPT课件
• 入侵检测技术概述 • 入侵检测技术分类 • 入侵检测技术原理 • 入侵检测技术应用场景 • 入侵检测技术面临的挑战与解决
方案 • 未来入侵检测技术的发展趋势
目录
01
入侵检测技术概述
定义与目的
定义
入侵检测技术是一种用于检测、识别 和应对网络或系统上未经授权的访问 或异常行为的手段。
性能有一定影响。
混合型入侵检测技术
混合型入侵检测技术是指结合 基于主机和基于网络的入侵检 测技术的一种技术。
它通过综合分析主机系统和网 络流量数据,提高对攻击行为 的检测和识别的准确性。
混合型入侵检测技术可以提供 更全面的安全防护,但需要同 时考虑主机和网络的部署和管 理。
其他分类方法
基于时间的入侵检测技术
主机入侵检测技术可以提供更精确的攻击识别和更深入的攻击分析,但需要安装在 被保护的主机上,且对主机的性能有一定影响。
基于网络的入侵检测技术
网络入侵检测技术是指基于网络 流量数据来检测和识别恶意行为
的一种技术。
它通过分析网络流量数据,检测 和识别异常的网络行为,如未经 授权的访问、恶意代码传播等。
网络入侵检测技术可以提供实时 的攻击检测和预警,但需要部署 在网络的关键节点上,且对网络
通过检测和应对安全威胁,入侵检测 技术有助于提高网络和系统的安全性 ,保护组织的机密信息和资产。
《入侵检测系统》课件
如何维护和管理入侵检测系统
定期更新系统:确保系统始终处于最新状态,以应对不断变化的威胁 监控系统运行状态:实时监控系统运行状态,及时发现并解决异常情况 定期备份数据:定期备份系统数据,以防数据丢失或损坏 培训员工:对员工进行系统使用和维护的培训,提高员工的安全意识和操作技能
THANKS
汇报人:
基于网络的入侵检测系统
基于主机的入侵检测系统
基于代理的入侵检测系统
基于蜜罐的入侵检测系统
入侵检测系统的重要性
保护网络安全: 及时发现并阻 止网络攻击, 保护网络和数
据安全
提高系统稳定 性:及时发现 并修复系统漏 洞,提高系统 稳定性和可靠
性
降低损失:及 时发现并阻止 网络攻击,降 低经济损失和
声誉损失
如何评估入侵检测系统的性能
检测率:评估系统对入侵行为的检测能 力
误报率:评估系统对正常行为的误报情 况
响应时间:评估系统对入侵行为的响应 速度
兼容性:评估系统与其他安全设备的兼 容性
易用性:评估系统的操作简便性和用户 友好性
成本:评估系统的购买和维护成本
如何部署和配置入侵检测系统
选择合适的入侵 检测系统:根据 企业需求、网络 环境、安全策略 等因素选择合适 的入侵检测系统。
法规政策:政 府对网络安全 的重视将推动 入侵检测系统 的发展和应用
Part Six
如何选择合适的入 侵检测系统
选择入侵检测速度和准确性
功能:系统的检测范围和功能是否满 足需求
兼容性:系统与其他安全设备的兼容 性
价格:系统的价格是否在预算范围内 易用性:系统的操作是否简单易用 售后服务:系统的售后服务是否完善
实时监控:能够实时监控网络流量,及时发现异常行为 智能分析:利用机器学习和人工智能技术,提高检测精度 自动响应:能够自动响应入侵行为,如阻断攻击、报警等 降低风险:减少网络攻击带来的损失,提高网络安全性
入侵检测系统(IDS)精品PPT课件
❖ HIDS是配置在被保护的主机上的,用来检测针对主 机的入侵和攻击
❖ 主要分析的数据包括主机的网络连接状态、审计日 志、系统日志。
❖ 实现原理
配置审计信息 系统对审计数据进行分析(日志文件)
28
NIDS和HIDS比较
29
入侵检测的分类 (混合IDS)
❖ 基于网络的入侵检测产品和基于主机的入侵检测产 品都有不足之处,单纯使用一类产品会造成主动防 御体系不全面。但是,它们的缺憾是互补的。如果 这两类产品能够无缝结合起来部署在网络内,则会 构架成一套完整立体的主动防御体系,综合了基于 网络和基于主机两种结构特点的入侵检测系统,既 可发现网络中的攻击信息,也可从系统日志中发现 异常情况。
34
入侵检测的部署
❖ 检测器放置于防火墙的DMZ区域
可以查看受保护区域主机被攻击状态 可以看出防火墙系统的策略是否合理 可以看出DMZ区域被黑客攻击的重点
35
入侵检测的部署
❖ 检测器放置于路由器和边界防火墙之间
可以审计所有来自Internet上面对保护网络的攻 击数目
可以审计所有来自Internet上面对保护网络的攻 击类型
❖ 需要在计算机网络系统中的若干不同关键点(不同 网段和不同主机)收集信息,这样做的理由就是从 一个来源的信息有可能看不出疑点,但从几个来源 的信息的不一致性却是可疑行为或入侵的最好标识 。14Fra bibliotek信息收集
❖ 入侵检测的效果很大程度上依赖于收集信息的可靠 性和正确性
❖ 要保证用来检测网络系统的软件的完整性 ❖ 特别是入侵检测系统软件本身应具有相当强的坚固
❖ 入侵检测系统(IDS):入侵检测系统是软件与硬 件的组合,是防火墙的合理补充,是防火墙之后的 第二道安全闸门。
❖ 主要分析的数据包括主机的网络连接状态、审计日 志、系统日志。
❖ 实现原理
配置审计信息 系统对审计数据进行分析(日志文件)
28
NIDS和HIDS比较
29
入侵检测的分类 (混合IDS)
❖ 基于网络的入侵检测产品和基于主机的入侵检测产 品都有不足之处,单纯使用一类产品会造成主动防 御体系不全面。但是,它们的缺憾是互补的。如果 这两类产品能够无缝结合起来部署在网络内,则会 构架成一套完整立体的主动防御体系,综合了基于 网络和基于主机两种结构特点的入侵检测系统,既 可发现网络中的攻击信息,也可从系统日志中发现 异常情况。
34
入侵检测的部署
❖ 检测器放置于防火墙的DMZ区域
可以查看受保护区域主机被攻击状态 可以看出防火墙系统的策略是否合理 可以看出DMZ区域被黑客攻击的重点
35
入侵检测的部署
❖ 检测器放置于路由器和边界防火墙之间
可以审计所有来自Internet上面对保护网络的攻 击数目
可以审计所有来自Internet上面对保护网络的攻 击类型
❖ 需要在计算机网络系统中的若干不同关键点(不同 网段和不同主机)收集信息,这样做的理由就是从 一个来源的信息有可能看不出疑点,但从几个来源 的信息的不一致性却是可疑行为或入侵的最好标识 。14Fra bibliotek信息收集
❖ 入侵检测的效果很大程度上依赖于收集信息的可靠 性和正确性
❖ 要保证用来检测网络系统的软件的完整性 ❖ 特别是入侵检测系统软件本身应具有相当强的坚固
❖ 入侵检测系统(IDS):入侵检测系统是软件与硬 件的组合,是防火墙的合理补充,是防火墙之后的 第二道安全闸门。
入侵检测技术2378852页PPT
基于主机的入侵检测系统
目标系统 审计记录
审计记录收集方法
审计记录预处理
异常检测
误用检测
安全管理员接口
审计记录数据 归档/查询
审计记录 数据库
基于主机的入侵检测系统
❖ 优点
性能价格比高 细腻性,审计内容全面 视野集中 适用于加密及交换环境
基于主机的入侵检测系统
❖ 缺点
额外产生的安全问题 依赖性强 如果主机数目多,代价过大 不能监控网络上的情况
(1)安全审计 安全审计机制的目标有以下几方面。
① 为安全职员提供足够的信息使之能够将问题 局限于局部,而信息量不足以以其为基础进 行攻击。
② 优化审计记录的内容,审计分析机制应该可 以对一些特定资源辨认正常的行为。
(2)IDS(Intrusion Detection Systems) 的诞生
3 网络安全体系结构
基于网络的入侵检测系统
分析系统 侦听器
管理/配置 分析结果
入侵分析引擎器
侦听器
基于网络的入侵检测系统
❖ 优点 检测范围广 无需改变主机配置和性能 独立性和操作系统无关性 安装方便
基于网络的入侵检测系统
❖ 缺点
不能检测不同网段的网络包 很难检测复杂的需要大量计算的攻击 协同工作能力弱 难以处理加密的会话
❖ 被动的入侵检测系统。被动的入侵检测系统在检测 出对系统的入侵攻击后只是产生报警信息通知系统 安全管理员,至于之后的处理工作则由系统管理员 来完成。
根据系统各个模块运行的分布方式
❖ 集中式入侵检测系统。系统的各个模块包括数据的 收集与分析以及响应都集中在一台主机上运行,这 种方式适用于网络环境比较简单的情况。
(1)入侵性而非异常。 (2)非入侵性且异常。 (3)非入侵性非异常。 (4)入侵性且异常。
入侵检测技术ppt课件共132页PPT
反复无常,鼓着翅膀飞逝
入侵检测技术
惠东
入侵检测的定义
对系统的运行状态进行监视,发现各种攻 击企图、攻击行为或者攻击结果,以保证 系统资源的机密性、完整性和可用性
进行入侵检测的软件与硬件的组合便是入 侵检测系统
IDS : Intrusion Detection System
▪ 他提出了一种对计算机系统风险和威胁的分类方
法,并将威胁分为外部渗透、内部渗透和不法行 为三种
▪ 还提出了利用审计跟踪数据监视入侵活动的思想。
这份报告被公认为是入侵检测的开山之作
入侵检测的起源(4)
从1984年到1986年,乔治敦大学的Dorothy Denning 和SRI/CSL的Peter Neumann研究出了一个实时入侵检 测系统模型,取名为IDES(入侵检测专家系统)
显然,对用户活动来讲,不正常的或不期望的 行为就是重复登录失败、登录到不期望的位置 以及非授权的企图访问重要文件等等
系统目录和文件的异常变化
网络环境中的文件系统包含很多软件和数据文 件,包含重要信息的文件和私有数据文件经常 是黑客修改或破坏的目标。目录和文件中的不 期望的改变(包括修改、创建和删除),特别 是那些正常情况下限制访问的,很可能就是一 种入侵产生的指示和信号
局限性 无法处理网络内部的攻击 误报警,缓慢攻击,新的攻 击模式 并不能真正扫描漏洞
可视为防火墙上的一个漏洞 功能单一
入侵检测起源
1980年 Anderson提出:入侵检测概念,分类方法 1987年 Denning提出了一种通用的入侵检测模型
独立性 :系统、环境、脆弱性、入侵种类 系统框架:异常检测器,专家系统 90年初:CMDS™、NetProwler™、NetRanger™ ISS RealSecure™
入侵检测技术
惠东
入侵检测的定义
对系统的运行状态进行监视,发现各种攻 击企图、攻击行为或者攻击结果,以保证 系统资源的机密性、完整性和可用性
进行入侵检测的软件与硬件的组合便是入 侵检测系统
IDS : Intrusion Detection System
▪ 他提出了一种对计算机系统风险和威胁的分类方
法,并将威胁分为外部渗透、内部渗透和不法行 为三种
▪ 还提出了利用审计跟踪数据监视入侵活动的思想。
这份报告被公认为是入侵检测的开山之作
入侵检测的起源(4)
从1984年到1986年,乔治敦大学的Dorothy Denning 和SRI/CSL的Peter Neumann研究出了一个实时入侵检 测系统模型,取名为IDES(入侵检测专家系统)
显然,对用户活动来讲,不正常的或不期望的 行为就是重复登录失败、登录到不期望的位置 以及非授权的企图访问重要文件等等
系统目录和文件的异常变化
网络环境中的文件系统包含很多软件和数据文 件,包含重要信息的文件和私有数据文件经常 是黑客修改或破坏的目标。目录和文件中的不 期望的改变(包括修改、创建和删除),特别 是那些正常情况下限制访问的,很可能就是一 种入侵产生的指示和信号
局限性 无法处理网络内部的攻击 误报警,缓慢攻击,新的攻 击模式 并不能真正扫描漏洞
可视为防火墙上的一个漏洞 功能单一
入侵检测起源
1980年 Anderson提出:入侵检测概念,分类方法 1987年 Denning提出了一种通用的入侵检测模型
独立性 :系统、环境、脆弱性、入侵种类 系统框架:异常检测器,专家系统 90年初:CMDS™、NetProwler™、NetRanger™ ISS RealSecure™
《入侵检测》课件
实时性
系统对入侵事件的响应速度, 快速响应能够减少损失。
可扩展性
系统能够随着网络规模和安全 需求的变化进行扩展的能力。
04 入侵检测面临的挑战与解 决方案
高性能计算环境的挑战与解决方案
挑战
随着高性能计算环境的普及,入侵检测系统需要处理的数据量急剧增加,对数据处理速 度的要求也越来越高。
解决方案
采用分布式计算技术,将数据分散到多个节点进行处理,提高数据处理速度。同时,利 用GPU加速技术,提高算法的并行处理能力,进一步提高数据处理速度。
网络型
部署在网络中的关键节点,实时监测网络流量和数据 包内容。
主机型
安装在目标主机上,监测主机的系统日志、进程等信 息。
混合型
结合网络型和主机型的特点,同时监测网络和主机环 境。
入侵检测系统的性能指标
检测率
能够检测到的入侵事件的比例 ,是衡量入侵检测系统性能的
重要指标。
误报率
将正常行为误判为入侵事件的 比例,低误报率可以提高系统 的可信度。
要点二
面临的挑战
利用量子计算的并行性和量子纠缠等特性,可以加速加密 和解密等计算密集型任务,提高入侵检测的性能和安全性 。
目前量子计算仍处于发展初期,技术尚未成熟,且量子计 算在入侵检测中的应用仍面临许多挑战和限制。
THANKS FOR WATCHING
感谢您的观看
02 入侵检测技术
基于异常的入侵检测技术
总结词
基于异常的入侵检测技术通过监测系统中的异常行为或流量模式来识别入侵行 为。
详细描述
该技术通过建立正常行为模式,并将实际行为与该模式进行比较,以检测异常 行为。如果发现异常行为,则触发警报。
基于误用的入侵检测技术
入侵检测系统技术培训PPT课件
Server
基于数据包的 NIDS 检测到 20K+1次 攻击
传统模式匹配与基于协议分析的性能对比
O(N) O ( logN ) N是规则数
时间
线性匹配
树型匹配
规则数
随着规则数的增大,树型匹配的消耗时间的增长速度远远低于线性匹配
方便灵活的智能管理
• 网络流量精准检测:实时记录并图形化显示当前正常和异
常的网络流量和会话数;真实反映当前探测器处理能力,客观 显示丢包数量,为设备科学合理部署提供依据。
• 异常问题快速定位:主机异常流量快速定位、IP/MAC地址
捆绑和事件关联分析等功能,辅助网管员快速解决病毒爆发预 警和网关地址盗用快速定位等问题。
• 关键服务重点监控:针对关键服务器可自定义事件特征、
千兆
增强型
千兆 标准型
百兆 增强型
百兆 标准型
N120
N820
N3200
N5200 产品线
N5200产品说明
说明项
说明
产品描述 扩展说明
千兆增强型,2U机箱,热备冗余电源
适用于2G负载的千兆网络环境
通讯口 1个10/100M自适应电口
(管理口)
监听口
2个10/100/1000M自适应电口,2个GBIC插槽 (可插千兆GBIC多模光口/单模光口/电口模块), 监听口可扩展为4个。
切断会话
防火墙联动
误用检测
入侵响应
入侵日志
异常检测
SNMP Trap
邮件、短信报警
升 级
DoS/DDoS 检测
会话状态分析 / 应用协议分析
控
虚拟引擎
并行数据采集
制
端口镜像
入侵检测系统 PPT课件
计算机入侵检测系统 (IDS)
内容提要
入侵检测的概念及功能 入侵检测的构架原理 入侵检测的分类 入侵检测系统的评级标准 入侵检测的响应与恢复 小结
网络安全
–网络安全 –P2DR –入侵检测的位置 –入侵检测系统的应用前景
网络安全
• 计算机网络的安全是指计算机网络的机密性 (Confidentiality)、完整性(Integrity)、可用性 (Access)
的有效手段。
入侵检测发挥的作用
从事后 到事前
领导层面:对安全主管领导来说,是可以把IDS做为把握全局一种
有效的方法,目的是提高安全效能。
入侵检测发挥的作用
从预警 到保障
意识层面:对政府或者大的行业来说,是可以通过IDS来建立一套
完善的网络预警与响应体系,减小安全风险。
入侵检测系统的功能
监控用户和系统的活动 查找非法用户和合法用户的越权操作 检测系统配置的正确性和安全漏洞 评估关键系统和数据的完整性 识别攻击的活动模式并向网管人员报警 对用户的非正常活动进行统计分析,发现入侵行为 的规律 操作系统审计跟踪管理,识别违反政策的用户活动 检查系统程序和数据的一致性与正确性
应用前景
各种基于网络的信息系统已成为国民经济关 键领域中的重要组成部分,如交通控制系统、国 防信息系统、电力信息系统、气油运输和存储系 统、金融服务系统、医疗卫生信息服务系统、电 子商务信息系统等。然而,对网络的依赖性越大, 面临网络入侵的威胁越大,产生的后果越严重。
一、入侵检测的概念及功能
–概念的诞生 –入侵检测研究发展 –入侵检测的作用 –入侵检测系统的功能
• 传统的安全保护主要从被动防御的角度出发,增 加攻击者对网络系统破坏的难度,典型的如:
内容提要
入侵检测的概念及功能 入侵检测的构架原理 入侵检测的分类 入侵检测系统的评级标准 入侵检测的响应与恢复 小结
网络安全
–网络安全 –P2DR –入侵检测的位置 –入侵检测系统的应用前景
网络安全
• 计算机网络的安全是指计算机网络的机密性 (Confidentiality)、完整性(Integrity)、可用性 (Access)
的有效手段。
入侵检测发挥的作用
从事后 到事前
领导层面:对安全主管领导来说,是可以把IDS做为把握全局一种
有效的方法,目的是提高安全效能。
入侵检测发挥的作用
从预警 到保障
意识层面:对政府或者大的行业来说,是可以通过IDS来建立一套
完善的网络预警与响应体系,减小安全风险。
入侵检测系统的功能
监控用户和系统的活动 查找非法用户和合法用户的越权操作 检测系统配置的正确性和安全漏洞 评估关键系统和数据的完整性 识别攻击的活动模式并向网管人员报警 对用户的非正常活动进行统计分析,发现入侵行为 的规律 操作系统审计跟踪管理,识别违反政策的用户活动 检查系统程序和数据的一致性与正确性
应用前景
各种基于网络的信息系统已成为国民经济关 键领域中的重要组成部分,如交通控制系统、国 防信息系统、电力信息系统、气油运输和存储系 统、金融服务系统、医疗卫生信息服务系统、电 子商务信息系统等。然而,对网络的依赖性越大, 面临网络入侵的威胁越大,产生的后果越严重。
一、入侵检测的概念及功能
–概念的诞生 –入侵检测研究发展 –入侵检测的作用 –入侵检测系统的功能
• 传统的安全保护主要从被动防御的角度出发,增 加攻击者对网络系统破坏的难度,典型的如:
入侵检测系统基本知识ppt课件
三、入侵检测系统构件
1、IDS框架介绍 2、入侵检测系统构件 3、事件产生器 4、事件分析器 5、响应单元 6、事件数据库 7、管理器
1、IDS框架介绍(1)
理论界:CIDF
Common Intrusion Detection Framework
由DARPA于1997年3月开始着手制定
为了解决不同入侵检测系统
1、异常检测技术-概念
2、异常检测技术的优势
入侵检测技术分为滥用检测和异常检测两 种。滥用检测技术的局限性: 不能检测未知攻击和新的攻击,特征库需要不 断升级更新 检测系统知识库中的入侵攻击知识与系统的运 行环境有关 对于系统内部攻击者的越权行为,由于他们没 有利用系统的缺陷,因而很难检测出来
2、异常检测技术的优势
硬件平台 操作系统 系统中运行的应用程序
4、完整性分析
通过检查系统的当前系统配置,诸如系统文件 的内容或者系统表,来检查系统是否已经或者 可能会遭到破坏。
其优点是不管模式匹配方法和统计分析方法能 否发现入侵,只要是成功的攻击导致了文件或 其它对象的任何改变,它都能够发现。
缺点是一般以批处理方式实现,不用于实时响 应。
防火墙不能保证绝对的安全
网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 防火墙是锁,入侵检测系统是监视器
5、IDS的优点
提高信息安全构造的其他部分的完整性 提高系统的监控能力 从入口点到出口点跟踪用户的活动 识别和汇报数据文件的变化 侦测系统配置错误并纠正 识别特殊攻击类型,并向管理人员发出警报
基于网络的入侵检测系统
视野更宽 、隐蔽性好 、攻击者不易转移证据
3、根据检测技术进行分类
异常入侵检测
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
模式匹配
将收集到的信息与已知的网络入侵和系统 误用模式数据库进行比较,从而发现未被 安全策略的行为,一般讲,一种进攻模式 可以用一个过程或一个输出来表示,该方 法的优点是只需要收集相关的数据集合, 显著减少系统负担,技术相当成熟,弱点 是需要不断升级对付黑可的攻击手法,不 能检测未知的攻击手段。
所有系统必须定期做日志,而且日志应定期保存和备 份
目录和文件中的不期望的改变
文件系统包含很多软件和数据文件,包含 重要信息的文件和私有的数据文件经常成 为攻击者修改或破坏的目标,目录和文件 中的不期望的改变可能是一种入侵产生的 指示和信号。攻击者通常会替换、修改和 破坏他们获得访问权的系统上的文件,, 而且会修改系统日志文件。
入侵检测的内容
试图闯入、成功闯入、冒充其他用户、违 反安全策略、合法用户的泄漏、独占资源 以及恶意使用。
入侵检测系统(IDS)
是入侵检测的软件和硬件的集合。通过从计算机网络或计 算机系统的关键点搜集信息并进行分析,从而发现网络或 系统中是否有违反安全策略的行为或被攻击的迹象并且作 出反应.
入侵检测技术是动态安全技术的最核心技术之一。通过对 入侵行为的过程和特征进行研究,使安全系统对入侵事件 和入侵过程能做出实时响应。
程序执行中的不期望行为
攻击者通过将程序或服务的运行分解,导 致其失败或是以非用户或管理员意图的方 式操作。
物理形式的入侵
两个方面的内容,一是未授权的对网络硬 件的连接,二是对物理资源的未授权访问。
信号分析
对收集到的信息,通过三种技术手段进行 分析:模式匹配、统计分析和完整性分析。 其中模式匹配、统计分析用于实时入侵检 测,完整性分析用于事后分析。
入侵检测是防火墙的合理补充,帮助系统对付网络攻击, 扩展了系统管理员的安全管理能里,提高信息安全基础结 构的完整性。
入侵检测执行的任务
监视、分析用户及系统活动,查找非法用户和合 法用户的越权操作。
系统构造和弱点审计,并提示管理员修补漏洞 识别反映已知的活动模式并报警,能够实时对检
测到的入侵行为进行反应。 异常行为模式的统计分析,发现入侵的规律。 评估重要系统和数据文件的完整性。 操作系统的审计跟踪管理,并识别用户违反安全
入侵检测的过程
入侵信息的搜集 搜集的内容包括系统、网络、数据以及用
户或等的状态和行为。通常需要在计算机 网络系统中的若干不同关键点搜集信息。 入侵检测很大程度上依赖于收集信息的可 靠性和正确性。
入侵检测系统利用的信息一般来自四个方面
系统和网络日志
日志提供了当前系统的细节,充分利用系统和网络日 志文件信息是检测入侵的必要条件。日志包含了发生 在网络和系统上的不许昌和不期望活动的证据,通过 产看日志文件,能够发现成功的入侵或入侵企图,启 动相应的应急响应程序。
策略的行为
入侵检测的模型
主体(Subjects):在目标系统上活动的实体 对象(Objects):系统资源 审计记录:由六部分组成<Subject,Action,Object,
Exception-Condition,Resource-Usage,Time-Stamp>。 活动(Action)是主体对目标的操作,对操作系统而言, 这些操作包括读、写、登录、退出等;异常条件 (Exception-Condition)是指系统对主体的该活动的异常 报告;资源使用状况(Resource-Usage)是系统的资源 消耗情况;时间戳(Time-Stamp)是活动发生时间。 活动简档:用以保存主体正常活动的有关信息
统计信息
首先给系统对象创建一个统计描述,统计 正常使用时的一些测量属性,凡是在正常 值以外的就认为是入侵行为,优点是可检 测未知的入侵和更为复杂的入侵,缺点是 误报、漏报率高,不适应用户正常行为的 突然改变。
完整性分析
完整性分析主要是关注某个文件或对象是 否被更改,它在发现被更改、被特洛伊化 的应用程序方面特别有效,优点是只要是 成功的攻击导致了文件或其他对象的任何 改变都能发现,确定是不能用于实时响应。
根据其采用的技术 异常检测 特征检测
入侵检测系统的分类(2)
根据其检测的对象 基于主机的入侵检测系统:通过监视与分析主
机的审计记录检测入侵 基于网络的入侵检测系统:通过网络的入侵检
测系统通过在共享网段上对通信数据的侦听 采 集数据,分析可疑现象。 分布式入侵检测系统:检测每一个网段,集中 式管理
第十一章入侵检测
入侵ห้องสมุดไป่ตู้测
入侵检测是对入侵行为的发觉,是一种试 图通过观察行为、安全日志或审计数据来 检测入侵的技术。
基本概念
入侵检测技术是主动保护自己免受攻击的 一种网络安全技术。作为防火墙的合理补 充,入侵检测技术能够帮助系统对付网络 攻击,扩展了系统管理员的安全管理能力 (包括安全审计、监视、攻击识别和响 应),提高了信息安全基础结构的完整性。 它从计算机网络系统中的若干关键点收集 信息,并分析这些信息。
入侵检测系统的分类(3)
根据工作方式 离线检测系统:在事后分析审计事件,检查入侵活动,
由网络管理人员进行,不具有实时性。 在线检测系统:实时联机的检测系统,包含对实时网络
数据包的分析,实时主机审计分析。工作过程是实时入 侵检测在网络过程中进行,系统根据用户的历史行为模 型、存储在计算机中的专家只是以及神经网络模型对用 户当前的操作进行判断,一旦发现入侵行为立即断开入 侵者与主机的连接,并搜集证据和实施数据恢复。
异常活动:由<Event,Time-stamp, Profile>组成。用以表示异常事件的发生情 况。
活动规则:规则集是检查入侵行为是否发 生的处理引擎,结合活动简档用专家系统 或统计方法等分析接受到的审计记录,调 整内部规则或统计信息,在判断入侵发生 时采取相应的措施。
入侵检测系统的分类(1)
入侵者进入系统的三种方式
物理入侵:入侵者通过物理方式访问一个机器进 行破坏活动。
系统入侵:入侵者在拥有系统的一个低级帐号权 限下进行的破坏活动,如果系统没有打补丁,那 么拥有低级权限的用户就可能利用系统漏洞获取 更高的管理权限
远程入侵:入侵者通过网络渗透到一个系统中, 通过漏洞扫描或端口扫描等技术发现攻击目标, 再利用相关技术执行破坏活动。