信息安全入侵检测技术(ppt 73页)
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5.1.2 系统结构
由于网络环境和系统安全策略的差异,入侵检测系统 在具体实现上也有所不同。
从系统构成上看,入侵检测系统应包括事件提取、入 侵分析、入侵响应和远程管理四大部分,另外还可能 结合安全知识库、数据存储等功能模块,提供更为完 善的安全检测及数据分析功能(如图5-3所示)。
2019/10/24 页 11
2019/10/24 页 4
返回本章首页
第五章 入侵检测技术
入侵检测发展历史
1990年,Heberlein等人提出了一个具有里程碑意义 的新型概念:基于网络的入侵检测——网络安全监视 器NSM(Network Security Monitor)。
1991 年 ,NADIR ( Network Anomaly Detection and Intrusion Reporter ) 与 DIDS ( Distribute Intrusion Detection System)提出了通过收集和 合并处理来自多个主机的审计信息可以检测出一系列 针对主机的协同攻击。
第五章 入侵检测技术
5.1.3 系统分类
由于功能和体系结构的复杂性,入侵检测按照不同的 标准有多种分类方法。
这通常是通过执行下列任务来实现的:
监视、分析用户及系统活动; 系统构造和弱点的审计; 识别分析知名攻击的行为特征并告警; 异常行为特征的统计分析; 评估重要系统和数据文件的完整性; 操作系统的审计跟踪管理,并识别用户违反安全策略的行
为。
2019/10/24 页 13
返回本章首页
2019/10/24 页 5
返回本章首页
第五章 入侵检测技术
入侵检测发展历史
1994年,Mark Crosbie和Gene Spafford建议使用自治代理 (autonomous agents)以提高IDS的可伸缩性、可维护性、 效率和容错性,该理念非常符合计算机科学其他领域(如软件 代理,software agent)正在进行的相关研究。
2019/10/24 页 8
返回本章首页
第五章 入侵检测技术
知识库 历史行为
特定行为模式
当前系统 /用户行为
安全策略 入侵检测 分析引擎
数据提取
其它
入侵?
否
是 记录证据
2019/10/24 页 9
响应处理
图5-2 入侵检测原理框图
返回本章首页
第五章 入侵检测技术
入侵检测系统
执行入侵检测任务的硬件或软件产品 入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一
种方法。 其应用前提是入侵行为和合法行为是可区分的,也即可以通
过提取行为的模式特征来判断该行为的性质。
一般地,入侵检测系统需要解决两个问题:
如何充分并可靠地提取描述行为特征的数据;
如何根据特征数据,高效并准确地判定行为的性质。
2019/10/24 页 10
返回本章首页
第五章 入侵检测技术
2019/10/24 页 2
返回本章首页
第五章 入侵检测技术
入侵检测发展历史
时钟 规则设计与修改
主体活动 审计记录
规则集 处理引擎
创建 提取规则
更新
更新历史活动
异常 记录
活动 简档
创建活动状况
图5-1 Denning入侵检测抽象模型
学习
2019/10/24 页 3
返回本章首页
第五章 入侵检测技术
入侵检测发展历史
入侵检测技术研究的主要创新有:
Forrest等将免疫学原理运用于分布式入侵检测领 域;
1998年Ross Anderson和Abida Khattak将信息 检索技术引进入侵检测;
以及采用状态转换分析、数据挖掘和遗传算法等 进行误用和异常检测。
2019/10/24 页 7
返回本章首页
返回本章首页
第五章 入侵检测技术
响应处理
知识库
入侵分析
数据存储
2019/10/24 页 12
数据提取
原始数据流
图5-3 入侵检测系统结构
返回本章首页
第五章 入侵检测技术
入侵检测的思想源于传统的系统审计,但拓宽了传统 审计的概念,它以近乎不间断的方式进行安全检测, 从而可形成一个连续的检测过程。
第五章 入侵检测技术
5.1.1 入侵检测原理
入侵检测
入侵检测是用于检测任何损害或企图损害系统的保密性、 完整性或可用性的一种网络安全技术。
它通过监视受保护系统的状态和活动,采用误用检测 (Misuse Detection)或异常检测(Anomaly Detection) 的方式,发现非授权的或恶意的系统及网络行为,为防范 入侵行为提供有效的手段。
另一个致力于解决当代绝大多数入侵检测系统伸缩性不足的方 法于1996年提出,这就是GrIDS(Graph-based Intrusion Detection System)的设计和实现,该系统可以方便地检测 大规模自动或协同方式的网络攻击。
2019/10/24 页 6
返回本章首页
第五章 入侵检测技术
第五章 入侵检测检测概述 入侵检测的技术实现 分布式入侵检测 入侵检测系统的标准 入侵检测系统示例 本章小结
2019/10/24 页 1
第五章 入侵检测技术
入侵检测发展历史
入侵检测技术研究最早可追溯到1980年James P.Aderson所 写的一份技术报告,他首先提出了入侵检测的概念。
入侵检测发展历史
1988年Teresa Lunt等人进一步改进了Denning提出的入侵检 测模型,并创建了IDES(Intrusion Detection Expert System)
该系统用于检测单一主机的入侵尝试,提出了与系统平台无关的 实时检测思想
1995 年 开 发 的 NIDES ( Next-Generation Intrusion Detection Expert System)作为IDES完善后的版本可以检测出 多个主机上的入侵。
1987 年 Dorothy Denning 提 出 了 入 侵 检 测 系 统 ( IDS , Intrusion Detection System)的抽象模型(如图5-1所示), 首次提出了入侵检测可作为一种计算机系统安全防御措施的概 念
与传统的加密和访问控制技术相比,IDS是全新的计算机安全 措施。
由于网络环境和系统安全策略的差异,入侵检测系统 在具体实现上也有所不同。
从系统构成上看,入侵检测系统应包括事件提取、入 侵分析、入侵响应和远程管理四大部分,另外还可能 结合安全知识库、数据存储等功能模块,提供更为完 善的安全检测及数据分析功能(如图5-3所示)。
2019/10/24 页 11
2019/10/24 页 4
返回本章首页
第五章 入侵检测技术
入侵检测发展历史
1990年,Heberlein等人提出了一个具有里程碑意义 的新型概念:基于网络的入侵检测——网络安全监视 器NSM(Network Security Monitor)。
1991 年 ,NADIR ( Network Anomaly Detection and Intrusion Reporter ) 与 DIDS ( Distribute Intrusion Detection System)提出了通过收集和 合并处理来自多个主机的审计信息可以检测出一系列 针对主机的协同攻击。
第五章 入侵检测技术
5.1.3 系统分类
由于功能和体系结构的复杂性,入侵检测按照不同的 标准有多种分类方法。
这通常是通过执行下列任务来实现的:
监视、分析用户及系统活动; 系统构造和弱点的审计; 识别分析知名攻击的行为特征并告警; 异常行为特征的统计分析; 评估重要系统和数据文件的完整性; 操作系统的审计跟踪管理,并识别用户违反安全策略的行
为。
2019/10/24 页 13
返回本章首页
2019/10/24 页 5
返回本章首页
第五章 入侵检测技术
入侵检测发展历史
1994年,Mark Crosbie和Gene Spafford建议使用自治代理 (autonomous agents)以提高IDS的可伸缩性、可维护性、 效率和容错性,该理念非常符合计算机科学其他领域(如软件 代理,software agent)正在进行的相关研究。
2019/10/24 页 8
返回本章首页
第五章 入侵检测技术
知识库 历史行为
特定行为模式
当前系统 /用户行为
安全策略 入侵检测 分析引擎
数据提取
其它
入侵?
否
是 记录证据
2019/10/24 页 9
响应处理
图5-2 入侵检测原理框图
返回本章首页
第五章 入侵检测技术
入侵检测系统
执行入侵检测任务的硬件或软件产品 入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一
种方法。 其应用前提是入侵行为和合法行为是可区分的,也即可以通
过提取行为的模式特征来判断该行为的性质。
一般地,入侵检测系统需要解决两个问题:
如何充分并可靠地提取描述行为特征的数据;
如何根据特征数据,高效并准确地判定行为的性质。
2019/10/24 页 10
返回本章首页
第五章 入侵检测技术
2019/10/24 页 2
返回本章首页
第五章 入侵检测技术
入侵检测发展历史
时钟 规则设计与修改
主体活动 审计记录
规则集 处理引擎
创建 提取规则
更新
更新历史活动
异常 记录
活动 简档
创建活动状况
图5-1 Denning入侵检测抽象模型
学习
2019/10/24 页 3
返回本章首页
第五章 入侵检测技术
入侵检测发展历史
入侵检测技术研究的主要创新有:
Forrest等将免疫学原理运用于分布式入侵检测领 域;
1998年Ross Anderson和Abida Khattak将信息 检索技术引进入侵检测;
以及采用状态转换分析、数据挖掘和遗传算法等 进行误用和异常检测。
2019/10/24 页 7
返回本章首页
返回本章首页
第五章 入侵检测技术
响应处理
知识库
入侵分析
数据存储
2019/10/24 页 12
数据提取
原始数据流
图5-3 入侵检测系统结构
返回本章首页
第五章 入侵检测技术
入侵检测的思想源于传统的系统审计,但拓宽了传统 审计的概念,它以近乎不间断的方式进行安全检测, 从而可形成一个连续的检测过程。
第五章 入侵检测技术
5.1.1 入侵检测原理
入侵检测
入侵检测是用于检测任何损害或企图损害系统的保密性、 完整性或可用性的一种网络安全技术。
它通过监视受保护系统的状态和活动,采用误用检测 (Misuse Detection)或异常检测(Anomaly Detection) 的方式,发现非授权的或恶意的系统及网络行为,为防范 入侵行为提供有效的手段。
另一个致力于解决当代绝大多数入侵检测系统伸缩性不足的方 法于1996年提出,这就是GrIDS(Graph-based Intrusion Detection System)的设计和实现,该系统可以方便地检测 大规模自动或协同方式的网络攻击。
2019/10/24 页 6
返回本章首页
第五章 入侵检测技术
第五章 入侵检测检测概述 入侵检测的技术实现 分布式入侵检测 入侵检测系统的标准 入侵检测系统示例 本章小结
2019/10/24 页 1
第五章 入侵检测技术
入侵检测发展历史
入侵检测技术研究最早可追溯到1980年James P.Aderson所 写的一份技术报告,他首先提出了入侵检测的概念。
入侵检测发展历史
1988年Teresa Lunt等人进一步改进了Denning提出的入侵检 测模型,并创建了IDES(Intrusion Detection Expert System)
该系统用于检测单一主机的入侵尝试,提出了与系统平台无关的 实时检测思想
1995 年 开 发 的 NIDES ( Next-Generation Intrusion Detection Expert System)作为IDES完善后的版本可以检测出 多个主机上的入侵。
1987 年 Dorothy Denning 提 出 了 入 侵 检 测 系 统 ( IDS , Intrusion Detection System)的抽象模型(如图5-1所示), 首次提出了入侵检测可作为一种计算机系统安全防御措施的概 念
与传统的加密和访问控制技术相比,IDS是全新的计算机安全 措施。