防火墙入侵检测技术的概念
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
这份报告被公认为是入侵检测的开山之作。
可编辑ppt
11
入侵检测发展的历程2
1Biblioteka Baidu87年: Dorthy Denning提出了一种通用的入侵检测模型;
Denning提出的模型是一个基于主机的入侵检测模型。首先对 主机事件按照一定的规则学习产生用户行为模型(Activity Profile),然后将当前的事件和模型进行比较,如果不匹配则 认为异常。
可编辑ppt
5
防止入侵的手段
身份认证 安全访问控制 入侵检测系统
可编辑ppt
6
入侵检测系统存在与发展的必然性
网络攻击的破坏性、损失的严重性
日益增长的网络安全威胁
单纯的防火墙无法防范复杂多变的攻击 关于防火墙
网络边界的设备,自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部
1980年4月,James P. Anderson 《Computer Security Threat Monitoring and
Surveillance》 (计算机安全威胁监控与监视)
第一次详细阐述了入侵检测的概念; 计算机系统威胁分类: 外部渗透、内部渗透和不法行为; 提出了利用审计跟踪数据监视入侵活动的思想;
入侵很容易
入侵教程随处可见 各种工具唾手可得
可编辑ppt
7
入侵检测技术——概念
入侵检测的起点——主机审计 入侵检测的定义 入侵检测发展的历程 IDS分类
可编辑ppt
8
主机审计
审计技术:产生、记录并检查按时间顺序排列的系统事件记 录的过程。
审计的目标: 确定和保持系统活动中每个人的责任; 重建事件; 评估损失; 监测系统的问题区; 提供有效的灾难恢复; 阻止系统的不正当使用。
人因攻击:社会工程、盗窃行为; 物理攻击:电磁脉冲炸弹等; 数据攻击:非法获取数据、篡改数据; 身份冒充:IP欺骗、会话重放、会话劫持; 非法使用:利用系统的漏洞(缓冲区溢出); 拒绝服务:EMAIL轰炸等。
可编辑ppt
4
入侵者
伪装者:未被授权的使用计算机的人(Outside); 违法者:访问没有经过授权的数据、程序和资源的合法 用户(Inside); 秘密用户:夺取系统超级控制并使用这种控制权逃避审 计 和 访 问 控 制 , 或 者 抑 制 审 计 记 录 的 人 ( Outside & Inside)。
入侵检测原理与技术
入侵检测的概念 入侵检测系统的组成与实例
可编辑ppt
1
回顾:安全相关概念
保密性(Confidentiality); 完整性(Integrity); 认证(Authenticity):实体身份的认证,适用于用户、 进程、系统、信息等; 不可否认性( Non-repudiation):防止发送方或接收方 的抵赖; 可用性(Availability)。
Snort :http://www.snort.org SHADOW:http://www.nswc.navy.mil/ISSEC/CID/
可编辑ppt
17
入侵检测的分类(1)
按照数据来源:
基于主机:系统获取数据的依据是系统运行所在的主 机,保护的目标也是系统运行所在的主机;
基于网络:系统获取的数据是网络传输的数据包,保 护的是网络的运行;
可编辑ppt
2
安全措施和技术
加密:常规加密、公开密钥加密; 数据鉴别:消息摘要; 数字签名; 身份认证:口令、身份认证协议、生物特征; 网络安全协议: IPSec、SSL、PGP、S/MIME; 网络安全产品与技术:防火墙、VPN; 应用程序防护: 防病毒、防止缓冲区溢出等。
可编辑ppt
3
面对的入侵威胁
可编辑ppt
9
入侵检测的定义
对系统的运行状态进行监视,发现各种攻击企图、 攻击行为或者攻击结果,以保证系统资源的机密 性、完整性和可用性;
进行入侵检测的软件与硬件的组合便是入侵检测 系统;
IDS : Intrusion Detection System 。
可编辑ppt
10
入侵检测发展的历程1
据包以及其它可视行为,这些事件构成了入侵检测的基础。
行为特征表:整个检测系统的核心,包含用于计算用户行为特征的所有变
量,这些变量可根据具体采用的统计方法以及事件记录中的具体动作模式而 定义,并根据匹配上的记录数据更新变量值。
规则模块:由系统安全策略、入侵模式等组成,一方面为判断是否入侵提
供参考机制,另一方面可根据事件记录、 异常记录以及有效日期等控制并更 新其它模块的状态。行为特征模块执行基于行为的检测,而规则模块执行基 于知识的检测。
基于网络的IDS和基于主机的IDS 。
可编辑ppt
16
入侵检测发展的历程5
商业化IDS产品:
CyberCop Monitor, NAI NetProwler, Symantec NetRanger, Cisco NID-100/200, NFR Security RealSecure, ISS
开源IDS项目:
现在的各种入侵检测技术和体系都是在此基础上的扩展和细 化。
可编辑ppt
12
Denning的通用入侵检测模型
入侵检测的基础
审计记录、网络数据包等
特征表更新
事件产生器
行为特征模块
异常记录 变量阀值
规则更新 规则模块
入侵检测的核心
可编辑ppt
13
Denning的通用入侵检测模型
事件产生器:根据具体应用环境而有所不同,事件来自审计记录、网络数
可编辑ppt
15
入侵检测发展的历程4
▪ 1990,加州大学戴维斯分校的L. T. Heberlein等人开发出了
NSM(Network Security Monitor);
▪ 该系统第一次直接将网络流作为审计数据来源,因而可以
在不将审计数据转换成统一格式的情况下监控异种主机;
▪ 入侵检测系统发展史翻开了新的一页,两大阵营正式形成:
可编辑ppt
14
入侵检测发展的历程3
1988年, SRI公司CSL实验室的Teresa Lunt等人改进了 Denning的入侵检测模型,研究出了一个实时入侵检测系统 模型IDES(Intrusion Detection Expert System。
IDES是一个综合入侵检测系统,同时采用专家系统(误用 检测)和统计分析(异常检测)两种检测技术。
可编辑ppt
11
入侵检测发展的历程2
1Biblioteka Baidu87年: Dorthy Denning提出了一种通用的入侵检测模型;
Denning提出的模型是一个基于主机的入侵检测模型。首先对 主机事件按照一定的规则学习产生用户行为模型(Activity Profile),然后将当前的事件和模型进行比较,如果不匹配则 认为异常。
可编辑ppt
5
防止入侵的手段
身份认证 安全访问控制 入侵检测系统
可编辑ppt
6
入侵检测系统存在与发展的必然性
网络攻击的破坏性、损失的严重性
日益增长的网络安全威胁
单纯的防火墙无法防范复杂多变的攻击 关于防火墙
网络边界的设备,自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部
1980年4月,James P. Anderson 《Computer Security Threat Monitoring and
Surveillance》 (计算机安全威胁监控与监视)
第一次详细阐述了入侵检测的概念; 计算机系统威胁分类: 外部渗透、内部渗透和不法行为; 提出了利用审计跟踪数据监视入侵活动的思想;
入侵很容易
入侵教程随处可见 各种工具唾手可得
可编辑ppt
7
入侵检测技术——概念
入侵检测的起点——主机审计 入侵检测的定义 入侵检测发展的历程 IDS分类
可编辑ppt
8
主机审计
审计技术:产生、记录并检查按时间顺序排列的系统事件记 录的过程。
审计的目标: 确定和保持系统活动中每个人的责任; 重建事件; 评估损失; 监测系统的问题区; 提供有效的灾难恢复; 阻止系统的不正当使用。
人因攻击:社会工程、盗窃行为; 物理攻击:电磁脉冲炸弹等; 数据攻击:非法获取数据、篡改数据; 身份冒充:IP欺骗、会话重放、会话劫持; 非法使用:利用系统的漏洞(缓冲区溢出); 拒绝服务:EMAIL轰炸等。
可编辑ppt
4
入侵者
伪装者:未被授权的使用计算机的人(Outside); 违法者:访问没有经过授权的数据、程序和资源的合法 用户(Inside); 秘密用户:夺取系统超级控制并使用这种控制权逃避审 计 和 访 问 控 制 , 或 者 抑 制 审 计 记 录 的 人 ( Outside & Inside)。
入侵检测原理与技术
入侵检测的概念 入侵检测系统的组成与实例
可编辑ppt
1
回顾:安全相关概念
保密性(Confidentiality); 完整性(Integrity); 认证(Authenticity):实体身份的认证,适用于用户、 进程、系统、信息等; 不可否认性( Non-repudiation):防止发送方或接收方 的抵赖; 可用性(Availability)。
Snort :http://www.snort.org SHADOW:http://www.nswc.navy.mil/ISSEC/CID/
可编辑ppt
17
入侵检测的分类(1)
按照数据来源:
基于主机:系统获取数据的依据是系统运行所在的主 机,保护的目标也是系统运行所在的主机;
基于网络:系统获取的数据是网络传输的数据包,保 护的是网络的运行;
可编辑ppt
2
安全措施和技术
加密:常规加密、公开密钥加密; 数据鉴别:消息摘要; 数字签名; 身份认证:口令、身份认证协议、生物特征; 网络安全协议: IPSec、SSL、PGP、S/MIME; 网络安全产品与技术:防火墙、VPN; 应用程序防护: 防病毒、防止缓冲区溢出等。
可编辑ppt
3
面对的入侵威胁
可编辑ppt
9
入侵检测的定义
对系统的运行状态进行监视,发现各种攻击企图、 攻击行为或者攻击结果,以保证系统资源的机密 性、完整性和可用性;
进行入侵检测的软件与硬件的组合便是入侵检测 系统;
IDS : Intrusion Detection System 。
可编辑ppt
10
入侵检测发展的历程1
据包以及其它可视行为,这些事件构成了入侵检测的基础。
行为特征表:整个检测系统的核心,包含用于计算用户行为特征的所有变
量,这些变量可根据具体采用的统计方法以及事件记录中的具体动作模式而 定义,并根据匹配上的记录数据更新变量值。
规则模块:由系统安全策略、入侵模式等组成,一方面为判断是否入侵提
供参考机制,另一方面可根据事件记录、 异常记录以及有效日期等控制并更 新其它模块的状态。行为特征模块执行基于行为的检测,而规则模块执行基 于知识的检测。
基于网络的IDS和基于主机的IDS 。
可编辑ppt
16
入侵检测发展的历程5
商业化IDS产品:
CyberCop Monitor, NAI NetProwler, Symantec NetRanger, Cisco NID-100/200, NFR Security RealSecure, ISS
开源IDS项目:
现在的各种入侵检测技术和体系都是在此基础上的扩展和细 化。
可编辑ppt
12
Denning的通用入侵检测模型
入侵检测的基础
审计记录、网络数据包等
特征表更新
事件产生器
行为特征模块
异常记录 变量阀值
规则更新 规则模块
入侵检测的核心
可编辑ppt
13
Denning的通用入侵检测模型
事件产生器:根据具体应用环境而有所不同,事件来自审计记录、网络数
可编辑ppt
15
入侵检测发展的历程4
▪ 1990,加州大学戴维斯分校的L. T. Heberlein等人开发出了
NSM(Network Security Monitor);
▪ 该系统第一次直接将网络流作为审计数据来源,因而可以
在不将审计数据转换成统一格式的情况下监控异种主机;
▪ 入侵检测系统发展史翻开了新的一页,两大阵营正式形成:
可编辑ppt
14
入侵检测发展的历程3
1988年, SRI公司CSL实验室的Teresa Lunt等人改进了 Denning的入侵检测模型,研究出了一个实时入侵检测系统 模型IDES(Intrusion Detection Expert System。
IDES是一个综合入侵检测系统,同时采用专家系统(误用 检测)和统计分析(异常检测)两种检测技术。