第9讲:第五章-基于主机的入侵检测技术讲解
《入侵检测技术理论》课件
经过一段时间的实施,企业的网络安全得到了显著提升,未再发生数据 泄露和业务中断的情况。入侵检测系统成功地检测并阻止了多次恶意攻 击,保障了企业的正常运营。
云服务提供商安全防护案例
案例保障客户数据的安全,需要加强自身的安全防护能力。
解决方案
不足
依赖于特征库的完备性,对未知攻击的检测能力有限。
03
CATALOGUE
入侵检测技术应用
企业网络安全防护
企业网络安全防护是入侵检测技术应用的重要领域之一。通过部署入侵检测系统,企业可以实时监测 网络流量和异常行为,及时发现并应对潜在的安全威胁,保护关键业务和数据资产。
企业入侵检测系统需要具备高性能、高可用性和可扩展性,以满足企业不断增长的网络规模和安全需 求。同时,企业需要制定完善的安全策略和应急响应计划,确保在发生安全事件时能够迅速应对。
THANKS
感谢观看
政府机构网络安全防护
政府机构网络安全防护是另一个重要 的入侵检测技术应用领域。政府机构 需要保护敏感信息、维持政府职能的 正常运转,因此需要部署高效的入侵 检测系统来监测和防范网络攻击。
VS
政府机构入侵检测系统需要具备高度 的可靠性和稳定性,以满足政府机构 对安全性的高要求。同时,政府机构 需要加强与其他安全机构的合作,共 同应对网络安全威胁。
《入侵检测技术理论》 PPT课件
CATALOGUE
目 录
• 入侵检测技术概述 • 入侵检测技术原理 • 入侵检测技术应用 • 入侵检测技术挑战与展望 • 案例分析
01
CATALOGUE
入侵检测技术概述
入侵检测技术的定义
入侵检测技术
是一种用于检测、发现、记录和报告网 络系统中未授权或异常行为的安全技术 。
《入侵检测技术 》课件
能够应对复杂多变的网络威胁。
详细描述
基于统计、数据挖掘、机器学习等技术的入侵检测方法, 能够从大量数据中提取有用的信息,并自动学习攻击手段 的变化,从而更有效地应对复杂的网络威胁。
总结词
对资源要求较高。
详细描述
由于这些方法需要处理大量的网络流量数据,因此对系统 资源的要求较高,需要高性能的硬件和软件支持。
《入侵检测技术》 PPT课件
• 入侵检测技术概述 • 入侵检测技术分类 • 入侵检测技术原理 • 入侵检测技术应用场景 • 入侵检测技术面临的挑战与解决
方案 • 未来入侵检测技术的发展趋势
目录
01
入侵检测技术概述
定义与目的
定义
入侵检测技术是一种用于检测、识别 和应对网络或系统上未经授权的访问 或异常行为的手段。
性能有一定影响。
混合型入侵检测技术
混合型入侵检测技术是指结合 基于主机和基于网络的入侵检 测技术的一种技术。
它通过综合分析主机系统和网 络流量数据,提高对攻击行为 的检测和识别的准确性。
混合型入侵检测技术可以提供 更全面的安全防护,但需要同 时考虑主机和网络的部署和管 理。
其他分类方法
基于时间的入侵检测技术
主机入侵检测技术可以提供更精确的攻击识别和更深入的攻击分析,但需要安装在 被保护的主机上,且对主机的性能有一定影响。
基于网络的入侵检测技术
网络入侵检测技术是指基于网络 流量数据来检测和识别恶意行为
的一种技术。
它通过分析网络流量数据,检测 和识别异常的网络行为,如未经 授权的访问、恶意代码传播等。
网络入侵检测技术可以提供实时 的攻击检测和预警,但需要部署 在网络的关键节点上,且对网络
通过检测和应对安全威胁,入侵检测 技术有助于提高网络和系统的安全性 ,保护组织的机密信息和资产。
网络入侵检测技术解析
网络入侵检测技术解析网络入侵检测技术是指利用专门的软件系统或硬件设备对网络系统进行监控和分析,及时发现并阻止恶意攻击者对网络进行攻击或入侵的技术手段。
网络入侵检测技术在当今信息化社会中扮演着至关重要的角色,可以有效保护网络系统的安全和稳定。
一、网络入侵检测技术的分类1.主机入侵检测系统(HIDS)主机入侵检测系统是安装在单个主机上,用于监控和分析这台主机上的操作系统和应用程序的行为。
通过比对现有的攻击特征和异常行为,及时发现主机上的异常活动和潜在入侵,并采取相应的防御措施。
2.网络入侵检测系统(NIDS)网络入侵检测系统是部署在网络中的一种安全设备,通过监控网络流量和数据包的传输情况,检测网络中是否存在异常行为和攻击向量。
NIDS可以对整个网络进行实时监控,及时发现并阻止潜在的攻击行为。
3.基于行为的入侵检测技术(ABIDS)基于行为的入侵检测技术是一种新兴的入侵检测技术,主要通过对网络用户和设备的行为模式进行建模和监控,检测用户的异常行为和潜在的入侵威胁。
ABIDS可以有效识别零日漏洞和未知攻击,并提供更加全面的安全保护。
二、网络入侵检测技术的工作原理1.特征匹配网络入侵检测系统通过收集已知的攻击特征和恶意行为,建立特征库并与实际网络流量进行匹配比对,及时发现恶意流量和攻击行为。
特征匹配是网络入侵检测系统的基本工作原理,可以快速、准确地检测网络中的异常情况。
2.行为分析网络入侵检测系统通过监控网络用户和设备的行为模式,分析其正常的工作状态和动态变化情况,及时发现异常行为和可能的攻击行为。
行为分析技术可以提高网络入侵检测系统对未知攻击的识别能力,并提供更加全面的安全防护。
3.数据挖掘网络入侵检测系统通过对大量的网络数据进行挖掘和分析,发现隐藏在数据背后的规律和趋势,识别潜在的威胁和攻击行为。
数据挖掘技术可以帮助网络入侵检测系统更好地应对复杂的网络环境和威胁形势。
三、网络入侵检测技术的应用场景1.企业网络安全网络入侵检测技术可以帮助企业建立完善的网络安全系统,及时发现并阻止网络攻击和入侵行为,保护企业的核心数据和信息资产安全。
《入侵检测系统》课件
如何维护和管理入侵检测系统
定期更新系统:确保系统始终处于最新状态,以应对不断变化的威胁 监控系统运行状态:实时监控系统运行状态,及时发现并解决异常情况 定期备份数据:定期备份系统数据,以防数据丢失或损坏 培训员工:对员工进行系统使用和维护的培训,提高员工的安全意识和操作技能
THANKS
汇报人:
基于网络的入侵检测系统
基于主机的入侵检测系统
基于代理的入侵检测系统
基于蜜罐的入侵检测系统
入侵检测系统的重要性
保护网络安全: 及时发现并阻 止网络攻击, 保护网络和数
据安全
提高系统稳定 性:及时发现 并修复系统漏 洞,提高系统 稳定性和可靠
性
降低损失:及 时发现并阻止 网络攻击,降 低经济损失和
声誉损失
如何评估入侵检测系统的性能
检测率:评估系统对入侵行为的检测能 力
误报率:评估系统对正常行为的误报情 况
响应时间:评估系统对入侵行为的响应 速度
兼容性:评估系统与其他安全设备的兼 容性
易用性:评估系统的操作简便性和用户 友好性
成本:评估系统的购买和维护成本
如何部署和配置入侵检测系统
选择合适的入侵 检测系统:根据 企业需求、网络 环境、安全策略 等因素选择合适 的入侵检测系统。
法规政策:政 府对网络安全 的重视将推动 入侵检测系统 的发展和应用
Part Six
如何选择合适的入 侵检测系统
选择入侵检测速度和准确性
功能:系统的检测范围和功能是否满 足需求
兼容性:系统与其他安全设备的兼容 性
价格:系统的价格是否在预算范围内 易用性:系统的操作是否简单易用 售后服务:系统的售后服务是否完善
实时监控:能够实时监控网络流量,及时发现异常行为 智能分析:利用机器学习和人工智能技术,提高检测精度 自动响应:能够自动响应入侵行为,如阻断攻击、报警等 降低风险:减少网络攻击带来的损失,提高网络安全性
第五章 入侵检测流程
分析器的构建方法依赖于入侵检测的分析方法。 分析方法的讲解见后面。
5.3
分析数据
分析器对输入的事件进行分析,识别出入侵行 为。
5.3
反馈和更新
反馈和更新是IDS非常重要的一个过程。 对于误用检测,反馈和更新体现在攻击行为模
式库的更新,能及时地将新攻击的特征反映在 行为模式库中。 对于异常检测,反馈和更新体现在正常行为特 征轮廓库的更新。
功的次数、企图访问文件的次数、某一特定服 务的网络连接数等,均以数值来表示; 采用这种方法给出阈值。
5.3
统计度量
体现在用户特征轮廓的更新上。 使得特征轮廓适合反映用户行为在时间上的变
化。
5.3
非参数统计度量
早期的统计分析均采用参数方法,即假定审计 数据服从一些固定的分布。
缺点:如果假定不正确,IDS的性能大受影响; 非参数统计度量:据用户行为特征,将用户活
自动终止攻击; 终止用户连接; 禁止用户帐号; 重新配置防火墙阻塞攻击的源地址; 向管理控制台发出警告指出事件的发生; 向网络管理平台发出SNMP trap; 记录事件的日志,包括日期、时间、源地址、目的
地址、描述与事件相关的原始数据; 向安全管理人员发出提示性的电子邮件; 执行一个用户自定义的程序。
日志文件中记录了各种行为类型,每种 类型又包含不同的信息,例如记录“用 户活动”类型的日志,就包含登录、用 户ID改变、用户对文件的访问、授权和 认证信息等内容。
5.1
系统目录和文件的异常变化
网络环境中的重要信息文件和私有数据文 件是黑客经常修改或破坏的目标。
目录和文件中的不期望的改变(包括修改、 创建和删除),可能是入侵产生的指示和 信号。
入侵检测技术-课后答案
入侵检测技术-课后答案第1章入侵检测概述思考题:(1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的?答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。
DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。
DIDS解决了这样几个问题。
在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。
DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。
DIDS是第一个具有这个能力的入侵检测系统。
DIDS解决的另一个问题是如何从发生在–– 1系–– 2–– 1–– 1到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理措施。
入侵检测系统一般不是采取预防的措施以防止入侵事件的发生,入侵检测作为安全技术其主要目的有:(1)识别入侵者;(2)识别入侵行为:(3)检测和监视已成功的安全突破;(4)为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。
从这个角度看待安全问题,入侵检测非常必要,它可以有效弥补传统安全保护措施的不足。
第2章入侵方法与手段选择题:(1) B.(2) B思考题:(1)一般来说,黑客攻击的原理是什–– 1么?答:黑客之所以能够渗透主机系统和对网络实施攻击,从内因来讲,主要因为主机系统和网络协议存在着漏洞,而从外因来讲原因有很多,例如人类与生俱来的好奇心等等,而最主要的是个人、企业甚至国家的利益在网络和互联网中的体现。
利益的驱动使得互联网中的黑客数量激增。
(2)拒绝服务攻击是如何实施的?答:最基本的DoS攻击是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。
这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者向内的连接。
这种攻击会导致资源的匮乏,无论计算机的处理速度多么快,内存容量多么大,互连网的速度多么快都无法避免这种攻击带来的后果。
《入侵检测技术讲解》课件
基于签名
使用事先定义的攻击特征来识 别入侵活动。
常见的入侵检测技术
网络入侵检测系统(NIDS) 主机入侵检测系统(HIDS) 行为入侵检测系统(BIDS) 异常入侵检测系统(AIDS) 混合入侵检测系统(HIDS/NIDS)
应用场景
1
企业安全
保护企业网络和敏感数据,预防潜在的
政府机构
2
入侵行为。
维护国家安全,预警和阻止恶意入侵。
3
云计算
检测和防范云环境中的入侵行为。
挑战和未来发展
复杂性增加
随着网络的复杂性和攻击手段的 进化,入侵检测变得更加困难。
机器学习与AI
新威胁的出现
机器学习和人工智能的发展,有 望提高入侵检测的准确性和效率。
新的威胁和攻击手段的不断出现, 需要不断更新入侵检测技术。
入侵检测系统通过分析网 络流量,识别出潜在的入 侵行为和攻击特征。
2 行为分析
该方法通过对用户行为进 行建模和分析,检测可能 存在的异常行为。
3 特征匹配
入侵检测系络入侵检测
监控网络中的入侵行为和攻击。
主机入侵检测
监视和检测主机上的入侵行为。
总结和展望
入侵检测技术在保护网络安全方面发挥了重要作用。随着技术的不断发展, 我们可以期待更高效、智能的入侵检测系统的出现。
《入侵检测技术讲解》 PPT课件
欢迎来到《入侵检测技术讲解》,本课程将深入讲解入侵检测技术的定义、 原理、分类、应用场景以及挑战和未来发展。让我们开始探索这个引人入胜 的领域吧!
定义和背景
入侵检测技术是一种保护计算机网络安全的重要手段,它的作用是监视和检测网络中的异常活动和安全漏洞。
基本原理
1 流量分析
网络安全中的入侵检测和防护技术
网络安全中的入侵检测和防护技术1. 概述网络安全是当前互联网时代面临的重要问题之一,入侵检测和防护技术作为网络安全领域的重要组成部分,旨在发现和阻止未经授权的访问、未经授权的活动和未经授权的使用。
本文将从入侵检测和防护技术的基本概念、分类以及如何实施入侵检测和防护等方面展开论述。
2. 入侵检测技术入侵检测技术是一种通过监视系统或网络以及相关的事件,来检测潜在的入侵行为的监测和分析技术。
依据监测手段的不同,入侵检测技术可以分为基于主机的入侵检测(HIDS)和基于网络的入侵检测(NIDS)。
2.1 基于主机的入侵检测基于主机的入侵检测技术是通过对主机系统的日志、文件和流量等进行监测和分析,来检测系统是否遭受到入侵行为的检测方法。
它通过监测主机的行为和操作,检测和识别异常行为或入侵行为。
常见的基于主机的入侵检测工具包括Tripwire、OSSEC等。
2.2 基于网络的入侵检测基于网络的入侵检测技术是通过监测网络流量和活动,来检测系统是否遭受到入侵行为的检测方法。
它通过监测网络通信流量和特征,检测和识别异常行为或入侵行为。
常见的基于网络的入侵检测工具包括Snort、Suricata等。
3. 入侵防护技术入侵防护技术是为了保护系统和网络不受到入侵行为的损害,采取的一系列安全措施和方法的总称。
根据防护手段的不同,入侵防护技术可以分为主动防护和被动防护。
3.1 主动防护主动防护是指采取主动措施阻止或减轻入侵行为对系统和网络的损害。
常见的主动防护技术包括网络防火墙、入侵防护系统(IPS)、安全协议等。
网络防火墙通过设置安全策略和过滤规则,对进出网络的数据进行监控和控制,以防止入侵行为的发生。
入侵防护系统通过监测流量和行为,检测和拦截入侵行为。
安全协议为通信过程中数据的传输提供了加密和验证机制,提高了数据的安全性。
3.2 被动防护被动防护是指在系统和网络遭受入侵行为时,采取被动手段对入侵行为进行响应和处理。
常见的被动防护技术包括入侵响应系统(IRS)、网络流量分析等。
(网络安全实践技术)第5章入侵检测技术
05
CATALOGUE
案例分析与实践
典型入侵检测案例分析
案例1
某大型企业遭受DDoS攻击,导 致网络瘫痪。通过部署入侵检测 系统,成功识别并拦截攻击流量
,保障了网络正常运行。
案例2
某政府机构遭受高级持久性威胁 (APT)攻击,攻击者长期潜伏 并窃取敏感信息。通过入侵检测 技术,及时发现并处置了威胁,
。
A
B
C
D
经验4
建立安全事件应急响应机制,一旦发现可 疑行为或攻击事件,能够迅速处置并恢复 系统正常运行。
经验3
加强与其他安全组件的协同工作,如防火 墙、安全事件管理等,形成完整的网络安 全防护体系。
THANKS
感谢观看
无特征的入侵检测技术
01
总结词
无特征的入侵检测技术不依赖于攻击模式或正常行为模式,通过分析网
络流量、系统日志等信息中的无特征模式来检测入侵行为。
02 03详ຫໍສະໝຸດ 描述该技术通过分析网络流量、系统日志等信息中的统计特征、时间序列特 征等无特征信息,发现异常行为。由于不依赖于已知的攻击模式或正常 行为模式,该技术能够检测到未知的攻击方式。
总结词
混合入侵检测技术能够提高检测效率和准确性, 减少误报和漏报。
详细描述
该技术同时建立正常行为的模式和已知的攻击模 式,通过综合分析网络流量、系统日志等信息, 既能够检测到与正常模式偏离的行为,也能够检 测到与已知攻击模式匹配的行为。
详细描述
通过结合两种技术,混合入侵检测技术能够更全 面地覆盖各种入侵行为,提高整体检测效果。
混合式部署
结合集中式和分散式部署,以提高入侵检测的覆 盖范围和准确性。
入侵检测系统的实现步骤
网络安全技术之入侵检测
河南理工大学计算机网络安全课程论文题目入侵检测技术学生姓名学号院系专业班级联系电话年月日论现代信息技术在网络信息安全里的应用之入侵检测技术摘要:本文主要讲解的是在网络信息安全里的应用——入侵检测技术。
通过介绍入侵检测的概念、系统结构、系统的分类以及入侵检测的方法等几个方面系统的透彻的介绍入侵检测技术。
关键词:网络信息安全入侵检测系统分类检测方法1入侵检测系统概述1.1基本概念入侵是指任何对系统资源的非授权使用行为,它对资源的完整性、保密性和可用性造成破坏,可使用户在计算机系统和网络系统中失去信任,使系统拒绝对合法用户服务等。
入侵者可以是一个手工发出命令的人,也可是一个基于入侵脚本或程序的自动发布命令的计算机。
Anderson把入侵者分为两类:外部入侵者(一般指来自系统外部的非法用户)和内部入侵者(是指那些拥有一定的访问系统资源权限,但是企图获取更多的权利执行非授权操作的内部用户)。
入侵检测就是要识别计算机系统或网络上企图或正在进行的入侵活动。
而入侵检测系统就是完成入侵检测任务的系统。
它是一种增强系统安全的有效方法。
入侵检测对系统中用户或系统行为的可疑程度进行评估,并据此来鉴别系统中的当前行为是否正常,从而帮助系统管理员进行安全管理,并对系统所受到的攻击采取相应的对策。
评判一个入侵检测系统的好坏,主要用两个参数:虚警率和漏警率。
虚警率是指将不是入侵的行为错检测为入侵行为的比率;而漏警率则是指将本来是入侵的行为判别为正常行为的比率。
1.2入侵检测的系统结构应用于不同的网络环境和不同的系统安全策略,入侵检测系统在具体实现上也有所不同。
从系统构成上看,入侵检测系统至少包括数据提取、入侵分析、响应处理三个部分,另外还可以结合安全知识库、数据存储等功能模块,提供更为完善的安全检测及数据分析功能。
一般的入侵检测系统结构如图所示。
其中数据提取模块在入侵检测系统中居于基础地位,负责提取反映受保护系统运行状态的运行数据,并完成数据的过滤及其它预处理工作,为入侵分析模块和数据存储模块提供原始的安全审计数据,是入侵检测系统的数据采集器。
第五章入侵检测
第37页,共79页。
概率统计异常检测方法
是异常检测技术中应用最早也是最多的一种方法
根据异常检测器观察主体的活动,然后产生刻划这 些活动的行为轮廓(用户特征表)
每一个轮廓保存记录主体当前行为,并定时将当前轮 廓与历史轮廓合并形成统计轮廓(更新),通过比较 当前轮廓与统计轮廓来判定异常行为
第28页,共79页。
两类IDS监测软件
第29页,共79页。
入侵检测的分类
按照体系结构
集中式:有多个分布于不同主机上的审计程序, 但只有一个中央入侵检测服务器。审计程序把 当地收集到的数据踪迹发送给中央服务器进行 分析处理。(可伸缩性、可配置性差)
分布式:将中央检测服务器的任务分配给多个 HIDS,它们不分等级,负责监控当地主机的可 疑活动。(可伸缩性、安全性高;但维护成本 高,监控主机的工作负荷重)
系统能针对用户行为的改变进行自我调整和 优化,但随着检测模型的逐步精确,异常检 测会消耗更多的系统资源
第19页,共79页。
误用检测
前提:所有的入侵行为都有可被检测到的特征
攻击特征库: 当监测的用户或系统行为与库中的记录相匹配时, 系统就认为这种行为是入侵
指标:误报低、漏报高
第20页,共79页。
入侵很容易:入侵教程随处可见;各种工具 唾手可得
第4页,共79页。
入侵检测系统(IDS)
入侵检测(Intrusion Detection)的定义: 通过从计算机网络或计算机系统中的若干关 键点收集信息并对其进行分析,从中发现网 络或系统中是否有违反安全策略的行为和遭 到袭击的迹象的一种安全技术。
第31页,共79页。
网络攻防技术中的入侵检测教程
网络攻防技术中的入侵检测教程网络攻击日益猖獗,企业和组织需要采取措施来保护其网络安全。
入侵检测系统(Intrusion Detection System,IDS)是一种用于监测网络中潜在攻击的技术。
本文将介绍网络攻防技术中的入侵检测教程,让您了解如何开始构建和实施一个有效的入侵检测系统。
一、入侵检测系统的基本概念入侵检测系统是一种安全设备或应用程序,用于检测和报告网络中的潜在攻击活动。
它可以分为两种类型:主机入侵检测系统(Host-based IDS,HIDS)和网络入侵检测系统(Network-based IDS,NIDS)。
前者监测主机内部的活动,而后者监测网络中的流量。
工作原理上,入侵检测系统可以采用一个或多个检测方法。
其中,基于特征的检测(Signature-based detection)通过比对已知攻击的特征来检测新的攻击。
基于异常的检测(Anomaly-based detection)则通过学习和分析网络活动的正常行为模式,并警报异常活动。
二、构建入侵检测系统的关键步骤1. 需求分析:确定您的安全需求和目标。
了解您的网络拓扑,关键设备、应用程序和系统的特点和风险,以便选择合适的入侵检测系统。
2. 选择合适的入侵检测系统:根据您的需求,选择一种或多种入侵检测系统,如Snort、Suricata、OSSEC等。
考虑到您的网络规模和预算,选择适合您的系统。
3. 部署入侵检测系统:根据您的网络拓扑,部署入侵检测系统。
将主机入侵检测系统安装在关键主机上,将网络入侵检测系统放置在关键网络节点上。
4. 配置入侵检测系统:对于每个入侵检测系统,配置其规则和策略。
对于基于特征的检测,及时更新攻击特征库;对于基于异常的检测,设置正常行为模式。
5. 监测入侵检测系统:监测入侵检测系统的日志和警报信息。
定期审查和分析这些信息,以识别潜在的攻击活动。
6. 优化入侵检测系统:根据监测结果,调整入侵检测系统的设置和策略。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(4)系统开销小、智能体的编程可以很灵活。 (5)自主智能体采集数据的方法很灵活.
14
5.7 基于智能体的入侵检测技术
5.7.3 基于智能体的入侵检测系统的典型结构
15
5.8 系统配置分析技术
系统配置分析(又可称为静态分析)的技术目 标是检查系统是否已经受到入侵活动的侵害, 或者存在有可能被入侵的危险。静态分析技术 通过检查系统的当前配置情况,例如,系统文 件的内容以及相关的数据表等,来判断系统的 当前安全状况。之所以称为“静态”分析,是 因为该技术只检查系统的静态特性,并不分析 系统的活动情况。
以及在inetd.conf文件中隐藏的启动脚本程序 等。
19
5.8 系统配置分析技术
系统配置分析技术的一个最著名的实现工具是 COPS系统。 COPS系统所检查的系统安全范围 包括如下类型:
⑽ 各种类型的根权限检查。 ⑾按照CERT安全报告的发布日期,检查关键文
件是否已经及时进行了升级或打上了补丁。
检测
创建一个预设定流量的性能警报信息 为网络适配器建立一个任务栏图标 输入命令netstat –p tcp -n
21
5.9 检测实例分析
5.9.2 入侵行为2及应对措施
入侵行为
试探帐号以图登录 运行Whisker
检测
设置和检查web service-connection attempts/sec
入侵行为
黑客通过nc的远程命令行对你的内部网络计算机 进行了扫描,发现了某文件服务器上的一个共享 目录PUBLIC, 并将此共享目录进行映射.
检测
在命令行中输入命令:net view, 可以观察到对 内部文件服务器的驱动器映射情况.
24
5.9 检测实例分析
5.9.5 小结
理论上只要坚持跟踪以下信息, 几乎所有基于 网络的攻击都能被检测出来.
入侵检测技术分析
第9讲
北京信息科技大学
刘凯
liukai@
0
入侵检测技术分析
第五章 基于主机的入侵检测技术
1
课程安排
入侵检测概述
5学时
入侵检测技术分类
3学时
基于主机的入侵检测技术
2学时
基于网络的入侵检测技术
3学时
混合型的入侵检测技术
2学时
先进的入侵检测技术
3学时
分布式入侵检测架构
3学时
设计考虑及响应问题
2学时
入侵检测系统的评估与测试
3学时
Snort分析
4学时
入侵检测技术的发展趋势
2学时
2
教材及参考书
《入侵检测技术》唐正军等 清华大学出版社 《入侵检测技术》曹元大 人民邮电出版社 《入侵检测》罗守山 北京邮电大学出版社
(2) event view。这是一个单独的Unix、 linux平台下的图形化用户界面,用于查看从 Agent中获取的各种事件数据,也就是报警的窗 口。
28
5.10 免费产品OSSEC
5.10.2 工作原理
16
5.8 系统配置分析技术
配置分析技术的基本原理是基于如下两个观 点:
(1)一次成功的入侵活动可能会在系统中留 下痕迹,这可以通过检查系统当前的状态来发 现。
(2)系统管理员和用户经常会错误地配置系 统,从而给攻击者以入侵的可乘之机。
17
5.8 系统配置分析技术
系统配置分析技术的一个最著名的实现工具是 COPS系统。 COPS系统所检查的系统安全范围 包括如下类型:
从技术的角度看,智能体是由各种技术支撑 着的、许多实用的应用特性的集合,开发者正 是使用这些应用特性来扩展应用的功能和价值, 从而达到应用能自动执行用户委托的任务的目 的。
12
5.7 基于智能体的入侵检测技术
5.7.2 智能体的定义和特点
(1)智能性 (2)代理性 (3)移动性 (4)主动性 (5)协作性
网络上的拥挤程度和网络连接情况 Web拥挤程度和”pages not found”错误的发生
次数 成功及失败的登录尝试 对文件系统所进行的改变 当前运行的应用程序和服务 定时运行的应用程序或在启动时运行的应用程
序
25
5.10 免费产品OSSEC
5.10.1 简介
OSSEC属于基于主机和应用的入侵检测系统,通 过监视企业重要服务器和各种应用以避免企业 资源被攻击、滥用和误用。
11
5.7 基于智能体的入侵检测技术
5.7.1 智能体的定义和特点
智能体又称智能代理,是人工智能研究的新成 果,它是在用户没有明确具体要求的情况下, 根据用户需要,能自动执行用户委托的任务的 计算实体。像邮件过滤智能体、信息获取智能 体、桌面自动智能体等,将使Web站点、应用程 序更加智能化和实用化。
(1)易用性:对任意长度的m,计算h=H(m)很容 易。
(2)单向性:给定h,计算m,使得m=F(h)很困难。 (3)无碰撞性:给定m,要找到另一个消息m’,满足
H(m’)=H(m)很困难,这就保证了对原文有改动, 但很难使文件内容的散列值保持不变。
8
5.6 基于完整性检查的入侵检测技术
COPS系统负责报告所发现的安全问题,但是并 不试图修复安全漏洞,这点与基本的入侵检测 系统的设计理念相符合。
20
5.9 检测实例分析
5.9.1 入侵行为1及应对措施
入侵行为
通过发现信息的一系列操作, 黑客执行端口扫描, 注意到许多机器的135, 139,389和445端口都是 开放的.
因其强大的日志分析引擎,ISP(Internet service provider)(网络服务提供商)、大学和 数据中心用其监控和分析他们的防火墙、入侵 检测系统、网页服务和验证等产生的日志。
27
5.10 免费产品OSSEC
5.10.2 工作原理
(1) administrator 是一个Unix和linux平台 下的命令行的用户接口(GUI),主要起管理维护 作用,对OSSEC的大部分管理、配置工作都在这 里进行。
⑴ 检查文件、目录和设备的访问权限模式。 ⑵ 脆弱的口令设置。 ⑶ 检查口令文件和组用户文件的安全性、格
式和内容。 ⑷检查在/etc/rc*目录和cron中指定运行的文
件和程序。 ⑸ 具有root SUID属性的文件,检查它们是否
可写,以及是否脚本程序。
18
5.8 系统配置分析技术
设置和检查web service-not found errors/sec
设置和检查Server-Logon/sec 设置检查Server-errorLogon
22
5.9 检测实例分析
5.9.3 入侵行为3及应对措施
入侵行为
若黑客发现网络中一台计算机的系统管理员口 令为空,表明该系统刚刚安装不久. 黑客要做的 第一件事是上传木马程序和运行状况检测程序. 如nc.exe, lsadump2.exe, tlist.exe等
Tripwire的组成 :Tripwire主要由策略和数据库 组成。策略不仅指出Tripwire应检测的对象即 文件和目录,而且还规定了用于鉴定违规行为 的规则。数据库则用来存放策略中规定的检测 对象的快照。除了策略和数据库外,Tripwire 还有一个配置文件,用以控制数据库、策略文 件和Tripwire可执行程序的位置等。 为了防止被篡改,Tripwire对其自身的一些 重要文件进行了加密和签名处理。这里涉及到 两个密钥:site密钥和local密钥。
6
5.6 基于完整性检查的入侵检测技术
5.6.1 文件完整性校验
文件备份主机B上存储了主机A上的文件系 统的备份。主机B上的文件完整性数据库存储的 是需要被检测的文件的各种inode属性值和文件 内容的散列值。检测时主机A首先与文件备份主 机B认证,然后对A上的配置文件和预先生成的 文件完整性数据库的内容分别进行散列计算, 将生成的散列值传输给B进行校验。如果该散列 值与B上存储的值不一致,则B将存储的配置文 件和文件完整性数据库的备份加密传输给A,进 行文件恢复,然后再进行完整性校验。
3
第五章 基于主机的入侵检测技术
审计数据的获取 审计数据的预处理 基于统计模型的入侵检测技术 基于专家系统的入侵检测技术 基于状态转移分析的入侵检测技术 基于完整性检查的入侵检测技术 基于智能体的入侵检测技术 系统配置分析技术 检测实例分析
4
上一章回顾
审计数据的获取和预处理 基于统计模型的入侵检测技术 基于专家系统的入侵检测模型 基于状态转移分析的入侵检测技术Βιβλιοθήκη 修改,它的作用不容忽视.9
5.6 基于完整性检查的入侵检测技术
5.6.4 基于文件完整性检验的检测技术的工具
G.Kim设计开发了TripWire的系统原型,并发展 成为文件完整性检查领域内最著名的工具软件.
10
5.6 基于完整性检查的入侵检测技术
5.6.4 基于文件完整性检验的检测技术的工具
5.6.3 基于文件完整性检验的检测技术的检测能 力
只有对文件进行非法修改后,该方法才能发挥 作用.
通常无法用当前日志文件内容的散列值来判定 是否被非法更改.
对于利用网络协议的脆弱性对网络服务质量的 攻击,该方法无能为力.
该技术不具备对入侵检测行为的实时性 由于大部分入侵系统都会对文件系统进行非法
检测
打开任务管理器,会注意到cmd.exe和nc.exe 使用explorer的查找功能,找到最新的生成文件 查看事件日志可以显示攻击者的计算机名称 输入命令netstat –a –n 可以找到与本地端口