信息安全入侵检测技术
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
入侵检测技术研究的主要创新有:
Forrest等将免疫学原理运用于分布式入侵检测领 域;
1998年Ross Anderson和Abida Khattak将信息 检索技术引进入侵检测;
以及采用状态转换分析、数据挖掘和遗传算法等 进行误用和异常检测。
路漫漫其悠远
2020/3/30
•返回本章首页
5.1.1 入侵检测原理
该系统用于检测单一主机的入侵尝试,提出了与系统平台无关的 实时检测思想
1995 年 开 发 的 NIDES ( Next-Generation Intrusion Detection Expert System)作为IDES完善后的版本可以检测出 多个主机上的入侵。
路漫漫其悠远
2020/3/30
•返回本章首页
与传统的加密和访问控制技术相比,IDS是全新的计算机安全 措施。
路漫漫其悠远
2020/3/30
•返回本章首页
•入侵检测发展历史
路漫漫其悠远
2020/3/30
•返回本章首页
•入侵检测发展历史
1988年Teresa Lunt等人进一步改进了Denning提出的入侵检 测模型,并创建了IDES(Intrusion Detection Expert System)
误用检测(Misuse Detection)指运用已知攻击方法,根据已
定义好的入侵模式,通过判断这些入侵模式是否出现来检测。
路漫漫其悠远
2020/3/30
•返回本章首页wenku.baidu.com
路漫漫其悠远
2020/3/30
•返回本章首页
路漫漫其悠远
2020/3/30
•图5-3 入侵检测系统结构
•返回本章首页
入侵检测的思想源于传统的系统审计,但拓宽了传统 审计的概念,它以近乎不间断的方式进行安全检测, 从而可形成一个连续的检测过程。
这通常是通过执行下列任务来实现的:
监视、分析用户及系统活动; 系统构造和弱点的审计; 识别分析知名攻击的行为特征并告警; 异常行为特征的统计分析; 评估重要系统和数据文件的完整性; 操作系统的审计跟踪管理,并识别用户违反安全策略的行
通常可以把入侵检测系统分为五类,即:
基于主机、 基于网络、 混合入侵检测、 基于网关 基于文件完整性检测
路漫漫其悠远
2020/3/30
•返回本章首页
2.基于检测理论的分类
从具体的检测理论上来说,入侵检测又可分为异常 检测和误用检测。
异常检测(Anomaly Detection)指根据使用者的行为或资源 使用状况的正常程度来判断是否入侵,而不依赖于具体行为是否 出现来检测。
入侵检测
入侵检测是用于检测任何损害或企图损害系统的保密性、 完整性或可用性的一种网络安全技术。
它通过监视受保护系统的状态和活动,采用误用检测 (Misuse Detection)或异常检测(Anomaly Detection) 的方式,发现非授权的或恶意的系统及网络行为,为防范 入侵行为提供有效的手段。
信息安全入侵检测技术
路漫漫其悠远
2020/3/30
•入侵检测发展历史
入侵检测技术研究最早可追溯到1980年James P.Aderson所 写的一份技术报告,他首先提出了入侵检测的概念。
1987 年 Dorothy Denning 提 出 了 入 侵 检 测 系 统 ( IDS , Intrusion Detection System)的抽象模型(如图5-1所示), 首次提出了入侵检测可作为一种计算机系统安全防御措施的概 念
另一个致力于解决当代绝大多数入侵检测系统伸缩性不足的方 法于1996年提出,这就是GrIDS(Graph-based Intrusion Detection System)的设计和实现,该系统可以方便地检测 大规模自动或协同方式的网络攻击。
路漫漫其悠远
2020/3/30
•返回本章首页
•入侵检测发展历史
为。
路漫漫其悠远
2020/3/30
•返回本章首页
5.1.3 系统分类
由于功能和体系结构的复杂性,入侵检测按照不同的 标准有多种分类方法。
可分别从数据源、检测理论、检测时效三个方面来描 述入侵检测系统的类型。
路漫漫其悠远
2020/3/30
•返回本章首页
5.1.3 系统分类
1.基于数据源的分类
•入侵检测发展历史
1990年,Heberlein等人提出了一个具有里程碑意义 的新型概念:基于网络的入侵检测——网络安全监视 器NSM(Network Security Monitor)。
1991 年 ,NADIR ( Network Anomaly Detection and Intrusion Reporter ) 与 DIDS ( Distribute Intrusion Detection System)提出了通过收集和 合并处理来自多个主机的审计信息可以检测出一系列 针对主机的协同攻击。
路漫漫其悠远
2020/3/30
•返回本章首页
路漫漫其悠远
2020/3/30
•图5-2 入侵检测原理框图 •返回本章首页
入侵检测系统
执行入侵检测任务的硬件或软件产品 入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一
种方法。 其应用前提是入侵行为和合法行为是可区分的,也即可以通
过提取行为的模式特征来判断该行为的性质。
路漫漫其悠远
2020/3/30
•返回本章首页
•入侵检测发展历史
1994年,Mark Crosbie和Gene Spafford建议使用自治代理 (autonomous agents)以提高IDS的可伸缩性、可维护性、 效率和容错性,该理念非常符合计算机科学其他领域(如软件 代理,software agent)正在进行的相关研究。
一般地,入侵检测系统需要解决两个问题:
如何充分并可靠地提取描述行为特征的数据;
如何根据特征数据,高效并准确地判定行为的性质。
路漫漫其悠远
2020/3/30
•返回本章首页
5.1.2 系统结构
由于网络环境和系统安全策略的差异,入侵检测系统 在具体实现上也有所不同。
从系统构成上看,入侵检测系统应包括事件提取、入 侵分析、入侵响应和远程管理四大部分,另外还可能 结合安全知识库、数据存储等功能模块,提供更为完 善的安全检测及数据分析功能(如图5-3所示)。
Forrest等将免疫学原理运用于分布式入侵检测领 域;
1998年Ross Anderson和Abida Khattak将信息 检索技术引进入侵检测;
以及采用状态转换分析、数据挖掘和遗传算法等 进行误用和异常检测。
路漫漫其悠远
2020/3/30
•返回本章首页
5.1.1 入侵检测原理
该系统用于检测单一主机的入侵尝试,提出了与系统平台无关的 实时检测思想
1995 年 开 发 的 NIDES ( Next-Generation Intrusion Detection Expert System)作为IDES完善后的版本可以检测出 多个主机上的入侵。
路漫漫其悠远
2020/3/30
•返回本章首页
与传统的加密和访问控制技术相比,IDS是全新的计算机安全 措施。
路漫漫其悠远
2020/3/30
•返回本章首页
•入侵检测发展历史
路漫漫其悠远
2020/3/30
•返回本章首页
•入侵检测发展历史
1988年Teresa Lunt等人进一步改进了Denning提出的入侵检 测模型,并创建了IDES(Intrusion Detection Expert System)
误用检测(Misuse Detection)指运用已知攻击方法,根据已
定义好的入侵模式,通过判断这些入侵模式是否出现来检测。
路漫漫其悠远
2020/3/30
•返回本章首页wenku.baidu.com
路漫漫其悠远
2020/3/30
•返回本章首页
路漫漫其悠远
2020/3/30
•图5-3 入侵检测系统结构
•返回本章首页
入侵检测的思想源于传统的系统审计,但拓宽了传统 审计的概念,它以近乎不间断的方式进行安全检测, 从而可形成一个连续的检测过程。
这通常是通过执行下列任务来实现的:
监视、分析用户及系统活动; 系统构造和弱点的审计; 识别分析知名攻击的行为特征并告警; 异常行为特征的统计分析; 评估重要系统和数据文件的完整性; 操作系统的审计跟踪管理,并识别用户违反安全策略的行
通常可以把入侵检测系统分为五类,即:
基于主机、 基于网络、 混合入侵检测、 基于网关 基于文件完整性检测
路漫漫其悠远
2020/3/30
•返回本章首页
2.基于检测理论的分类
从具体的检测理论上来说,入侵检测又可分为异常 检测和误用检测。
异常检测(Anomaly Detection)指根据使用者的行为或资源 使用状况的正常程度来判断是否入侵,而不依赖于具体行为是否 出现来检测。
入侵检测
入侵检测是用于检测任何损害或企图损害系统的保密性、 完整性或可用性的一种网络安全技术。
它通过监视受保护系统的状态和活动,采用误用检测 (Misuse Detection)或异常检测(Anomaly Detection) 的方式,发现非授权的或恶意的系统及网络行为,为防范 入侵行为提供有效的手段。
信息安全入侵检测技术
路漫漫其悠远
2020/3/30
•入侵检测发展历史
入侵检测技术研究最早可追溯到1980年James P.Aderson所 写的一份技术报告,他首先提出了入侵检测的概念。
1987 年 Dorothy Denning 提 出 了 入 侵 检 测 系 统 ( IDS , Intrusion Detection System)的抽象模型(如图5-1所示), 首次提出了入侵检测可作为一种计算机系统安全防御措施的概 念
另一个致力于解决当代绝大多数入侵检测系统伸缩性不足的方 法于1996年提出,这就是GrIDS(Graph-based Intrusion Detection System)的设计和实现,该系统可以方便地检测 大规模自动或协同方式的网络攻击。
路漫漫其悠远
2020/3/30
•返回本章首页
•入侵检测发展历史
为。
路漫漫其悠远
2020/3/30
•返回本章首页
5.1.3 系统分类
由于功能和体系结构的复杂性,入侵检测按照不同的 标准有多种分类方法。
可分别从数据源、检测理论、检测时效三个方面来描 述入侵检测系统的类型。
路漫漫其悠远
2020/3/30
•返回本章首页
5.1.3 系统分类
1.基于数据源的分类
•入侵检测发展历史
1990年,Heberlein等人提出了一个具有里程碑意义 的新型概念:基于网络的入侵检测——网络安全监视 器NSM(Network Security Monitor)。
1991 年 ,NADIR ( Network Anomaly Detection and Intrusion Reporter ) 与 DIDS ( Distribute Intrusion Detection System)提出了通过收集和 合并处理来自多个主机的审计信息可以检测出一系列 针对主机的协同攻击。
路漫漫其悠远
2020/3/30
•返回本章首页
路漫漫其悠远
2020/3/30
•图5-2 入侵检测原理框图 •返回本章首页
入侵检测系统
执行入侵检测任务的硬件或软件产品 入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一
种方法。 其应用前提是入侵行为和合法行为是可区分的,也即可以通
过提取行为的模式特征来判断该行为的性质。
路漫漫其悠远
2020/3/30
•返回本章首页
•入侵检测发展历史
1994年,Mark Crosbie和Gene Spafford建议使用自治代理 (autonomous agents)以提高IDS的可伸缩性、可维护性、 效率和容错性,该理念非常符合计算机科学其他领域(如软件 代理,software agent)正在进行的相关研究。
一般地,入侵检测系统需要解决两个问题:
如何充分并可靠地提取描述行为特征的数据;
如何根据特征数据,高效并准确地判定行为的性质。
路漫漫其悠远
2020/3/30
•返回本章首页
5.1.2 系统结构
由于网络环境和系统安全策略的差异,入侵检测系统 在具体实现上也有所不同。
从系统构成上看,入侵检测系统应包括事件提取、入 侵分析、入侵响应和远程管理四大部分,另外还可能 结合安全知识库、数据存储等功能模块,提供更为完 善的安全检测及数据分析功能(如图5-3所示)。