入侵检测方法
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
入侵检测系统:指的是任何有能力检测系统或网络状态改变 的系统或系统的集合,它能发送警报或采取预先设置好的行 动来帮助保护网络。
-
6.1.1 异常入侵检测技术
异常检测(Anomaly Detection)技术是运行在系统层或 应用层的监控程序通过将当前主体的活动情况和用户轮廓 进行比较来监控用户的行为。 错报(False Positive):系统错误地将异常活动定义为入 侵。 漏报(False Negative):系统未能检测出真正的入侵行为 。
-
6.2.3 基于分布式系统的结构 在大范围网络中部署有效的IDS推动了分布式入侵检
测系统的诞生和不断发展。分布式入侵检测系统一般具有 如图所示的体系结构。 分布式系统的几种类型: 集中式协同检测 层次化协同检测 完全分布式协同检测
-
6.2.4 入侵检测系统需求特性
入侵检测的部署与实现是和用户的需求密切相关的入 侵检测系统应该具有以下特点:
入侵检测框架包括通用入侵检测框架CIDF和入侵 检测交换格式IDDEF。 1.通用入侵检测框架CIDF
CIDF的主要工作在于集成各种IDS使之协同工作 ,实现各IDS之间的组件重用,所以CIDF也是构建分 布式IDS的基础。
-
6.2.5 入侵检测框架简介
CIDF的体系结构
-
6.2.5 入侵检测框架简介
有哪些接口需要配置管理服务;是否启用Telnet 进行设备管理;是否启用SSH进行设备管理;是否启用 HTTP进行设备管理;是否启用HTTPS进行设备管理;是 否需要和其他设备(例如防火墙)进行联动
-
6.3.2 选择监视内容
1.选择监视的网络区域 在小型网络结构中,如果内部网络是可以信任的
-
6.1.1 异常入侵检测技术
异常检测只能识别出那些与正常过程有较大偏差的行 为,而无法知道具体的人侵情况。由于对各种网络环境的 适应性不强,且缺乏精确的判定准则,难以配置,异常检 测经常会出现错报和漏报情况。
-
6.1.2 误用入侵检测技术
误用检测(Misuse Detection)的前提是首先提取已知入侵 行为的特征,建立入侵特征库,然后将当前用户或系统行 为与入侵特征库中的记录进行匹配,如果相匹配就认为当 前用户或系统行为是入侵,否则人侵检测系统认为是正常 行为。
-
6.3.1 定义IDS的目标 2.安全策略需求。
是否限制Telnet,SSH,HTTP,HTTPS等服务管理访问 ;Telnet登录是否需要登录密码;安全的Shell(SSH)的 认证机制是否需要加强;是否允许从非管理口(如以太网 口,而不是Console端口)进行设备管理。
-
6.3.1 定义IDS的目标 3.IDS的管理需求。
入侵检测框架包括通用入侵检测框架CIDF和入侵 检测交换格式IDDEF。 2.入侵检测交换格式IDEF
入侵检测工作组IDWG定义和设计了入侵Байду номын сангаас测的数 据模型,用于描述在不同组件之间所交换的各种警报 信息、控制命令和配置信息等通信数据。
-
6.3 入侵检测系统的部署
6.3.1 定义IDS的目标 不同的组网应用可能使用不同的规则配置,所以
用户在配置人侵检测系统前应先明确自己的目标,建 议从如下几个方面进行考虑 。
1.明确网络拓扑需求 2.安全策略需求 3.1DS的管理需求
-
6.3.1 定义IDS的目标
1.明确网络拓扑需求。 分析网络拓扑结构,需要监控什么样的网络,是交换
式的网络还是共享式网络;是否需要同时监控多个网络, 多个子网是交换机连接还是通过路由器/网关连接;选择网 络入口点,需要监控网络中的哪些数据流,IP流还是 TCP/UDP流,还是应用层的各种数据包;分析关键网络组件 、网络大小和复杂度。
入侵检测 主讲教师:曹秀莲 计算机网络教研室
-
主要内容:
• 入侵检测的定义 • 入侵检测的分类 • 入侵检测系统的设计原理
-
6.1 入侵检测方法
入侵:包括发起攻击的人取得超出范围的系统控制权、收集 漏洞信息,造成拒绝访问或对计算机危害的行为。
入侵检测:是对入侵行为的发觉。它通过对计算机网络或系 统中的若干关键点收集信息并对其进行分析,从中发现网络 或系统中是否有违反安全策略的行为和被攻击的迹象。
-
6.2.1 其于主机系统结构 基于主机的入侵检测系统(HIDS)通常从主机的审计记
录和日志文件中获得所需要的主要数据,并辅助以主机上 的其他信息。
-
6.2.2 基于网络系统的结构
基于网络的入侵 检测系统(NIDS), 如图所示,它在共享 式网络上对通信数据 进行侦听并采集数据 ,分析可疑现象。与 主机系统相比,这类 系统对入侵者而言是 透明的。
1.可靠性。 检测系统必须可以在无人监控的情况下持续运 行。 2.容错性。 入侵检测系统必须是可容错的,即使系统崩溃 ,检测系统本身必须能保留下来,而且不必在 重启系统时重建知识库。
-
6.2.4 入侵检测系统需求特性 入侵检测的部署与实现是和用户的需求密切相关的入
侵检测系统应该具有以下特点:
3.可用性。 入侵检测系统所占用的系统资源要最小,这样 不会严重降低系统性能。 4.可检验性。 入侵检测系统必须能观察到非正常行为。 5.对观察的系统来说必须是易于开发的。
-
6.1.2 误用入侵检测技术
通过误用入侵检测技术可以看出,其缺点是漏报率会增加 ,因为当新的入侵行为出现或入侵特征发生细微变化,误 用检测技术将无法检测出入侵行为。
-
6.2 入侵检测系统的设计原理
入侵检测系统(IDS)可以用来保护不同的对象,有 的IDS仅用来保护某台主机的安全;有的IDS用来检测内 部用户对内部网络的攻击行为;有的IDS用来检测外部网 络用户对内部网络的攻击;还有的采用分布式入侵检测 系统结构,即在多个点部署IDS,进而在不同的层次、不 同的区域使用入侵检测技术。
-
6.2.4 入侵检测系统需求特性
入侵检测的部署与实现是和用户的需求密切相关的入 侵检测系统应该具有以下特点:
6.可适应性。 检测系统应能实时追踪系统环境的改变, 7.准确性。 检测系统不能随意发送误警报和漏报。 8.安全性。 检测系统应不易于被欺骗,能保护自身系统的 安全。
-
6.2.5 入侵检测框架简介
-
6.1.1 异常入侵检测技术
异常检测(Anomaly Detection)技术是运行在系统层或 应用层的监控程序通过将当前主体的活动情况和用户轮廓 进行比较来监控用户的行为。 错报(False Positive):系统错误地将异常活动定义为入 侵。 漏报(False Negative):系统未能检测出真正的入侵行为 。
-
6.2.3 基于分布式系统的结构 在大范围网络中部署有效的IDS推动了分布式入侵检
测系统的诞生和不断发展。分布式入侵检测系统一般具有 如图所示的体系结构。 分布式系统的几种类型: 集中式协同检测 层次化协同检测 完全分布式协同检测
-
6.2.4 入侵检测系统需求特性
入侵检测的部署与实现是和用户的需求密切相关的入 侵检测系统应该具有以下特点:
入侵检测框架包括通用入侵检测框架CIDF和入侵 检测交换格式IDDEF。 1.通用入侵检测框架CIDF
CIDF的主要工作在于集成各种IDS使之协同工作 ,实现各IDS之间的组件重用,所以CIDF也是构建分 布式IDS的基础。
-
6.2.5 入侵检测框架简介
CIDF的体系结构
-
6.2.5 入侵检测框架简介
有哪些接口需要配置管理服务;是否启用Telnet 进行设备管理;是否启用SSH进行设备管理;是否启用 HTTP进行设备管理;是否启用HTTPS进行设备管理;是 否需要和其他设备(例如防火墙)进行联动
-
6.3.2 选择监视内容
1.选择监视的网络区域 在小型网络结构中,如果内部网络是可以信任的
-
6.1.1 异常入侵检测技术
异常检测只能识别出那些与正常过程有较大偏差的行 为,而无法知道具体的人侵情况。由于对各种网络环境的 适应性不强,且缺乏精确的判定准则,难以配置,异常检 测经常会出现错报和漏报情况。
-
6.1.2 误用入侵检测技术
误用检测(Misuse Detection)的前提是首先提取已知入侵 行为的特征,建立入侵特征库,然后将当前用户或系统行 为与入侵特征库中的记录进行匹配,如果相匹配就认为当 前用户或系统行为是入侵,否则人侵检测系统认为是正常 行为。
-
6.3.1 定义IDS的目标 2.安全策略需求。
是否限制Telnet,SSH,HTTP,HTTPS等服务管理访问 ;Telnet登录是否需要登录密码;安全的Shell(SSH)的 认证机制是否需要加强;是否允许从非管理口(如以太网 口,而不是Console端口)进行设备管理。
-
6.3.1 定义IDS的目标 3.IDS的管理需求。
入侵检测框架包括通用入侵检测框架CIDF和入侵 检测交换格式IDDEF。 2.入侵检测交换格式IDEF
入侵检测工作组IDWG定义和设计了入侵Байду номын сангаас测的数 据模型,用于描述在不同组件之间所交换的各种警报 信息、控制命令和配置信息等通信数据。
-
6.3 入侵检测系统的部署
6.3.1 定义IDS的目标 不同的组网应用可能使用不同的规则配置,所以
用户在配置人侵检测系统前应先明确自己的目标,建 议从如下几个方面进行考虑 。
1.明确网络拓扑需求 2.安全策略需求 3.1DS的管理需求
-
6.3.1 定义IDS的目标
1.明确网络拓扑需求。 分析网络拓扑结构,需要监控什么样的网络,是交换
式的网络还是共享式网络;是否需要同时监控多个网络, 多个子网是交换机连接还是通过路由器/网关连接;选择网 络入口点,需要监控网络中的哪些数据流,IP流还是 TCP/UDP流,还是应用层的各种数据包;分析关键网络组件 、网络大小和复杂度。
入侵检测 主讲教师:曹秀莲 计算机网络教研室
-
主要内容:
• 入侵检测的定义 • 入侵检测的分类 • 入侵检测系统的设计原理
-
6.1 入侵检测方法
入侵:包括发起攻击的人取得超出范围的系统控制权、收集 漏洞信息,造成拒绝访问或对计算机危害的行为。
入侵检测:是对入侵行为的发觉。它通过对计算机网络或系 统中的若干关键点收集信息并对其进行分析,从中发现网络 或系统中是否有违反安全策略的行为和被攻击的迹象。
-
6.2.1 其于主机系统结构 基于主机的入侵检测系统(HIDS)通常从主机的审计记
录和日志文件中获得所需要的主要数据,并辅助以主机上 的其他信息。
-
6.2.2 基于网络系统的结构
基于网络的入侵 检测系统(NIDS), 如图所示,它在共享 式网络上对通信数据 进行侦听并采集数据 ,分析可疑现象。与 主机系统相比,这类 系统对入侵者而言是 透明的。
1.可靠性。 检测系统必须可以在无人监控的情况下持续运 行。 2.容错性。 入侵检测系统必须是可容错的,即使系统崩溃 ,检测系统本身必须能保留下来,而且不必在 重启系统时重建知识库。
-
6.2.4 入侵检测系统需求特性 入侵检测的部署与实现是和用户的需求密切相关的入
侵检测系统应该具有以下特点:
3.可用性。 入侵检测系统所占用的系统资源要最小,这样 不会严重降低系统性能。 4.可检验性。 入侵检测系统必须能观察到非正常行为。 5.对观察的系统来说必须是易于开发的。
-
6.1.2 误用入侵检测技术
通过误用入侵检测技术可以看出,其缺点是漏报率会增加 ,因为当新的入侵行为出现或入侵特征发生细微变化,误 用检测技术将无法检测出入侵行为。
-
6.2 入侵检测系统的设计原理
入侵检测系统(IDS)可以用来保护不同的对象,有 的IDS仅用来保护某台主机的安全;有的IDS用来检测内 部用户对内部网络的攻击行为;有的IDS用来检测外部网 络用户对内部网络的攻击;还有的采用分布式入侵检测 系统结构,即在多个点部署IDS,进而在不同的层次、不 同的区域使用入侵检测技术。
-
6.2.4 入侵检测系统需求特性
入侵检测的部署与实现是和用户的需求密切相关的入 侵检测系统应该具有以下特点:
6.可适应性。 检测系统应能实时追踪系统环境的改变, 7.准确性。 检测系统不能随意发送误警报和漏报。 8.安全性。 检测系统应不易于被欺骗,能保护自身系统的 安全。
-
6.2.5 入侵检测框架简介