四章入侵检测技术讲解学习
《入侵检测技术理论》课件
经过一段时间的实施,企业的网络安全得到了显著提升,未再发生数据 泄露和业务中断的情况。入侵检测系统成功地检测并阻止了多次恶意攻 击,保障了企业的正常运营。
云服务提供商安全防护案例
案例保障客户数据的安全,需要加强自身的安全防护能力。
解决方案
不足
依赖于特征库的完备性,对未知攻击的检测能力有限。
03
CATALOGUE
入侵检测技术应用
企业网络安全防护
企业网络安全防护是入侵检测技术应用的重要领域之一。通过部署入侵检测系统,企业可以实时监测 网络流量和异常行为,及时发现并应对潜在的安全威胁,保护关键业务和数据资产。
企业入侵检测系统需要具备高性能、高可用性和可扩展性,以满足企业不断增长的网络规模和安全需 求。同时,企业需要制定完善的安全策略和应急响应计划,确保在发生安全事件时能够迅速应对。
THANKS
感谢观看
政府机构网络安全防护
政府机构网络安全防护是另一个重要 的入侵检测技术应用领域。政府机构 需要保护敏感信息、维持政府职能的 正常运转,因此需要部署高效的入侵 检测系统来监测和防范网络攻击。
VS
政府机构入侵检测系统需要具备高度 的可靠性和稳定性,以满足政府机构 对安全性的高要求。同时,政府机构 需要加强与其他安全机构的合作,共 同应对网络安全威胁。
《入侵检测技术理论》 PPT课件
CATALOGUE
目 录
• 入侵检测技术概述 • 入侵检测技术原理 • 入侵检测技术应用 • 入侵检测技术挑战与展望 • 案例分析
01
CATALOGUE
入侵检测技术概述
入侵检测技术的定义
入侵检测技术
是一种用于检测、发现、记录和报告网 络系统中未授权或异常行为的安全技术 。
《入侵检测技术 》课件
能够应对复杂多变的网络威胁。
详细描述
基于统计、数据挖掘、机器学习等技术的入侵检测方法, 能够从大量数据中提取有用的信息,并自动学习攻击手段 的变化,从而更有效地应对复杂的网络威胁。
总结词
对资源要求较高。
详细描述
由于这些方法需要处理大量的网络流量数据,因此对系统 资源的要求较高,需要高性能的硬件和软件支持。
《入侵检测技术》 PPT课件
• 入侵检测技术概述 • 入侵检测技术分类 • 入侵检测技术原理 • 入侵检测技术应用场景 • 入侵检测技术面临的挑战与解决
方案 • 未来入侵检测技术的发展趋势
目录
01
入侵检测技术概述
定义与目的
定义
入侵检测技术是一种用于检测、识别 和应对网络或系统上未经授权的访问 或异常行为的手段。
性能有一定影响。
混合型入侵检测技术
混合型入侵检测技术是指结合 基于主机和基于网络的入侵检 测技术的一种技术。
它通过综合分析主机系统和网 络流量数据,提高对攻击行为 的检测和识别的准确性。
混合型入侵检测技术可以提供 更全面的安全防护,但需要同 时考虑主机和网络的部署和管 理。
其他分类方法
基于时间的入侵检测技术
主机入侵检测技术可以提供更精确的攻击识别和更深入的攻击分析,但需要安装在 被保护的主机上,且对主机的性能有一定影响。
基于网络的入侵检测技术
网络入侵检测技术是指基于网络 流量数据来检测和识别恶意行为
的一种技术。
它通过分析网络流量数据,检测 和识别异常的网络行为,如未经 授权的访问、恶意代码传播等。
网络入侵检测技术可以提供实时 的攻击检测和预警,但需要部署 在网络的关键节点上,且对网络
通过检测和应对安全威胁,入侵检测 技术有助于提高网络和系统的安全性 ,保护组织的机密信息和资产。
入侵检测技术ppt课件
监控 特征提取 匹配 判定
4. 指标 错报低 漏报高
误用检测模型
如果入侵特征与正常的用户行能匹配,则系统 会发生误报;如果没有特征能与某种新的攻击 行为匹配,则系统会发生漏报
特点:采用特征匹配,滥用模式能明显降低错 报率,但漏报率随之增加。攻击特征的细微变 化,会使得滥用检测无能为力
System Audit
Metrics
Pattern Matcher
Normal Activity No Signature Match
Signature Match Intrusion
误用检测模型
误用检测
1. 前提:所有的入侵行为都有可被检测到的特征 2. 攻击特征库: 当监测的用户或系统行为与库中的记录
黑客经常在系统日志文件中留下他们的踪迹, 因此,充分利用系统和网络日志文件信息是检 测入侵的必要条件
日志文件中记录了各种行为类型,每种类型又 包含不同的信息,例如记录“用户活动”类型 的日志,就包含登录、用户ID改变、用户对文 件的访问、授权和认证信息等内容
显然,对用户活动来讲,不正常的或不期望的 行为就是重复登录失败、登录到不期望的位置 以及非授权的企图访问重要文件等等
30 20 10 0
CPU
Process Size
probable intrusion
normal profile abnormal
Relatively high false positive rate anomalies can just be new normal activities.
误用检测
简单地说,入侵检测系统包括三个功能 部件:
(1)信息收集 (2)信息分析 (3)结果处理
入侵检测技术 第二版pdf
入侵检测技术第二版pdf引言概述:入侵检测技术是网络安全领域中至关重要的一环。
为了应对不断增长的网络威胁,入侵检测技术不断发展和更新。
本文将介绍入侵检测技术第二版PDF的内容,包括其结构、功能和应用。
正文内容:1. 入侵检测技术的基础知识1.1 入侵检测技术的定义和分类入侵检测技术是指通过对网络流量和系统日志的分析,识别和报告潜在的安全威胁。
根据检测方法的不同,入侵检测技术可分为基于特征的检测和基于行为的检测。
1.2 入侵检测技术的工作原理入侵检测技术通过监控网络流量和系统行为,检测异常活动和潜在的入侵行为。
它使用规则和模型来识别与已知攻击行为相匹配的模式,并通过实时监测和分析来提供警报和报告。
1.3 入侵检测技术的优势和局限性入侵检测技术可以及时发现并响应潜在的安全威胁,提高网络安全性。
然而,它也存在误报和漏报的问题,需要不断更新和优化以适应新的攻击方式。
2. 入侵检测技术第二版PDF的内容概述2.1 入侵检测技术的发展历程第二版PDF介绍了入侵检测技术的发展历程,包括早期的基于特征的检测方法和现代的基于行为的检测技术。
它还介绍了入侵检测技术在不同领域的应用和挑战。
2.2 入侵检测技术的新功能和算法第二版PDF详细介绍了新的功能和算法,用于提高入侵检测技术的准确性和效率。
其中包括机器学习算法、深度学习技术和云计算等新兴技术的应用。
2.3 入侵检测技术的实际案例和应用场景第二版PDF提供了实际案例和应用场景,展示了入侵检测技术在企业网络、云计算环境和物联网等不同领域的应用。
它还介绍了如何根据实际需求选择和配置入侵检测系统。
3. 入侵检测技术的挑战和解决方案3.1 入侵检测技术面临的挑战入侵检测技术面临着不断增长的网络威胁、大规模数据分析和隐私保护等挑战。
它需要应对新的攻击方式和快速变化的网络环境。
3.2 入侵检测技术的解决方案为了应对挑战,入侵检测技术可以采用自适应算法和混合检测方法,结合多个检测引擎和数据源。
《网络入侵检测技术》PPT课件
入侵检测产品的起源
➢审计技术:产生、记录并检查按时间顺序排列的系统事件
记录的过程
➢审计的目标:
–确定和保持系统活动中每个人的责任 –重建事件
–评估损失 –监测系统的问题区 –提供有效的灾难恢复
–阻止系统的不正当使用
为什么需要安装入侵检测系统
网络中已经安装了防火墙系统,为什么还 需要安装入侵检测系统?
传统的操作系统加固技术和防火墙隔离技 术等都是静态安全防御技术,它们主要是 基于各种形式的静态禁止策略,对网络环 境下日新月异的攻击手段缺乏主动的反应。
入侵检测是最近发展起来的一种动态的监 控、预防或抵御系统入侵行为的安全机制, 主要通过实时监控网络和系统的状态、行 为以及系统的使用情况,来检测系统用户 的越权使用以及系统外部的入侵者利用系 统的安全缺陷对系统进行入侵的企图。
基于网络的入侵检测系统 (NIDS) 在计算机网络中的关 键点被动地监听网络上传输的原始流量,对获取的网络 数据包进行分析处理,从中获取有用的信息,以识别、 判定攻击事件。
HIDS:基于主机的入侵检测系统
基于主机的入侵检测系统 (HIDS) 一般主要使用操作系 统的审计日志作为主要数据源输入,试图从日志判断滥 用和入侵事件的线索。
什么导致黑客入侵
服务(service)导致黑客入侵
– 没有开启任何服务的主机绝对是安全的主机
信息安全的隐患存在于信息的共享和传递 过程中
小结
网络入侵概念的广泛性 服务导致黑客的入侵 网络安全的核心就是信息的安全
第二节:攻击的一般步骤
恶意用户为什么总是能成功入侵系统?前提 条件就是系统的安全问题有漏洞,没有百 分百的安全。任何系统都会有这样那样的 弱点,即时使用了最新的技术,但由于系 统的用户的错误操作也会使系统产生漏洞。
入侵检测技术
1.2 入侵检测系统的组成
用专家系统对入侵进行检测,经常是针对有特征的 入侵行为。规则,即是知识,不同的系统与设置具 有不同的规则,且规则之间往往无通用性。专家系 统的建立依赖于知识库的完备性,知识库的完备性 以取决于审计记录的完备性与实时性。入侵的特征 抽取与表达,是入侵检测专家系统的关键。在系统 实现中,将有关入侵的知识转化为if-then结构,条 件部分为入侵特征,then部分是系统防范措施。运 用专家系统防范有特征入侵行为的有效性完全取决 于专家系统知识库的完备性。
由于嗅探技术的限制,网络节点入侵检测仅仅能分析目 的地址是主机地址的包,但是由于网络节点入侵检测的 特性,当网络使用的是一个高速通信网络、加密网络或 者使用了交换式设备,网络节点入侵检测仍然能对所有 的子网进行检测。网络节点入侵检测的优势在于,能有 效的抵御针对特定主机的基于包的攻击。
1.3 常用的入侵检测方法 入侵检测系统常用的检测方法有特征测、统 计检测与专家系统。据公安部计算机信息系 统安全产品质量监督检验中心的报告,国内 送检的入侵检测产品中95%是属于使用入侵 模式匹配的特征检测产品,其他5%是采用 概率统计的统计检测产品与基于日志的专家 知识库型产品。
1.什么是入侵检测 入侵检测系统(IDS,Intrusion detection system)是为保证计算机系统的安全而设计与 配置的一种能够及时发现并报告系统中未授权 或异常现象的系统,是一种用于检测计算机网 络中违反安全策略行为的系统。入侵和滥用都 是违反安全策略的行为。
《入侵检测技术讲解》课件
基于签名
使用事先定义的攻击特征来识 别入侵活动。
常见的入侵检测技术
网络入侵检测系统(NIDS) 主机入侵检测系统(HIDS) 行为入侵检测系统(BIDS) 异常入侵检测系统(AIDS) 混合入侵检测系统(HIDS/NIDS)
应用场景
1
企业安全
保护企业网络和敏感数据,预防潜在的
政府机构
2
入侵行为。
维护国家安全,预警和阻止恶意入侵。
3
云计算
检测和防范云环境中的入侵行为。
挑战和未来发展
复杂性增加
随着网络的复杂性和攻击手段的 进化,入侵检测变得更加困难。
机器学习与AI
新威胁的出现
机器学习和人工智能的发展,有 望提高入侵检测的准确性和效率。
新的威胁和攻击手段的不断出现, 需要不断更新入侵检测技术。
入侵检测系统通过分析网 络流量,识别出潜在的入 侵行为和攻击特征。
2 行为分析
该方法通过对用户行为进 行建模和分析,检测可能 存在的异常行为。
3 特征匹配
入侵检测系络入侵检测
监控网络中的入侵行为和攻击。
主机入侵检测
监视和检测主机上的入侵行为。
总结和展望
入侵检测技术在保护网络安全方面发挥了重要作用。随着技术的不断发展, 我们可以期待更高效、智能的入侵检测系统的出现。
《入侵检测技术讲解》 PPT课件
欢迎来到《入侵检测技术讲解》,本课程将深入讲解入侵检测技术的定义、 原理、分类、应用场景以及挑战和未来发展。让我们开始探索这个引人入胜 的领域吧!
定义和背景
入侵检测技术是一种保护计算机网络安全的重要手段,它的作用是监视和检测网络中的异常活动和安全漏洞。
基本原理
1 流量分析
《入侵检测技术》PPT课件 (2)
入侵行为一般不会通过一条规则就被发现,一条规则判断
完成,其结果可以作为新的事实加入到已有事实的集合中,
和其它事实和信息一道可能又会引起新的规则的执行;
如此往复,直到没有新的规则被执行,对入侵行为的检测
才结束,得出是否存在入侵行为的结论。
2021/7/9
的软硬件系统。
基本方法:收集计算机系统和网络的信息,并对
这些信息加以分析,对保护的系统进行安全审计、
监控、攻击识别并作出实时的反应。
2021/7/9
入侵检测主要目的
(1)识别攻击行为和捕获入侵者。
(2)应急响应:及时阻止攻击活动。
(3)检测安全防范的效果。
(4)发现新的攻击。
(5)威慑攻击者。
2021/7/9
根据已知的入侵模式来检测入侵。将已知的
攻击行为编成某种特征模式,如果入侵者攻击
方式恰好匹配上检测系统中的模式库,则攻击
行为就被检测到。
2021/7/9
模式匹配
ห้องสมุดไป่ตู้
模式匹配:
将已知的攻击行为编成某种特征模式(signature),
形成特征库;
信息收集模块根据特征库中的特征收集被保护系
统的特征信息;
某种模型进行处理的结果,能够稳定、准确的区
分开正常和异常行为。
2021/7/9
人工神经网络
人工神经网络通过对大量神经元和神经元所组成
的网络的模拟,实现了对人脑收集、加工、存储
以至运用信息能力的模拟。
外界信号是人工神经网络的输入,人脑对信号的
反应对应人工神经网络的输出,神经元是大量的
简单的处理单元,神经元对外界信号的传递效果
《入侵检测》课件
实时性
系统对入侵事件的响应速度, 快速响应能够减少损失。
可扩展性
系统能够随着网络规模和安全 需求的变化进行扩展的能力。
04 入侵检测面临的挑战与解 决方案
高性能计算环境的挑战与解决方案
挑战
随着高性能计算环境的普及,入侵检测系统需要处理的数据量急剧增加,对数据处理速 度的要求也越来越高。
解决方案
采用分布式计算技术,将数据分散到多个节点进行处理,提高数据处理速度。同时,利 用GPU加速技术,提高算法的并行处理能力,进一步提高数据处理速度。
网络型
部署在网络中的关键节点,实时监测网络流量和数据 包内容。
主机型
安装在目标主机上,监测主机的系统日志、进程等信 息。
混合型
结合网络型和主机型的特点,同时监测网络和主机环 境。
入侵检测系统的性能指标
检测率
能够检测到的入侵事件的比例 ,是衡量入侵检测系统性能的
重要指标。
误报率
将正常行为误判为入侵事件的 比例,低误报率可以提高系统 的可信度。
要点二
面临的挑战
利用量子计算的并行性和量子纠缠等特性,可以加速加密 和解密等计算密集型任务,提高入侵检测的性能和安全性 。
目前量子计算仍处于发展初期,技术尚未成熟,且量子计 算在入侵检测中的应用仍面临许多挑战和限制。
THANKS FOR WATCHING
感谢您的观看
02 入侵检测技术
基于异常的入侵检测技术
总结词
基于异常的入侵检测技术通过监测系统中的异常行为或流量模式来识别入侵行 为。
详细描述
该技术通过建立正常行为模式,并将实际行为与该模式进行比较,以检测异常 行为。如果发现异常行为,则触发警报。
基于误用的入侵检测技术
网络安全工程师入侵检测知识点
网络安全工程师入侵检测知识点随着互联网的快速发展,网络安全问题变得越来越严峻,入侵检测成为了保护网络安全的关键一环。
作为网络安全工程师,掌握入侵检测的知识点是至关重要的。
本文将介绍网络安全工程师入侵检测的知识点,以帮助初学者快速入门。
一、入侵检测概述入侵检测是通过对网络活动进行监控和分析,识别和防止恶意行为的过程。
其核心目标是保护系统免受未经授权的访问和破坏。
入侵检测可以分为主机入侵检测(HIDS)和网络入侵检测(NIDS)两种类型。
主机入侵检测侧重于检测主机系统内部的攻击,常见的技术手段包括日志分析、文件完整性检查、行为分析等。
而网络入侵检测则主要监控网络流量,识别和阻止潜在的网络攻击行为。
二、入侵检测方法1. 签名检测签名检测是一种基于已知攻击特征的方法,通过与已知攻击特征进行匹配来检测潜在的攻击行为。
这种方法具有较高的准确性,但对于未知攻击无法有效检测。
2. 异常检测异常检测是一种通过分析网络活动的模式、行为的变化来判断是否存在潜在的攻击行为的方法。
它不依赖于已知的攻击特征,可以有效检测未知攻击,但也容易产生误报。
3. 组合检测组合检测是将签名检测和异常检测相结合,综合利用两种方法的优点,提高入侵检测系统的准确性和可靠性。
三、入侵检测工具1. SnortSnort是一种轻量级的网络入侵检测系统,具有强大的规则引擎和灵活的配置选项。
它能够对网络流量进行实时监控和分析,识别并报告潜在的攻击行为。
2. SuricataSuricata是一种高性能的开源入侵检测系统,支持多线程和多核处理,并具有高级的协议分析功能。
它可以同时进行多种检测方法的组合,提供更全面的检测能力。
3. BroBro是一种网络安全监控系统,具有强大的网络协议解析能力和灵活的事件处理机制。
它可以对网络流量进行全面的分析,检测潜在的攻击行为,并生成对应的事件日志。
四、入侵检测流程1. 收集数据入侵检测的第一步是收集数据,包括网络流量数据、系统日志等。
入侵检测系统技术培训
教育行业网络安全防护
教育行业网络安全防护是教育行业保 障信息安全的重要任务之一,通过部 署入侵检测系统,可以实时监测网络 流量和数据,及时发现和应对各种网 络攻击和威胁。
VS
教育行业入侵检测系统可以部署在关 键业务系统、服务器和终端设备上, 对网络流量和数据进行分析和检测, 及时发现异常行为和恶意攻击,并采 取相应的措施进行防范和应对。
云端化部署
利用云计算资源,实现入侵检测系统的弹性扩展和按需服务,提高 系统的可用性和可维护性。
入侵检测系统的技术趋势
大数据分析
利用大数据技术对海量的网络流 量和安全事件数据进行实时处理 和分析,发现潜在的安全威胁。
威胁情报
将威胁情报与入侵检测系统相结合, 实现对已知威胁的快速响应和未知 威胁的预警。
安全可视化
通过可视化技术将复杂的网络流量 和安全事件数据呈现给安全管理人 员,提高安全管理的效率和决策的 准确性。
THANKS
感谢观看
日志与审计
入侵检测系统能够记录网 络活动的日志,为后续审 计和分析提供重要依据。
02
入侵检测系统技术原理
异常检测技术
总结词
异常检测技术通过监测系统中的异常行为来识别入侵。
总结词
异常检测技术的挑战在于如何准确区分正常和异常行为。
详细描述
异常检测技术基于正常行为模式进行学习,并建立正常行 为的基线。当检测到与正常行为模式显著不同的行为时, 系统会发出警报。
企业网络安全防护是企业保护自身信息安全的重要手段之一 ,通过部署入侵检测系统,可以实时监测网络流量和数据, 及时发现和应对各种网络攻击和威胁。
企业入侵检测系统可以部署在关键业务系统、服务器和终端 设备上,对网络流量和数据进行分析和检测,及时发现异常 行为和恶意攻击,并采取相应的措施进行防范和应对。
入侵检测技术考点
⼊侵检测技术考点第⼀章、⼊侵检测概述⼊侵检测定义:⼊侵是指在⾮授权得情况下,试图存取信息、处理信息或破坏以使系统不可靠、不可⽤的故意⾏为。
⼊侵检测的基本原理:主要分为四个阶段:1、数据收集:数据收集是⼊侵检测的基础,采⽤不同的⽅法进⾏分析。
2、数据处理:从原始数据中除去冗余、杂声,并且进⾏格式化以及标准化处理。
3、数据分析:检查数据是否正常,或者显⽰是否存在⼊侵。
4、响应处理:发现⼊侵,采取措施进⾏保护,保留⼊侵证据并且通知管理员。
1.4 ⼊侵检测的分类按照⼊侵检测技术:误⽤⼊侵检测,异常⼊侵检测和协议分析三种按照数据来源分类:基于主机的⼊侵检测系统、基于⽹络的⼊侵检测系统、混合式⼊侵检测系统、⽂件完整性检查式⼊侵检测系统1.5 常⽤的⼊侵检测⽅法: 1、误⽤⼊侵检测 2、异常检测第⼆章、常见的⼊侵⽅法和⼿段2.1 漏洞的⼏个⽅⾯:1、存储介质不安全2、数据的可访问性3、信息的聚⽣性4、保密的困难性5、介质的剩磁效应6、电磁的泄露性7、通信⽹络的脆弱性8、软件的漏洞2.2 信息系统⾯临的威胁:(简答题 6分 8个回答任意6个)1、计算机病毒2、⿊客⼊侵3、信号截取4、介质失密5、系统漏洞6、⾮法访问7、⼈为因素8、遥控设备2.3 攻击概述:攻击主要分为主动攻击和被动攻击(填空攻击类别 2分)攻击的⼀般流程:(填空 4分)1、隐藏⾃⼰2、踩点或与攻击探测3、采取攻击⾏为4、清楚痕迹主动攻击和被动攻击的区别:主动攻击:主动攻击会造成⽹络系统状态和服务的改编。
它以各种⽅式有选择的破坏信息的有效性和完整性,是纯粹的破坏⾏为。
这样的⽹络侵犯者被称为积极侵犯着。
积极侵犯着截取⽹上的信息包,并对其进⾏更改使他失效,或者股已添加⼀些有利于⾃⼰的信息,起到信息误导的作⽤,或者登陆进⼊系统使⽤并占⽤⼤量⽹络资源,造成资源的消耗,损害合法⽤户的利益。
积极侵犯者的破坏作⽤最⼤。
被动攻击:被动攻击不直接改编⽹络的状态和服务。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2020/5/18
4.3 入侵检测的分析技术
在完成信息收集后,接下来要进行的 工作就是对这些信息进行分析,看其 中是否包含了可疑的攻击行为。
入侵检测分析技术主要分成两类:
– 误用检测:收集已有的入侵技术并建立 知识库,通过匹配查找来判断当前行为 是否为入侵。
2020/5/18
4.3.1 误用检测(2)
专家系统
– 检测原理:根据安全专家对可疑行为的分 析经验来形成一套推理规则,然后再在此 基础之上构建相应的专家系统。 安全专家的知识被表达成“if-then”格式。 其中,每条规则的if部分代表某个入侵特 征,then部分为系统的响应措施。当if条 件满足时即判断为入侵行为,并做出响应
根据检测时采用的分析技术
基于误用检测的IDS:依据病毒的行为特征来检测病毒 基于异常检测的IDS:依据正常用户或程序的行为特征来检
测病毒
根据检测到入侵时采取的行动
被动IDS:检测到入侵时,发出警报并记录下包的信息 主动IDS:不但给出警报,还会对恶意行为作出响应
4.2 入侵检测的监控技术
信息收集是入侵检测的第一步,而入 侵检测监控技术解决了“从何处获取 包含了攻击信息的数据”这一问题。 三类监控技术:
。 2020/5/18
4.3.1 误用检测(3)
状态转移分析
– 检测原理:将状态转换图应用于入侵行为的 分析。 分析时首先针对每一种入侵方法确定系统的 初始状态和被入侵状态,以及导致状态转换 的转换条件,即导致系统进入被入侵状态必 须执行的操作。然后用状态转换图来表示每 一个状态和特征事件。这样,一个入侵行为
缺点
– 需占用被监控系统的系统资源 – 全面部署HIDS的代价较大 – 无法检测来自网络的攻击,存在
检测盲点
4.2.2 基于网络的监控(1)
基于网络的入侵检测系统(Networkbased IDS,NIDS) 用来保护网络 中的多台主机,它以网络中的数据包 作为分析对象
由于需处理大量数据,NIDS一般位 于专用硬件平台上
– 异常检测:系统管理员首先为网络通信 2020/5/18 流量、分组典型大小等指标定义一个基
4.3.1 误用检测(1)
模式匹配
–检测原理:将数据包的内容与代表某种 恶意事件或流量的特征串进行逐字节地 比较
–优点:分析速度快,误报率低 –缺点:计算量大,尤其是模式库规模较
大的情况下;只能检测给定类型的攻击 ,对稍微变形的攻击特征就束手无策
所在主机的网卡需设为混杂模式
4.2.2 基于网络的监控(2)
部署NIDS时需考虑的问题
– NIDS的部署位置?
• 与网络本身的拓扑结构、管理员希望达到的 监控目的有关。
– 如何处理交换式网络?
• 使用带调试端口的交换机; • 使用Hub或Trap。
2020/5/18
4.2.2 基于网络的监控(3)
2020/5/18 就被描绘成一系列导致目标系统从初始状态
4.3.2 异常检测(1)
统计方法
– 检测原理:首先,检测器为系统对象创建一个统计描述, 统计正常情况下的一些属性的值。当观察值在正常值范围 之外时,则认为出现了攻击事件。
– 细分为基于阀值和基于轮廓的检测技术 • 基于阀值:统计事件在一定时间内发生频率,当其发 生频率超出正常值时,则认为出现了攻击事件。 • 基于轮廓:对用户过去的行为特征进行刻画,然后检 查当前活动与这些特征(若干参数)间的差异,该方 法以分析审计日志为基础 。
作为一种积极主动的安 全防护技术,对各种被动防 护技术起到了极其有益的补 充
它从计算机网络或计算 机系统中的若干关键点处收 集信息,并对其分析,从中 发现网络或系统中是否有违 反安全策略的行为或被攻击 的迹象
4.1 入侵检测系统概述—— IDS的分类
根据监视数据的来源
基于主机的IDS:以主机上发生的各种事情为监控对象 基于网络的IDS:以网络上的数据包为监控对象
NIDS的优点
– 能够检测来自网络的攻击
– 采用旁路技术,不会成为系统中 的瓶颈
– 系统容易部署
– 操作系统无关性
NIDS的缺点
– 在交换式网络环境下需添加额外 的硬件设施
2020/5/18
– 网络流量较大时处理能力有限
4.2.3 混合型监控
混合型IDS的基本特点
– 结合了HIDS和NIDS的特点,既 可以发现网络中的攻击行为, 又可以从系统日志中发现异常 情况
– 系统日志 – 网络连接 – 文件系统
……
应根据主机的特点来选择最合适的产品。例如,对于一个 Web服务器来说,更多的攻击可能来自于网络,故应在其上 安装有网络监控功能的HIDS。
4.2.1 基于主机的监控(2)
HIDS的优点
– 对分析“可能的攻击行为”非常 有用
– 能够判断攻击是否成功 – 与NIDS相比,具有较低的误报率
2020/5/18
4.3.2 异常检测(2)
人工免疫
– 检测原理:模仿生物有机体的免疫系统工作机制,使得受保护 的系统能够将非自体的非法行为和自体的合法行为区分开来。
下表给出了生物系统和人工免疫系统中相关对象的对应关系 :
使用Snort搭建NIDS IPS简介 IDS的发展趋势 实验
4.1 入侵检测系统概述—— IDS的产生
被动安全防御技术的不足:
防火墙:80%以上的攻 击来源于组织内部;串联的 工作方式使其无法进行复杂 的检测
安全访问控制:黑客可 以通过身份窃取、利用系统 漏洞等手段绕开安全访问控 制机制
……
入侵检测技术的产生:
2020/5/18
第四章 入侵检测技术
本章要点
– 入侵检测的原理 – 入侵检测涉及到的
关键技术 – 入侵检测软件的使
用
第四章 入侵检测技术
本章内容
§4.1 §4.2 §4.3 §4.4
入侵检测系统概述 入侵检测的监视技术 入侵检测的分析技术 IDS的体系结构
§4.5 §4.6 §4.7 §4.8
– 基于主机的监控 – 基于网络的监控 – 混合型监控
2020/5/18
4.2.1 基于主机的监控(1)
基于主机的入侵检测系统(host-based IDS,HIDS) 用来保 护单台主机,负责监视系统内发生的各种活动,并在可疑事 件发生时给出警报或做出响应 。 HIDS可对系统中的多种对象进行监控,包括: