第14章 入侵检测的发展 入侵检测技术课件
合集下载
《入侵检测技术理论》课件
实施效果
经过一段时间的实施,企业的网络安全得到了显著提升,未再发生数据 泄露和业务中断的情况。入侵检测系统成功地检测并阻止了多次恶意攻 击,保障了企业的正常运营。
云服务提供商安全防护案例
案例保障客户数据的安全,需要加强自身的安全防护能力。
解决方案
不足
依赖于特征库的完备性,对未知攻击的检测能力有限。
03
CATALOGUE
入侵检测技术应用
企业网络安全防护
企业网络安全防护是入侵检测技术应用的重要领域之一。通过部署入侵检测系统,企业可以实时监测 网络流量和异常行为,及时发现并应对潜在的安全威胁,保护关键业务和数据资产。
企业入侵检测系统需要具备高性能、高可用性和可扩展性,以满足企业不断增长的网络规模和安全需 求。同时,企业需要制定完善的安全策略和应急响应计划,确保在发生安全事件时能够迅速应对。
THANKS
感谢观看
政府机构网络安全防护
政府机构网络安全防护是另一个重要 的入侵检测技术应用领域。政府机构 需要保护敏感信息、维持政府职能的 正常运转,因此需要部署高效的入侵 检测系统来监测和防范网络攻击。
VS
政府机构入侵检测系统需要具备高度 的可靠性和稳定性,以满足政府机构 对安全性的高要求。同时,政府机构 需要加强与其他安全机构的合作,共 同应对网络安全威胁。
《入侵检测技术理论》 PPT课件
CATALOGUE
目 录
• 入侵检测技术概述 • 入侵检测技术原理 • 入侵检测技术应用 • 入侵检测技术挑战与展望 • 案例分析
01
CATALOGUE
入侵检测技术概述
入侵检测技术的定义
入侵检测技术
是一种用于检测、发现、记录和报告网 络系统中未授权或异常行为的安全技术 。
经过一段时间的实施,企业的网络安全得到了显著提升,未再发生数据 泄露和业务中断的情况。入侵检测系统成功地检测并阻止了多次恶意攻 击,保障了企业的正常运营。
云服务提供商安全防护案例
案例保障客户数据的安全,需要加强自身的安全防护能力。
解决方案
不足
依赖于特征库的完备性,对未知攻击的检测能力有限。
03
CATALOGUE
入侵检测技术应用
企业网络安全防护
企业网络安全防护是入侵检测技术应用的重要领域之一。通过部署入侵检测系统,企业可以实时监测 网络流量和异常行为,及时发现并应对潜在的安全威胁,保护关键业务和数据资产。
企业入侵检测系统需要具备高性能、高可用性和可扩展性,以满足企业不断增长的网络规模和安全需 求。同时,企业需要制定完善的安全策略和应急响应计划,确保在发生安全事件时能够迅速应对。
THANKS
感谢观看
政府机构网络安全防护
政府机构网络安全防护是另一个重要 的入侵检测技术应用领域。政府机构 需要保护敏感信息、维持政府职能的 正常运转,因此需要部署高效的入侵 检测系统来监测和防范网络攻击。
VS
政府机构入侵检测系统需要具备高度 的可靠性和稳定性,以满足政府机构 对安全性的高要求。同时,政府机构 需要加强与其他安全机构的合作,共 同应对网络安全威胁。
《入侵检测技术理论》 PPT课件
CATALOGUE
目 录
• 入侵检测技术概述 • 入侵检测技术原理 • 入侵检测技术应用 • 入侵检测技术挑战与展望 • 案例分析
01
CATALOGUE
入侵检测技术概述
入侵检测技术的定义
入侵检测技术
是一种用于检测、发现、记录和报告网 络系统中未授权或异常行为的安全技术 。
《入侵检测技术 》课件
总结词
能够应对复杂多变的网络威胁。
详细描述
基于统计、数据挖掘、机器学习等技术的入侵检测方法, 能够从大量数据中提取有用的信息,并自动学习攻击手段 的变化,从而更有效地应对复杂的网络威胁。
总结词
对资源要求较高。
详细描述
由于这些方法需要处理大量的网络流量数据,因此对系统 资源的要求较高,需要高性能的硬件和软件支持。
《入侵检测技术》 PPT课件
• 入侵检测技术概述 • 入侵检测技术分类 • 入侵检测技术原理 • 入侵检测技术应用场景 • 入侵检测技术面临的挑战与解决
方案 • 未来入侵检测技术的发展趋势
目录
01
入侵检测技术概述
定义与目的
定义
入侵检测技术是一种用于检测、识别 和应对网络或系统上未经授权的访问 或异常行为的手段。
性能有一定影响。
混合型入侵检测技术
混合型入侵检测技术是指结合 基于主机和基于网络的入侵检 测技术的一种技术。
它通过综合分析主机系统和网 络流量数据,提高对攻击行为 的检测和识别的准确性。
混合型入侵检测技术可以提供 更全面的安全防护,但需要同 时考虑主机和网络的部署和管 理。
其他分类方法
基于时间的入侵检测技术
主机入侵检测技术可以提供更精确的攻击识别和更深入的攻击分析,但需要安装在 被保护的主机上,且对主机的性能有一定影响。
基于网络的入侵检测技术
网络入侵检测技术是指基于网络 流量数据来检测和识别恶意行为
的一种技术。
它通过分析网络流量数据,检测 和识别异常的网络行为,如未经 授权的访问、恶意代码传播等。
网络入侵检测技术可以提供实时 的攻击检测和预警,但需要部署 在网络的关键节点上,且对网络
通过检测和应对安全威胁,入侵检测 技术有助于提高网络和系统的安全性 ,保护组织的机密信息和资产。
能够应对复杂多变的网络威胁。
详细描述
基于统计、数据挖掘、机器学习等技术的入侵检测方法, 能够从大量数据中提取有用的信息,并自动学习攻击手段 的变化,从而更有效地应对复杂的网络威胁。
总结词
对资源要求较高。
详细描述
由于这些方法需要处理大量的网络流量数据,因此对系统 资源的要求较高,需要高性能的硬件和软件支持。
《入侵检测技术》 PPT课件
• 入侵检测技术概述 • 入侵检测技术分类 • 入侵检测技术原理 • 入侵检测技术应用场景 • 入侵检测技术面临的挑战与解决
方案 • 未来入侵检测技术的发展趋势
目录
01
入侵检测技术概述
定义与目的
定义
入侵检测技术是一种用于检测、识别 和应对网络或系统上未经授权的访问 或异常行为的手段。
性能有一定影响。
混合型入侵检测技术
混合型入侵检测技术是指结合 基于主机和基于网络的入侵检 测技术的一种技术。
它通过综合分析主机系统和网 络流量数据,提高对攻击行为 的检测和识别的准确性。
混合型入侵检测技术可以提供 更全面的安全防护,但需要同 时考虑主机和网络的部署和管 理。
其他分类方法
基于时间的入侵检测技术
主机入侵检测技术可以提供更精确的攻击识别和更深入的攻击分析,但需要安装在 被保护的主机上,且对主机的性能有一定影响。
基于网络的入侵检测技术
网络入侵检测技术是指基于网络 流量数据来检测和识别恶意行为
的一种技术。
它通过分析网络流量数据,检测 和识别异常的网络行为,如未经 授权的访问、恶意代码传播等。
网络入侵检测技术可以提供实时 的攻击检测和预警,但需要部署 在网络的关键节点上,且对网络
通过检测和应对安全威胁,入侵检测 技术有助于提高网络和系统的安全性 ,保护组织的机密信息和资产。
第14章入侵检测技术培训教材
2022/3/24
Network and Information Security
第14章 入侵检测技术
较之于基于主机的 IDS,它有着自身明显的优 势: • 攻击者转移证据更困难 • 实时检测和应答 • 能够检测到未成功的攻击企图 • 操作系统无关性 • 较低的成本
2022/3/24
Network and Information Security
2022/3/24
Network and Information Security
第14章 入侵检测技术
• 该系统具有明显的优点: (1) 能够确定攻击是否成功 (2) 非常适合于加密和交换环境 (3) 近实时的检测和响应 (4) 不需要额外的硬件 (5) 可监视特定的系统行为
2022/3/24
Network and Information Security
2022/3/24
Network and Information Security
第14章 入侵检测技术
误用检测的主要局限性表现在:
(1) 它只能根据已知的入侵序列和系统缺陷的模式来 检测系统中的可疑行为,而面对新的入侵攻击行为以及那 些利用系统中未知或潜在缺陷的越权行为则无能为力。也 就是说,不能检测未知的入侵行为。
第14章 入侵检测技术
IETF 的入侵检测系统模型
探测器
数据源 活 动
事 件
分析器告警 管理器通知 操作员
探测器
rk and Information Security
第14章 入侵检测技术
Denning 的通用入侵检测系统模型
时钟
规则设计 与更新
学习
(2) 与系统的相关性很强,即检测系统知识库中的入 侵攻击知识与系统的运行环境有关。对于不同的操作系统 ,由于其实现机制不同,对其攻击的方法也不尽相同,因 而很难定义出统一的模式库。
入侵检测技术.ppt
第1章 入侵检测概述
曹元大主编,人民邮电出版社,2007年
入侵检测概述
1
第1章 入侵检测概述
概述:
网络安全基本概念 入侵检测的产生与发展 入侵检测的基本概念
入侵检测概述
2
网络安全的实质
保障系统中的人、设备、设施、软件、数据以及各种供 给品等要素避免各种偶然的或人为的破坏或攻击,使它 们发挥正常,保障系统能安全可靠地工作 。
防御
入侵检测概述 12
入侵检测的缺点
不能弥补差的认证机制 如果没有人的干预,不能管理攻击调查 不能知道安全策略的内容 不能弥补网络协议上的弱点 不能弥补系统提供质量或完整性的问题 不能分析一个堵塞的网络 不能处理有关packet-level的攻击
入侵检测概述 13
研究入侵检测的必要性-1
入侵检测是最近10余年发展起来的一种动态的监控、预 防或抵御系统入侵行为的安全机制。主要通过监控网 络、系统的状态、行为以及系统的使用情况,来检测系 统用户的越权使用以及系统外部的入侵者利用系统的安 全缺陷对系统进行入侵的企图。
入侵检测概述
4
网络安全的P2DR模型与入侵检测
Policy(安全策略) Protection(防护) Detection(检测) Response(响应)
从1996年到1999年,SRI开始EMERALD的研究,它是 NIDES的后继者。
入侵检测概述
8
主机和网络IDS的集成
分布式入侵检测系统 (DIDS)最早试图把 基于主机的方法和网 络监视方法集成在一 起。
DIDS的最初概念是采 用集中式控制技术, 向DIDS中心控制器发 报告。
DIDS主管 专家系统 用户界面
曹元大主编,人民邮电出版社,2007年
入侵检测概述
1
第1章 入侵检测概述
概述:
网络安全基本概念 入侵检测的产生与发展 入侵检测的基本概念
入侵检测概述
2
网络安全的实质
保障系统中的人、设备、设施、软件、数据以及各种供 给品等要素避免各种偶然的或人为的破坏或攻击,使它 们发挥正常,保障系统能安全可靠地工作 。
防御
入侵检测概述 12
入侵检测的缺点
不能弥补差的认证机制 如果没有人的干预,不能管理攻击调查 不能知道安全策略的内容 不能弥补网络协议上的弱点 不能弥补系统提供质量或完整性的问题 不能分析一个堵塞的网络 不能处理有关packet-level的攻击
入侵检测概述 13
研究入侵检测的必要性-1
入侵检测是最近10余年发展起来的一种动态的监控、预 防或抵御系统入侵行为的安全机制。主要通过监控网 络、系统的状态、行为以及系统的使用情况,来检测系 统用户的越权使用以及系统外部的入侵者利用系统的安 全缺陷对系统进行入侵的企图。
入侵检测概述
4
网络安全的P2DR模型与入侵检测
Policy(安全策略) Protection(防护) Detection(检测) Response(响应)
从1996年到1999年,SRI开始EMERALD的研究,它是 NIDES的后继者。
入侵检测概述
8
主机和网络IDS的集成
分布式入侵检测系统 (DIDS)最早试图把 基于主机的方法和网 络监视方法集成在一 起。
DIDS的最初概念是采 用集中式控制技术, 向DIDS中心控制器发 报告。
DIDS主管 专家系统 用户界面
《入侵检测技术讲解》课件
基于签名
使用事先定义的攻击特征来识 别入侵活动。
常见的入侵检测技术
网络入侵检测系统(NIDS) 主机入侵检测系统(HIDS) 行为入侵检测系统(BIDS) 异常入侵检测系统(AIDS) 混合入侵检测系统(HIDS/NIDS)
应用场景
1
企业安全
保护企业网络和敏感数据,预防潜在的
政府机构
2
入侵行为。
维护国家安全,预警和阻止恶意入侵。
3
云计算
检测和防范云环境中的入侵行为。
挑战和未来发展
复杂性增加
随着网络的复杂性和攻击手段的 进化,入侵检测变得更加困难。
机器学习与AI
新威胁的出现
机器学习和人工智能的发展,有 望提高入侵检测的准确性和效率。
新的威胁和攻击手段的不断出现, 需要不断更新入侵检测技术。
入侵检测系统通过分析网 络流量,识别出潜在的入 侵行为和攻击特征。
2 行为分析
该方法通过对用户行为进 行建模和分析,检测可能 存在的异常行为。
3 特征匹配
入侵检测系络入侵检测
监控网络中的入侵行为和攻击。
主机入侵检测
监视和检测主机上的入侵行为。
总结和展望
入侵检测技术在保护网络安全方面发挥了重要作用。随着技术的不断发展, 我们可以期待更高效、智能的入侵检测系统的出现。
《入侵检测技术讲解》 PPT课件
欢迎来到《入侵检测技术讲解》,本课程将深入讲解入侵检测技术的定义、 原理、分类、应用场景以及挑战和未来发展。让我们开始探索这个引人入胜 的领域吧!
定义和背景
入侵检测技术是一种保护计算机网络安全的重要手段,它的作用是监视和检测网络中的异常活动和安全漏洞。
基本原理
1 流量分析
《入侵检测技术》PPT课件 (2)
后再从中选出最适合的规则进行推理,得出判断结论。
入侵行为一般不会通过一条规则就被发现,一条规则判断
完成,其结果可以作为新的事实加入到已有事实的集合中,
和其它事实和信息一道可能又会引起新的规则的执行;
如此往复,直到没有新的规则被执行,对入侵行为的检测
才结束,得出是否存在入侵行为的结论。
2021/7/9
的软硬件系统。
基本方法:收集计算机系统和网络的信息,并对
这些信息加以分析,对保护的系统进行安全审计、
监控、攻击识别并作出实时的反应。
2021/7/9
入侵检测主要目的
(1)识别攻击行为和捕获入侵者。
(2)应急响应:及时阻止攻击活动。
(3)检测安全防范的效果。
(4)发现新的攻击。
(5)威慑攻击者。
2021/7/9
根据已知的入侵模式来检测入侵。将已知的
攻击行为编成某种特征模式,如果入侵者攻击
方式恰好匹配上检测系统中的模式库,则攻击
行为就被检测到。
2021/7/9
模式匹配
ห้องสมุดไป่ตู้
模式匹配:
将已知的攻击行为编成某种特征模式(signature),
形成特征库;
信息收集模块根据特征库中的特征收集被保护系
统的特征信息;
某种模型进行处理的结果,能够稳定、准确的区
分开正常和异常行为。
2021/7/9
人工神经网络
人工神经网络通过对大量神经元和神经元所组成
的网络的模拟,实现了对人脑收集、加工、存储
以至运用信息能力的模拟。
外界信号是人工神经网络的输入,人脑对信号的
反应对应人工神经网络的输出,神经元是大量的
简单的处理单元,神经元对外界信号的传递效果
入侵行为一般不会通过一条规则就被发现,一条规则判断
完成,其结果可以作为新的事实加入到已有事实的集合中,
和其它事实和信息一道可能又会引起新的规则的执行;
如此往复,直到没有新的规则被执行,对入侵行为的检测
才结束,得出是否存在入侵行为的结论。
2021/7/9
的软硬件系统。
基本方法:收集计算机系统和网络的信息,并对
这些信息加以分析,对保护的系统进行安全审计、
监控、攻击识别并作出实时的反应。
2021/7/9
入侵检测主要目的
(1)识别攻击行为和捕获入侵者。
(2)应急响应:及时阻止攻击活动。
(3)检测安全防范的效果。
(4)发现新的攻击。
(5)威慑攻击者。
2021/7/9
根据已知的入侵模式来检测入侵。将已知的
攻击行为编成某种特征模式,如果入侵者攻击
方式恰好匹配上检测系统中的模式库,则攻击
行为就被检测到。
2021/7/9
模式匹配
ห้องสมุดไป่ตู้
模式匹配:
将已知的攻击行为编成某种特征模式(signature),
形成特征库;
信息收集模块根据特征库中的特征收集被保护系
统的特征信息;
某种模型进行处理的结果,能够稳定、准确的区
分开正常和异常行为。
2021/7/9
人工神经网络
人工神经网络通过对大量神经元和神经元所组成
的网络的模拟,实现了对人脑收集、加工、存储
以至运用信息能力的模拟。
外界信号是人工神经网络的输入,人脑对信号的
反应对应人工神经网络的输出,神经元是大量的
简单的处理单元,神经元对外界信号的传递效果
《入侵检测》课件
实时性
系统对入侵事件的响应速度, 快速响应能够减少损失。
可扩展性
系统能够随着网络规模和安全 需求的变化进行扩展的能力。
04 入侵检测面临的挑战与解 决方案
高性能计算环境的挑战与解决方案
挑战
随着高性能计算环境的普及,入侵检测系统需要处理的数据量急剧增加,对数据处理速 度的要求也越来越高。
解决方案
采用分布式计算技术,将数据分散到多个节点进行处理,提高数据处理速度。同时,利 用GPU加速技术,提高算法的并行处理能力,进一步提高数据处理速度。
网络型
部署在网络中的关键节点,实时监测网络流量和数据 包内容。
主机型
安装在目标主机上,监测主机的系统日志、进程等信 息。
混合型
结合网络型和主机型的特点,同时监测网络和主机环 境。
入侵检测系统的性能指标
检测率
能够检测到的入侵事件的比例 ,是衡量入侵检测系统性能的
重要指标。
误报率
将正常行为误判为入侵事件的 比例,低误报率可以提高系统 的可信度。
要点二
面临的挑战
利用量子计算的并行性和量子纠缠等特性,可以加速加密 和解密等计算密集型任务,提高入侵检测的性能和安全性 。
目前量子计算仍处于发展初期,技术尚未成熟,且量子计 算在入侵检测中的应用仍面临许多挑战和限制。
THANKS FOR WATCHING
感谢您的观看
02 入侵检测技术
基于异常的入侵检测技术
总结词
基于异常的入侵检测技术通过监测系统中的异常行为或流量模式来识别入侵行 为。
详细描述
该技术通过建立正常行为模式,并将实际行为与该模式进行比较,以检测异常 行为。如果发现异常行为,则触发警报。
基于误用的入侵检测技术
保障与安全14入侵检测39页PPT
·可以识别特定类型的攻击,并进行报警,作出防御响应;
·可以使管理人员最新的版本升级添加到程序中;
·允许非专业人员从事系统安全工作;
·可以为信息系统安全提供指导。
2019/11/23
11
2. 局限
但是,与其他任何工具一样,入侵检测也不是万能的,它们的使用存 在如下局限: ·在无人干预的情形下,无法执行对攻击的检测; ·无法感知组织(公司)安全策略的内容; ·不能弥补网络协议的漏洞; ·不能弥补系统提供信息的质量或完整性问题; ·不能分析网络繁忙时的所有事物; ·不能总是对数据包级的攻击进行处理; · ……
根据入侵检测的信息来源不同,可以将入侵检测系统
分为两类:
基于主机的入侵ቤተ መጻሕፍቲ ባይዱ测系统和基于网络的入侵检测系统。
1、基于主机的入侵检测系统:主要用于保护运行关键应 用的服务器。它通过监视与分析主机的审计记录和日志 文件来检测入侵。日志中包含发生在系统上的不寻常和 不期望活动的证据,这些证据可以指出有人正在入侵或 已成功入侵了系统。通过查看日志文件,能够发现成功 的入侵或入侵企图,并很快地启动相应的应急响应程序。
2019/11/23
13
误报
没有一个入侵检测能无敌于误报,因为没有一 个应用系统不会发生错误,原因主要有四个方面。
1、缺乏共享数据的机制 2、缺乏集中协调的机制 3、缺乏揣摩数据在一段时间内变化的能力 4、缺乏有效的跟踪分析
2019/11/23
14
2 入侵检测系统的类型和性能比较
2019/11/23
2
简单地说,入侵检测系统是这样工作的:若有一个 计算机系统,它与网络连接着,或许也同Internet连接, 由于一些原因,允许网络上的授权用户访问该计算机。 例如,有一个连接着Internet的Web服务器,允许一定的 客户、员工和一些潜在的客户访问存放在该Web服务器 上的Web页面。然而,不希望其他员工、顾客或未知的 第三方的未授权访问。一般情况下,可以采用一个防火 墙或者一些类型的认证系统阻止未授权访问。然而,有 时简单的防火墙措施或者认证系统可能被攻破。入侵检 测是一系列在适当的位置上对计算机未授权访问进行警 告的机制。对于假冒身份的入侵者,入侵检测系统也能 采取一些措施来拒绝其访问。
入侵检测系统ppt课件
网络入侵的特点
没有地域和时间的限制; 通过网络的攻击往往混杂在大量正常的网络活动之间,
隐蔽性强; 入侵手段更加隐蔽和复杂。
3
为什么需要IDS?
单一防护产品的弱点
防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁
4
为什么需要IDS?
关于防火墙
网络边界的设备,只能抵挡外部來的入侵行为 自身存在弱点,也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护,合法的使用者仍会非法地使用
入侵检测系统IDS
1
黑客攻击日益猖獗,防范问题日趋 严峻
政府、军事、邮电和金融网络是黑客攻击的主要目 标。即便已经拥有高性能防火墙等安全产品,依然 抵挡不住这些黑客对网络和系统的破坏。据统计, 几乎每20秒全球就有一起黑客事件发生,仅美国每 年所造成的经济损失就超过100亿美元。
2
网络入侵的特点
包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效
20
主动响应 被动响应
响应动作
21
入侵检测性能关键参数
误报(false positive):如果系统错误地将异常活动定 义为入侵
漏报(false negative):如果系统未能检测出真正的 入侵行为
12
入侵检测的工作过程
信息收集
检测引擎从信息源收集系统、网络、状态和行为信息。
信息分析
从信息中查找和分析表征入侵的异常和可疑信息。
告警与响应
根据入侵性质和类型,做出相应的告警和响应。
13
信息收集
入侵检测的第一步是信息收集,收集内容包括系统 、网络、数据及用户活动的状态和行为
没有地域和时间的限制; 通过网络的攻击往往混杂在大量正常的网络活动之间,
隐蔽性强; 入侵手段更加隐蔽和复杂。
3
为什么需要IDS?
单一防护产品的弱点
防御方法和防御策略的有限性 动态多变的网络环境 来自外部和内部的威胁
4
为什么需要IDS?
关于防火墙
网络边界的设备,只能抵挡外部來的入侵行为 自身存在弱点,也可能被攻破 对某些攻击保护很弱 即使透过防火墙的保护,合法的使用者仍会非法地使用
入侵检测系统IDS
1
黑客攻击日益猖獗,防范问题日趋 严峻
政府、军事、邮电和金融网络是黑客攻击的主要目 标。即便已经拥有高性能防火墙等安全产品,依然 抵挡不住这些黑客对网络和系统的破坏。据统计, 几乎每20秒全球就有一起黑客事件发生,仅美国每 年所造成的经济损失就超过100亿美元。
2
网络入侵的特点
包括文件和目录的内容及属性 在发现被更改的、被安装木马的应用程序方面特别有效
20
主动响应 被动响应
响应动作
21
入侵检测性能关键参数
误报(false positive):如果系统错误地将异常活动定 义为入侵
漏报(false negative):如果系统未能检测出真正的 入侵行为
12
入侵检测的工作过程
信息收集
检测引擎从信息源收集系统、网络、状态和行为信息。
信息分析
从信息中查找和分析表征入侵的异常和可疑信息。
告警与响应
根据入侵性质和类型,做出相应的告警和响应。
13
信息收集
入侵检测的第一步是信息收集,收集内容包括系统 、网络、数据及用户活动的状态和行为
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
版权所有,盗版必纠
14.2.2 入侵检测技术的发展
• 3.集成网络分析和管理功能 • 入侵检测不但对网络攻击是一个检测。同时,侵检测可以收到网络中的
所有数据,对网络的故障分析和健康管理也可起到重大作用。当管理员 发现某台主机有问题时,也希望能马上对其进行管理。入侵检测也不应 只采用被动分析方法,最好能和主动分析结合。所以,入侵检测产品集 成网管功能,扫描器(Scanner),嗅探器(Sniffer)等功能是以后发展的 方向。
行攻击尝试,而系统相应服务开放,只是漏洞已经修补,那么这一次攻 击是否需要报警,这就是一个需要管理员判断的问题。因为这也代表了 一种攻击的企图。但大量的报警事件会分散管理员的精力,反而无法对 真正的攻击做出反映。和误报相对应的是漏报,随着攻击的方法不断更 新,入侵检测系统是否能报出网络中所有的攻击也是一个问题。
版权所有,盗版必纠
14.2 入侵检测技术的发展方向
• 14.2.1 入侵技术的发展
• 无论从规模与方法上入侵技术近年来都发生了变化。入侵的手段与技 术也有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个 方面:
•
入侵或攻击的综合化与复杂化。入侵的手段有多种,入侵者往往采
取一种攻击手段。由于网络防范技术的多重化,攻击的难度增加,使得
第14章 入侵检测技术的发展
李剑
北京邮电大学信息安全中心 E-mail: lijian@
电话:130-01936882
版权所有,盗版必纠
概述
• 本章从现有入侵检测技术的局限性入手,给 出了目前大多数入侵检测产品存在的一些问题。 然后总结了入侵技术的发展,给出了入侵检测 技术发展的新方向。最后,本章介绍了IPS、 IMS等技术。
侵与攻击都不可相提并论。信息战的成败与国家主干通信网络的安全是
与任何主权国家领土安全一样的国家安全。
版权所有,盗版必纠
14.2 入侵检测技术的发展方向
•
入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机
执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝
服务(DDoS)在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻
版权所有,盗版必纠
14.2.2 入侵检测技术的发展
• 由于网络入侵技术的发展以及新的入侵检测技术的出现,今后的入侵检 测技术大致可朝下述方向发展。
• 1.分析技术的改进 • 入侵检测误报和漏报的解决最终依靠分析技术的改进。目前入侵检测分
析方法主要有:统计分析、模式匹配、数据重组、协议分析、行为分析 等。 • 统计分析是统计网络中相关事件发生的次数,达到判别攻击的目的。模 式匹配利用对攻击的特征字符进行匹配完成对攻击的检测。数据重组是 对网络连接的数据流进行重组再加以分析,而不仅仅分析单个数据包。
•
入侵或攻击的规模扩大。对于网络的入侵与攻击,在其初期往往是
针对于某公司或一个网站,其攻击的目的可能为某些网络技术爱好者的
猎奇行为,也不排除商业的盗窃与破坏行为。由于战争对电子技术与网
络技术的依赖性越来越大,随之产生、发展、逐步升级到电子战与信息
战。对于信息战,无论其规模与技术都与一般意义上的计算机网络的入
版权所有,盗版必纠
Hale Waihona Puke 14.1 现有入侵检测技术的局限性
入侵检测系统有如此重大的作用,但在国内的应用远远谈不到普及, 一方面是由于用户的认知程度较底,另一方面是由于入侵检测是一门比 较新的技术,还存在一些技术上的困难,不是所有厂商都有研发入侵检 测产品的实力。目前的入侵检测产品大多存在这样一些问题:
1. 误报和漏报的矛盾 数据进行分析,如果攻击者对系统进
击的单机信息模式与正常通信无差异,所以往往在攻击发动的初期不易
被确认。分布式攻击是近期最常用的攻击手段。
• 攻击对象的转移。入侵与攻击常以网络为侵犯的主体,但近期来的攻击 行为却发生了策略性的改变,由攻击网络改为攻击网络的防护系统,且 有愈演愈烈的趋势。现已有专门针对IDS作攻击的报道。攻击者详细地 分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点,然后加 以攻击。
版权所有,盗版必纠
14.2.2 入侵检测技术的发展
• 协议分析技术是在对网络数据流进行重组的基础上,理解应用协议,再 利用模式匹配和统计分析的技术来判明攻击。例如:某个基于HTTP协议 的攻击含有ABC特征,如果此数据分散在若干个数据包中,如:一个数 据包含A,另外一个包含B,另外一个包含C,则单纯的模式匹配就无法 检测,只有基于数据流重组才能完整检测。而利用协议分析。则只在符 合的协议(HTTP)检测到此事件才会报警。假设此特征出现在Mail里,因 为不符合协议,就不会报警。利用此技术,有效的降低了误报和漏报。
入侵者在实施入侵或攻击时往往同时采取多种入侵的手段,以保证入侵
的成功几率,并可在攻击实施的初期掩盖攻击或入侵的真实目的。
版权所有,盗版必纠
14.2 入侵检测技术的发展方向
•
入侵主体对象的间接化,即实施入侵与攻击的主体的隐蔽化。通过
一定的技术,可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术
后,对于被攻击对象攻击的主体是无法直接确定的。
版权所有,盗版必纠
14.2.2 入侵检测技术的发展
• 行为分析技术不仅简单分析单次攻击事件,还根据前后发生的事件确认 是否确有攻击发生,攻击行为是否生效,是入侵检测分析技术的最高境 界。但目前由于算法处理和规则制定的难度很大,目前还不是非常成熟, 但却是入侵检测技术发展的趋势。目前最好综合使用多种检测技术,而 不只是依靠传统的统计分析和模式匹配技术。另外,规则库是否及时更 新也和检测的准确程度相关。
版权所有,盗版必纠
14.2.2 入侵检测技术的发展
• 2.内容恢复和网络审计功能的引入 • 前面已经提到,入侵检测的最高境界是行为分析。但行为分析前还不是
很成熟,因此,个别优秀的入侵检测产品引入了内容恢复和网络审计功 能。 • 内容恢复即在协议分析的基础上,对网络中发生的应为加以完整的重组 和记录,网络中发生的任何行为都逃不过它的监视。网络审计即对网络 中所有的连接事件进行记录。入侵检测的接入方式决定入侵检测系统中 的网络审计不仅类似防火墙可以记录网络进出信息,还可以记录网络内 部连接状况,此功能对内容恢复无法恢复的加密连接尤其有用。
14.2.2 入侵检测技术的发展
• 3.集成网络分析和管理功能 • 入侵检测不但对网络攻击是一个检测。同时,侵检测可以收到网络中的
所有数据,对网络的故障分析和健康管理也可起到重大作用。当管理员 发现某台主机有问题时,也希望能马上对其进行管理。入侵检测也不应 只采用被动分析方法,最好能和主动分析结合。所以,入侵检测产品集 成网管功能,扫描器(Scanner),嗅探器(Sniffer)等功能是以后发展的 方向。
行攻击尝试,而系统相应服务开放,只是漏洞已经修补,那么这一次攻 击是否需要报警,这就是一个需要管理员判断的问题。因为这也代表了 一种攻击的企图。但大量的报警事件会分散管理员的精力,反而无法对 真正的攻击做出反映。和误报相对应的是漏报,随着攻击的方法不断更 新,入侵检测系统是否能报出网络中所有的攻击也是一个问题。
版权所有,盗版必纠
14.2 入侵检测技术的发展方向
• 14.2.1 入侵技术的发展
• 无论从规模与方法上入侵技术近年来都发生了变化。入侵的手段与技 术也有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个 方面:
•
入侵或攻击的综合化与复杂化。入侵的手段有多种,入侵者往往采
取一种攻击手段。由于网络防范技术的多重化,攻击的难度增加,使得
第14章 入侵检测技术的发展
李剑
北京邮电大学信息安全中心 E-mail: lijian@
电话:130-01936882
版权所有,盗版必纠
概述
• 本章从现有入侵检测技术的局限性入手,给 出了目前大多数入侵检测产品存在的一些问题。 然后总结了入侵技术的发展,给出了入侵检测 技术发展的新方向。最后,本章介绍了IPS、 IMS等技术。
侵与攻击都不可相提并论。信息战的成败与国家主干通信网络的安全是
与任何主权国家领土安全一样的国家安全。
版权所有,盗版必纠
14.2 入侵检测技术的发展方向
•
入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机
执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝
服务(DDoS)在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻
版权所有,盗版必纠
14.2.2 入侵检测技术的发展
• 由于网络入侵技术的发展以及新的入侵检测技术的出现,今后的入侵检 测技术大致可朝下述方向发展。
• 1.分析技术的改进 • 入侵检测误报和漏报的解决最终依靠分析技术的改进。目前入侵检测分
析方法主要有:统计分析、模式匹配、数据重组、协议分析、行为分析 等。 • 统计分析是统计网络中相关事件发生的次数,达到判别攻击的目的。模 式匹配利用对攻击的特征字符进行匹配完成对攻击的检测。数据重组是 对网络连接的数据流进行重组再加以分析,而不仅仅分析单个数据包。
•
入侵或攻击的规模扩大。对于网络的入侵与攻击,在其初期往往是
针对于某公司或一个网站,其攻击的目的可能为某些网络技术爱好者的
猎奇行为,也不排除商业的盗窃与破坏行为。由于战争对电子技术与网
络技术的依赖性越来越大,随之产生、发展、逐步升级到电子战与信息
战。对于信息战,无论其规模与技术都与一般意义上的计算机网络的入
版权所有,盗版必纠
Hale Waihona Puke 14.1 现有入侵检测技术的局限性
入侵检测系统有如此重大的作用,但在国内的应用远远谈不到普及, 一方面是由于用户的认知程度较底,另一方面是由于入侵检测是一门比 较新的技术,还存在一些技术上的困难,不是所有厂商都有研发入侵检 测产品的实力。目前的入侵检测产品大多存在这样一些问题:
1. 误报和漏报的矛盾 数据进行分析,如果攻击者对系统进
击的单机信息模式与正常通信无差异,所以往往在攻击发动的初期不易
被确认。分布式攻击是近期最常用的攻击手段。
• 攻击对象的转移。入侵与攻击常以网络为侵犯的主体,但近期来的攻击 行为却发生了策略性的改变,由攻击网络改为攻击网络的防护系统,且 有愈演愈烈的趋势。现已有专门针对IDS作攻击的报道。攻击者详细地 分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点,然后加 以攻击。
版权所有,盗版必纠
14.2.2 入侵检测技术的发展
• 协议分析技术是在对网络数据流进行重组的基础上,理解应用协议,再 利用模式匹配和统计分析的技术来判明攻击。例如:某个基于HTTP协议 的攻击含有ABC特征,如果此数据分散在若干个数据包中,如:一个数 据包含A,另外一个包含B,另外一个包含C,则单纯的模式匹配就无法 检测,只有基于数据流重组才能完整检测。而利用协议分析。则只在符 合的协议(HTTP)检测到此事件才会报警。假设此特征出现在Mail里,因 为不符合协议,就不会报警。利用此技术,有效的降低了误报和漏报。
入侵者在实施入侵或攻击时往往同时采取多种入侵的手段,以保证入侵
的成功几率,并可在攻击实施的初期掩盖攻击或入侵的真实目的。
版权所有,盗版必纠
14.2 入侵检测技术的发展方向
•
入侵主体对象的间接化,即实施入侵与攻击的主体的隐蔽化。通过
一定的技术,可掩盖攻击主体的源地址及主机位置。即使用了隐蔽技术
后,对于被攻击对象攻击的主体是无法直接确定的。
版权所有,盗版必纠
14.2.2 入侵检测技术的发展
• 行为分析技术不仅简单分析单次攻击事件,还根据前后发生的事件确认 是否确有攻击发生,攻击行为是否生效,是入侵检测分析技术的最高境 界。但目前由于算法处理和规则制定的难度很大,目前还不是非常成熟, 但却是入侵检测技术发展的趋势。目前最好综合使用多种检测技术,而 不只是依靠传统的统计分析和模式匹配技术。另外,规则库是否及时更 新也和检测的准确程度相关。
版权所有,盗版必纠
14.2.2 入侵检测技术的发展
• 2.内容恢复和网络审计功能的引入 • 前面已经提到,入侵检测的最高境界是行为分析。但行为分析前还不是
很成熟,因此,个别优秀的入侵检测产品引入了内容恢复和网络审计功 能。 • 内容恢复即在协议分析的基础上,对网络中发生的应为加以完整的重组 和记录,网络中发生的任何行为都逃不过它的监视。网络审计即对网络 中所有的连接事件进行记录。入侵检测的接入方式决定入侵检测系统中 的网络审计不仅类似防火墙可以记录网络进出信息,还可以记录网络内 部连接状况,此功能对内容恢复无法恢复的加密连接尤其有用。