网络入侵检测技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3、入侵行为的分类 误用入侵:指利用系统的缺陷进行进攻的行为; 异常入侵:指背离系统正常使用的行为。 4、入侵检测系统的优点和不足 优点: ◦ 能够使现有的安防体系更完善; ◦ 能够更好地掌握系统的情况; ◦ 能够追踪攻击者的攻击线路; ◦ 界面友好,便于建立安防体系; ◦ 能够抓住肇事者。 不足 ◦ 不能够在没有用户参与的情况下对攻击行为展开调查; ◦ 不能够在没有用户参与的情况下阻止攻击行为的发生; ◦ 不能克服网络协议方面的缺陷; ◦ 不能克服设计原理方面的缺陷; ◦ 响应不够及时,签名数据库更新得不够快。经常是事后才检测到, 适时性不好。
安徽新华电脑专修学院
www.ahxh.cn
2、入侵检测系统介绍 1)360入侵检测
2)Easyspy 它是一款网络入侵检测和流量实时监控软件。作为一个入侵 检测系统,用来快速发现并定位诸如arp攻击、dos/ddos等恶意 攻击行为,帮助发现潜在的安全隐患。 第一个表显示的是网络的使用率。 第二个表显示的是网络的每秒钟通过的包数量。 第三个表显示的是网络的每秒错误率。 通过这三个表可以直观的观察到网络的使用情况。
1)事件产生器 负责原始数据采集,并将收集到的原始数据转换为事件,向 系统的其它部分提供此事件。 入侵检测很大程度上依赖于收集信息的可靠性和正确性,因 此,要保证用来检测网络系统的软件的完整性,特别是入侵 检测系统软件本身应具有相当强的坚固性,防止被篡改而收 集到错误的信息 收集内容包括:日志文件、网络流量、文件异常变化、程序 执行中的异常行为、系统、网络数据及用户活动的状态和行 为。
2、高级检测技术 文件完整性检查、计算机免疫检测、遗传算法、模糊证据 理论、数据挖掘、数据融合等技术。 数据挖掘:从大型数据库或数据仓库中提取人们感兴趣的 知识,这些知识是隐含的,事先未知的潜在有用信息,提 取的知识一般可表示为概念、规则、规律、模式等形式
三、入侵检测系统
1、入侵检测系统概念与功能 1)入侵检测系统 入侵检测系统(简称IDS)是一种对网络传输进行即时监视, 在发现可疑传输时发出警报或采取主动反应措施的网络安 全设备。它与其他网络安全设备的不同之处在于,IDS是一 种积极的安全防护技术。 2)入侵检测系统的主要功能 监测并分析用户和系统的活动。 核查系统配置和漏洞。 评估系统关键资源和数据文件的完整性。 识别已知的攻击行为。 统计分析异常行为。 对操作系统进行日志管理,并识别违反安全策略的用户活 动。
1、异常检测技术 异常检测技术首先为用户和系统的所有正常行为总结活动 规律并建立行为模型,那么入侵检测系统可以将当前捕获 到的网络行为与行为模型相对比,若入侵行为偏离了正常 的行为轨迹,就可以被检测出来。这样就可以判断是否存 在网络入侵。它包括:概率统计异常检测、模式预测异常 检测、神经网络异常检测、数据挖掘异常检测等。 概率统计异常检测法 根据异常检测器观察主体的活动,然后产生刻划这些活动的 行为轮廓(用户特征表) 每一个轮廓保存记录Biblioteka Baidu体当前行为,并定时将当前轮廓与历 史轮廓合并形成统计轮廓,通过比较当前轮廓与统计轮廓来 判定异常行为。 缺点:由于用户行为的复杂性,要想准确地匹配一个用户的 历史行为非常困难,容易造成系统误报和漏报
安徽新华电脑专修学院
www.ahxh.cn
2)事件分析器 接收事件信息,对其进行分析,判断是否为入侵行为或异常 现象,最后将判断的结果转变为警告信息。 分析方法 模式匹配:将收集到的信息与已知的网络入侵数据库进行比 较,从而发现违背安全策略的行为。
统计分析:首先给系统对象(如用户、文件、目录和设备等) 创建一个统计描述,统计正常使用时的一些测量属性(如访问 次数、操作失败次数和延时等);测量属性的平均值和偏差将 被用来与网络、系统的行为进行比较,任何观察值在正常值 范围之外时,就认为有入侵发生。 完整性分析:主要关注某个文件或对象是否被更改。 3)事件数据库 从事件产生器或事件分析器接收数据,一般会将数据进行较 长时间的保存。 4)响应单元 根据警告信息做出反应。 也可做出强烈反应:切断连接、改变文件属性等。
二、入侵检测技术。
入侵检测技术是检测和响应计算机误用的学科,其作用包括 威慑、检测、响应、损失情况评估、攻击预测等。入侵检测 技术是为保证计算机系统的安全而设计的一种能够及时发现 并报告系统中未授权或异常现象的技术。 入侵检测技术是一种网络信息安全新技术,它可以弥补防火 墙的不足,因此,入侵检测系统被认为是防火墙之后的第二 道安全闸门。 入侵检测技术是一种主动保护系统免受黑客攻击的网络安全 技术。 如:异常检测技术、误用检测技术、高级检测技术。
5、IDS 技术的发展方向 1)分布式入侵检测 针对分布式攻击的检测方法 使用分布式的方法来检测分布式的攻击,关键技术为检测信 息的协同处理与入侵攻击的全局信息提取 2)智能化入侵检测 使用智能化的手法也实现入侵检测,现阶段常用的有神经网 络、模糊算法、遗传算法、免疫原理等技术 3)全面的安全防御方案 采用安全工程风险管理的理论也来处理网络安全问题,将网 络安全做为一个整体工程来处理,从管理、网络结构、防火 墙、防病毒、入侵检测、漏洞扫描等多方面对网结进行安全 分析
1、什么是入侵检测 通过从计算机网络或计算机系统中的若干关键点收集信息并 对其进行分析,从中发现网络或系统中是否有违反安全策略 的行为和遭到袭击的迹象的一种安全技术。 假如说防火墙是一幢大楼的门锁,那入侵监测系统就是这幢 大楼里的监视系统。
2、入侵检测系统的基本结构 IDS通常包括以下功能部件 事件产生器 事件分析器 事件数据库 响应单元