信息安全概论最新版精品课件第9章
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
版权所有,盗版必纠
9.4 入侵检测系统工作流程
• 9.3.3 按照所采用的技术进行分类
• 第三步:信息存储。当入侵检测系统捕获到有攻击发 生时,为了便于系统管理人员对攻击信息进行査看和 对攻击行为进行分析,还需要将入侵检测系统收集到 的信息进行保存,这些数据通常存储到用户指定的日 志文件或特定的数据库中。
版权所有,盗版必纠
9.3 入侵检测技术分类 • 9.3.2 根据检测对象来分类
• 1.基于主机的IDS,英文为Host-besed IDS
版权所有,盗版必纠
9.3 入侵检测技术分类 • 9.3.2 根据检测对象来分类
• 2.基于网络的IDS, Network-based IDS,行业上称之为 NID
版权所有,盗版必纠
9.1 入侵检测系统基本知识
入侵检测,
版权所有,盗版必纠
9.1 入侵检测系统基本知识
入侵检测系统是一个相对主动的安全部件,可以把入侵 检测看成网络防火墙的有效补充。图 9.2是一个入侵检 测系统的基本部署图。
版权所有,盗版必纠
9.1 入侵检测系统基本知识
入侵检测技术的主要作用体现以下这些方面: 监控、分析用户和系统的活动; 评估关键系统和数据文件的完整性; 识别攻击的活动模式; 对异常活动进行统计分析 对操作系统进行审计跟踪管理,识别违反政策的
返回
用户动
版权所有,盗版必纠
9.1 入侵检测系统基本知识
入侵检测作为安全技术其主要目的有: (1)识别入侵者; (2)识别入侵行为: (3)检测和监视已成功的安全突破; (4)为对抗入侵及时提供重要信息,阻止事件的发生 和事态的扩大。 从这个角度看待安全问题,入侵检测非常必要,它可以 有效弥补传銃安全保护措施的不足。
版权所有,盗版必纠
9.2入侵检测系统模型 • 1. Denning入侵检测模型
• Denning入侵检测模型是一个基于规则的式匹配系统。该模 型没有包含攻击方法和系统漏洞。它主要由主体、对象、审计 记录、活动剖面、异常记录和规则集处理引擎六个部分组成, 如图9.3所示。
版权所有,盗版必纠
9.2入侵检测系统模型 • 2.层次式入侵检测模型 • 层次化入侵模型对收集到的数据进行加工抽象
版权所有,盗版必纠
9.6 入侵检测技术存在的问题及发展趋势
• 1.入侵检测技术存在的问题。 • 入侵检测技术存在的问题主要为:IDS对攻击的检测效率和其
对自身攻击的防护。 2. 入侵检测技术的发展趋势 • 入侵检测技术的主要发展方向可以概括为: • (1) 分布式入侵检测 • (2)应用层入侵检测 • (3)智能入侵检测 • (4)与网络安全技术相结合 • (5)其它相关技术
版权所有,盗版必纠
9.2入侵检测系统模型 • 3. 管理式入侵检测模型
版权所有,盗版必纠
9.3 入侵检测技术分类
• 9.3.1 根据各个模块运行分布方式的分类
• 根据系统各个模块运行的分布不同,可以将入侵检测系统分为如下两类: • 1.集中式入侵检测系统。集中式入侵检测系统的各个模块包括信息的收集
• 第四步:攻击响应。对攻击信息进行了分析并确定攻 击类型后,入侵检测系统会根据用户的设置,对攻击 行为进行相应的处理,如发出警报、给系统管理员发 邮件等方式提醒用户。
版权所有,盗版必纠
9.5 典型的入侵检测系统Sn开放源代码的入侵检测系统Snort。直至今天 ,Snort已发展成为一个多平台,实时流量分析 ,网络IP数据包记录等特性的强大的网络入侵 检测系统。在网上可以通过免费下载获得 Snort,并且只需要几分钟就可以安装并开始使 用它。如图9.9为Snort的结构。
和关联操作,简了对跨域单机的入侵行为识别 。层次化模型将IDS分为六个层次,由低到高 分别是数据层 、事件层、主体层、上下文层 、威胁层、安全状态层。
版权所有,盗版必纠
9.2入侵检测系统模型 • 3. 管理式入侵检测模型
• 管理式入侵检测模型英文名称叫做SNMP-IDSM (Simple Network Management Protocol - Intrusion Detection Systems Management),它从网络管理的角度出发解决多个 IDS协同工作的问题。SNMP-IDSM以SNMP协议为公共语言 来实现IDS之间的消息交换和协同检测。图9.4展示了SNMPIDSM的工作原理。
第9章 入侵检测技术
李剑
博士 教授
010- 6228- 3259
November 24, 2020
版权所有,盗版必纠
概述
本章主要介绍入侵检测系统基本知识、入侵检测系统的分类、 入侵检测系统的工作流程、入侵检测系统面临的问题及发展趋 势。
版权所有,盗版必纠
9.1 入侵检测系统基本知识
入侵检测,顾名思义,就是对入侵行为的发现。入 侵检测系统(IDS: Intrusion Detection System)就 是能够完成入侵检测功能的计算机软硬件系统。它通过 对计算机网络或计算机系统中若干关键点收集信息并对 其进行分析,从中发现网络或系统中是否有违反安全策 略的行为和被攻击的迹象。入侵检测技术就是通过从计 算机网络或计算机系统中的若干关键点收集信息并对其 进行分析,从中发现网络或系统中是否有违反安全策略 的行为和遭到袭击的迹象的一种安全技术
版权所有,盗版必纠
9.5 典型的入侵检测系统Snort介绍 • 如图9.9为Snort的结构。
版权所有,盗版必纠
9.5 典型的入侵检测系统Snort介绍
• Snort的结构由4大软件模块组成,它们分别是: • (1)数据包捕获模块——负责监听网络数据包,对网络进行
分。 • (2)预处理模块——该模块用相应的插件来检查原始数据包
版权所有,盗版必纠
9.3 入侵检测技术分类 • 9.3.3 按照所采用的技术进行分类
• 1.异常入侵检测系统。 • 异常入侵检测系统是将系统正常行为的信息作为标准
,将监控中的活动与正常行为相比较。在异常入侵检 测系统中,假设所有与正常行为不同的行为都视为异 常,而一次异常视为一次入侵。可以人为的建立系统 正常所有行为事件,那么理论上可以把与正常事件不 同的所有行为视为可疑事件。
,从中发现原始数据的“行为”,如端口扫描,IP碎片等,数 据包经过预处理后才传到检测引擎。 • (3)检测模块——该模块是Snort的核心模块。当数据包从 预处理器送过来后,检测引擎依据预先设置的规则检查数据包 ,一旦发现数据包中的内容和某条规则相匹配,就通知报警模 块。 • (4)报警/日志模块——经检测引擎检查后的Snort数据需要 以某种方式输出。
版权所有,盗版必纠
9.3 入侵检测技术分类 • 9.3.3 按照所采用的技术进行分类
• 1.异常入侵检测系统。
版权所有,盗版必纠
9.3 入侵检测技术分类 • 9.3.3 按照所采用的技术进行分类
• 2. 误用入侵检测系统。 • 误用入侵检测系统是收集非正常操作的行为,建立相
关的攻击特征库,依据所有入侵行为都能够用一种特 征来表示,那么所有已知的入侵方法都可以用模式匹 配的方法发现。
版权所有,盗版必纠
9.2入侵检测系统模型
在入侵检测技术模型的发展变化大概可以分成三个阶段, 分别是集中式、层次式和集成阶段。在每个阶段,研究 人员都出研究出对应的入侵检测模型。其中研究者在集 中式阶段研究出了通用入侵检测模型,在层次式阶段研 究出了层次入侵检测模型,在集成式阶段研究出了管理 式入侵检测模型。
版权所有,盗版必纠
9.3 入侵检测技术分类 • 9.3.3 按照所采用的技术进行分类
• 2. 误用入侵检测系统。
版权所有,盗版必纠
9.4 入侵检测系统工作流程
• 9.3.3 按照所采用的技术进行分类
• 通用的入侵检的工作流程主要分为以下四步: • 第一步:信息收集。信息收集的内容包括系统、网络
、数据及用户活动的状态和行为这一步非常重要,因 为入侵检测系统很大程度上依赖于收集信息的可靠性 和正确性。 • 第二步:信息分析。是指对收集到的数据信息,进行 处理分析。一般通过协议规则分析模式匹配、通缉分 析和完整性分析几种手段和方法来分析。
版权所有,盗版必纠
思考题
1.入侵检测系统的作用是什么? 2.什么是入侵检测技术? 3.什么是异常入侵检测系统? 4. 什么是误用入侵检测系统? 5. 入侵检测系统的工作流程是什么? 6. 简述入侵检测系统的未来发展趋势。
版权所有,盗版必纠
Thanks For Attendance!
版权所有,盗版必纠
和数据的分析以及响应单元都在一台主机上运行,这种方式适用于网络环 境比较简单的情况。 • 2. 分布式入侵检测系统。分布式入侵检测系统是指系统的各个模块分布在 网络中不同的计算机和设备上,分布性主要体现在数据收集模块上,如果 网络环境比较复杂或数据流量较大,那么数据分析模块也会分布,按照层 次性的原则进行组织。
9.4 入侵检测系统工作流程
• 9.3.3 按照所采用的技术进行分类
• 第三步:信息存储。当入侵检测系统捕获到有攻击发 生时,为了便于系统管理人员对攻击信息进行査看和 对攻击行为进行分析,还需要将入侵检测系统收集到 的信息进行保存,这些数据通常存储到用户指定的日 志文件或特定的数据库中。
版权所有,盗版必纠
9.3 入侵检测技术分类 • 9.3.2 根据检测对象来分类
• 1.基于主机的IDS,英文为Host-besed IDS
版权所有,盗版必纠
9.3 入侵检测技术分类 • 9.3.2 根据检测对象来分类
• 2.基于网络的IDS, Network-based IDS,行业上称之为 NID
版权所有,盗版必纠
9.1 入侵检测系统基本知识
入侵检测,
版权所有,盗版必纠
9.1 入侵检测系统基本知识
入侵检测系统是一个相对主动的安全部件,可以把入侵 检测看成网络防火墙的有效补充。图 9.2是一个入侵检 测系统的基本部署图。
版权所有,盗版必纠
9.1 入侵检测系统基本知识
入侵检测技术的主要作用体现以下这些方面: 监控、分析用户和系统的活动; 评估关键系统和数据文件的完整性; 识别攻击的活动模式; 对异常活动进行统计分析 对操作系统进行审计跟踪管理,识别违反政策的
返回
用户动
版权所有,盗版必纠
9.1 入侵检测系统基本知识
入侵检测作为安全技术其主要目的有: (1)识别入侵者; (2)识别入侵行为: (3)检测和监视已成功的安全突破; (4)为对抗入侵及时提供重要信息,阻止事件的发生 和事态的扩大。 从这个角度看待安全问题,入侵检测非常必要,它可以 有效弥补传銃安全保护措施的不足。
版权所有,盗版必纠
9.2入侵检测系统模型 • 1. Denning入侵检测模型
• Denning入侵检测模型是一个基于规则的式匹配系统。该模 型没有包含攻击方法和系统漏洞。它主要由主体、对象、审计 记录、活动剖面、异常记录和规则集处理引擎六个部分组成, 如图9.3所示。
版权所有,盗版必纠
9.2入侵检测系统模型 • 2.层次式入侵检测模型 • 层次化入侵模型对收集到的数据进行加工抽象
版权所有,盗版必纠
9.6 入侵检测技术存在的问题及发展趋势
• 1.入侵检测技术存在的问题。 • 入侵检测技术存在的问题主要为:IDS对攻击的检测效率和其
对自身攻击的防护。 2. 入侵检测技术的发展趋势 • 入侵检测技术的主要发展方向可以概括为: • (1) 分布式入侵检测 • (2)应用层入侵检测 • (3)智能入侵检测 • (4)与网络安全技术相结合 • (5)其它相关技术
版权所有,盗版必纠
9.2入侵检测系统模型 • 3. 管理式入侵检测模型
版权所有,盗版必纠
9.3 入侵检测技术分类
• 9.3.1 根据各个模块运行分布方式的分类
• 根据系统各个模块运行的分布不同,可以将入侵检测系统分为如下两类: • 1.集中式入侵检测系统。集中式入侵检测系统的各个模块包括信息的收集
• 第四步:攻击响应。对攻击信息进行了分析并确定攻 击类型后,入侵检测系统会根据用户的设置,对攻击 行为进行相应的处理,如发出警报、给系统管理员发 邮件等方式提醒用户。
版权所有,盗版必纠
9.5 典型的入侵检测系统Sn开放源代码的入侵检测系统Snort。直至今天 ,Snort已发展成为一个多平台,实时流量分析 ,网络IP数据包记录等特性的强大的网络入侵 检测系统。在网上可以通过免费下载获得 Snort,并且只需要几分钟就可以安装并开始使 用它。如图9.9为Snort的结构。
和关联操作,简了对跨域单机的入侵行为识别 。层次化模型将IDS分为六个层次,由低到高 分别是数据层 、事件层、主体层、上下文层 、威胁层、安全状态层。
版权所有,盗版必纠
9.2入侵检测系统模型 • 3. 管理式入侵检测模型
• 管理式入侵检测模型英文名称叫做SNMP-IDSM (Simple Network Management Protocol - Intrusion Detection Systems Management),它从网络管理的角度出发解决多个 IDS协同工作的问题。SNMP-IDSM以SNMP协议为公共语言 来实现IDS之间的消息交换和协同检测。图9.4展示了SNMPIDSM的工作原理。
第9章 入侵检测技术
李剑
博士 教授
010- 6228- 3259
November 24, 2020
版权所有,盗版必纠
概述
本章主要介绍入侵检测系统基本知识、入侵检测系统的分类、 入侵检测系统的工作流程、入侵检测系统面临的问题及发展趋 势。
版权所有,盗版必纠
9.1 入侵检测系统基本知识
入侵检测,顾名思义,就是对入侵行为的发现。入 侵检测系统(IDS: Intrusion Detection System)就 是能够完成入侵检测功能的计算机软硬件系统。它通过 对计算机网络或计算机系统中若干关键点收集信息并对 其进行分析,从中发现网络或系统中是否有违反安全策 略的行为和被攻击的迹象。入侵检测技术就是通过从计 算机网络或计算机系统中的若干关键点收集信息并对其 进行分析,从中发现网络或系统中是否有违反安全策略 的行为和遭到袭击的迹象的一种安全技术
版权所有,盗版必纠
9.5 典型的入侵检测系统Snort介绍 • 如图9.9为Snort的结构。
版权所有,盗版必纠
9.5 典型的入侵检测系统Snort介绍
• Snort的结构由4大软件模块组成,它们分别是: • (1)数据包捕获模块——负责监听网络数据包,对网络进行
分。 • (2)预处理模块——该模块用相应的插件来检查原始数据包
版权所有,盗版必纠
9.3 入侵检测技术分类 • 9.3.3 按照所采用的技术进行分类
• 1.异常入侵检测系统。 • 异常入侵检测系统是将系统正常行为的信息作为标准
,将监控中的活动与正常行为相比较。在异常入侵检 测系统中,假设所有与正常行为不同的行为都视为异 常,而一次异常视为一次入侵。可以人为的建立系统 正常所有行为事件,那么理论上可以把与正常事件不 同的所有行为视为可疑事件。
,从中发现原始数据的“行为”,如端口扫描,IP碎片等,数 据包经过预处理后才传到检测引擎。 • (3)检测模块——该模块是Snort的核心模块。当数据包从 预处理器送过来后,检测引擎依据预先设置的规则检查数据包 ,一旦发现数据包中的内容和某条规则相匹配,就通知报警模 块。 • (4)报警/日志模块——经检测引擎检查后的Snort数据需要 以某种方式输出。
版权所有,盗版必纠
9.3 入侵检测技术分类 • 9.3.3 按照所采用的技术进行分类
• 1.异常入侵检测系统。
版权所有,盗版必纠
9.3 入侵检测技术分类 • 9.3.3 按照所采用的技术进行分类
• 2. 误用入侵检测系统。 • 误用入侵检测系统是收集非正常操作的行为,建立相
关的攻击特征库,依据所有入侵行为都能够用一种特 征来表示,那么所有已知的入侵方法都可以用模式匹 配的方法发现。
版权所有,盗版必纠
9.2入侵检测系统模型
在入侵检测技术模型的发展变化大概可以分成三个阶段, 分别是集中式、层次式和集成阶段。在每个阶段,研究 人员都出研究出对应的入侵检测模型。其中研究者在集 中式阶段研究出了通用入侵检测模型,在层次式阶段研 究出了层次入侵检测模型,在集成式阶段研究出了管理 式入侵检测模型。
版权所有,盗版必纠
9.3 入侵检测技术分类 • 9.3.3 按照所采用的技术进行分类
• 2. 误用入侵检测系统。
版权所有,盗版必纠
9.4 入侵检测系统工作流程
• 9.3.3 按照所采用的技术进行分类
• 通用的入侵检的工作流程主要分为以下四步: • 第一步:信息收集。信息收集的内容包括系统、网络
、数据及用户活动的状态和行为这一步非常重要,因 为入侵检测系统很大程度上依赖于收集信息的可靠性 和正确性。 • 第二步:信息分析。是指对收集到的数据信息,进行 处理分析。一般通过协议规则分析模式匹配、通缉分 析和完整性分析几种手段和方法来分析。
版权所有,盗版必纠
思考题
1.入侵检测系统的作用是什么? 2.什么是入侵检测技术? 3.什么是异常入侵检测系统? 4. 什么是误用入侵检测系统? 5. 入侵检测系统的工作流程是什么? 6. 简述入侵检测系统的未来发展趋势。
版权所有,盗版必纠
Thanks For Attendance!
版权所有,盗版必纠
和数据的分析以及响应单元都在一台主机上运行,这种方式适用于网络环 境比较简单的情况。 • 2. 分布式入侵检测系统。分布式入侵检测系统是指系统的各个模块分布在 网络中不同的计算机和设备上,分布性主要体现在数据收集模块上,如果 网络环境比较复杂或数据流量较大,那么数据分析模块也会分布,按照层 次性的原则进行组织。