第二十三章入侵检测.pptVIP

第二十三章 入侵检测 入侵检测 入侵检测原理 入侵检测技术分析 入侵检测系统 LINUX下的入侵检测系统 基于用户特征分析的入侵检测系统 入侵检测发展方向 入侵检测原理 原则 基本入侵检测 入侵检测理论模型 原则 一个能够抵抗入侵的计算机系统将表现出以下特性： 用户以及应用的过程将被限制在一种可以预知的模式下。当用户运行了一个简单程序后不会使系统进入一种维护状态。 用户以及应用过程将不允许包含破坏系统安全的命令序列，理论上来说，所有这种序列都应该排除。实际上，只有被列入安全系统的序列才能被检测到。 所有的应用过程都必须遵守操作的具体规范，只有系统允许运行时才可以。 基本入侵检测 网络攻击变的越来越复杂而且自动化程度越来越高，一个复杂的进攻并不一定是由一个有经验的入侵者发动的 定义：一个入侵工具是一种用来破坏系统安全的自动化的脚本 入侵工具绝对不是更改入侵检测的本质。他们排除了许多由于不正确安装而造成的错误。并且以一种常规的步骤排除了一些零碎的攻击。但是他们不能完全排除系统隐患。 入侵检测系统拥有以下四重目的： 广泛的入侵检测。 时常进行入侵检测。 介绍一种简单，易于理解的格式。 正确性。 入侵检测理论模型 CIDF模型 异常模型 误用模型 规范模型 入侵检测 入侵检测原理 入侵检测技术分析 入侵检测系统 LINUX下的入侵检测系统 基于用户特征分析的入侵检测系统 入侵检测发展方向 入侵检测技术分析 常用的检测方法 拒绝服务攻击及防范 常用的检测方法 入侵检测系统常用的检测方法有: 特征检测 对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。 统计检测 统计模型常用异常检测。异常检测(Anomalydetection)的假设是入侵者活动异常于正常主体的活动。 常用的入侵检测统计模型为： 操作模型 多元模型 马尔柯夫过程模型 专家系统 用专家系统对入侵进行检测，经常是针对有特征入侵行为。 拒绝服务攻击及防范 拒绝服务攻击正在向分布式（DDos）方向发展，分布式拒绝服务攻击采用了一种比较特别的体系结构，从许多分布的主机同时攻击一个目标。从而导致目标瘫痪。 拒绝服务攻击及防范 保护这些主机最好的办法就是及时了解有关本操作系统的安全漏洞以及相应的安全措施。及时安装补丁程序并注意定期升级系统软件，以免给黑客以可乘之机。 应该定期使用漏洞扫描软件对内部网络进行检查。 设置好单位内部的网络设备。最重要的就是路由器和防火墙。 入侵检测 入侵检测原理 入侵检测技术分析 入侵检测系统 LINUX下的入侵检测系统 基于用户特征分析的入侵检测系统 入侵检测发展方向 入侵检测系统 组成 审计跟踪 攻击检测系统现状 入侵检测产品分析 常见的攻击检测工具 组成 一个最简化的网络实时入侵监测系统由两个部分构成： 探测引擎（数据链路层的包分析） 抓获数据包并将过滤规则适用于数据包，复杂的包分析引擎还可能具有包重组以及跟踪功能。 记录响应控制台 审计跟踪 审计跟踪指系统活动的记录，这些记录足以重构、评估、审查环境和活动的次序，这些环境和活动在一项事务的开始到最后结束期间能够围绕或导致的一项操作、一个过程或一个事件。 攻击检测系统现状 攻击检测系统(IDSs)是基于侵入者的行为与合法用户的行为之间存在的明显不同，实现对非授权的行为的检测的。 现在的攻击检测系统更多的是对许多互联在网络上的主机的监视。典型的系统有为LosAlamos国家实验室的集成计算机网络设计的网络异常检测和侵入报告系统NADIR，这是一个自动专家系统；加利福尼亚大学的NSM系统，它是通过广播LAN上的信息流量来检测入侵行为；分布式入侵检测系统DIDS等。 入侵检测产品分析 基于网络的入侵检测 基于主机的入侵检测 混合入侵检测 文件完整性检查 常见的攻击检测工具 NAI公司是领先的专业网络安全产品提供商，其攻击检测系统产品主要是三个独立产品： CybercopScanner CybercopServer CybercopNetwork ISS公司（InternetSecuritySystem）的RealSecure2.0forWindowsNT Abirnet公司的Session-wall-3 Anzen公司的NFR 提供了一个网络监控框架 IBM公司的IERS系统 入侵检测 入侵检测原理 入侵检测技术分析 入侵检测系统 LINUX下的入侵检测系统 基于用户特征分析的入侵检测系统 入侵检测发展方向 LINUX下的入侵检测系统 从实现结构上看，共分成三个应用程序，它们分别是： 数据收集及分析程序； 告警信息收集程序； 告警信息显示程序 入侵检测 入侵检测原理 入侵检测技术分析 入侵检测系统 LINUX下的入侵检测系统 基于用户特征分析的入侵检测