- 1、本文档共132页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
信息安全技术第六章-入侵检测技术.ppt
信息安全技术 许红星 Intrusion Intrusion : Attempting to break into or misuse your system. Intruders may be from outside the network or legitimate users of the network. Intrusion can be a physical, system or remote intrusion. 入侵检测的定义 对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性 进行入侵检测的软件与硬件的组合便是入侵检测系统 IDS : Intrusion Detection System 入侵检测的特点 一个完善的入侵检测系统的特点: 经济性 时效性 安全性 可扩展性 网络安全工具的特点 入侵检测的起源(1) 审计技术:产生、记录并检查按时间顺序排列的系统事件记录的过程 审计的目标: 确定和保持系统活动中每个人的责任 重建事件 评估损失 监测系统的问题区 提供有效的灾难恢复 阻止系统的不正当使用 入侵检测的起源(2) 计算机安全和审计 美国国防部在70年代支持“可信信息系统”的研究,最终审计机制纳入《可信计算机系统评估准则》(TCSEC)C2级以上系统的要求的一部分 “褐皮书”《理解可信系统中的审计指南》 入侵检测的起源(3) 1980年4月,James P. Anderson :《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念 他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种 还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作 入侵检测的起源(4) 从1984年到1986年,乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型,取名为IDES(入侵检测专家系统) 入侵检测的起源(5) 1990,加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM(Network Security Monitor) 该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机 入侵检测系统发展史翻开了新的一页,两大阵营正式形成:基于网络的IDS和基于主机的IDS 入侵检测的起源(6) IDS存在与发展的必然性 一、网络攻击的破坏性、损失的严重性 二、日益增长的网络安全威胁 三、单纯的防火墙无法防范复杂多变的攻击 为什么需要IDS 关于防火墙 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 入侵很容易 入侵教程随处可见 各种工具唾手可得 IDS基本结构 入侵检测是监测计算机网络和系统,以发现违反安全策略事件的过程 简单地说,入侵检测系统包括三个功能部件: (1)信息收集 (2)信息分析 (3)结果处理 信息收集 入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。 需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息, 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点 信息收集 入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息 信息收集的来源 系统或网络的日志文件 网络流量 系统目录和文件的异常变化 程序执行中的异常行为 系统或网络的日志文件 黑客经常在系统日志文件中留下他们的踪迹,因此,充分利用系统和网络日志文件信息是检测入侵的必要条件 日志文件中记录了各种行为类型,每种类型又包含不同的信息,例如记录“用户活动”类型的日志,就包含登录、用户ID改变、用户对文件的访问、授权和认证信息等内容 显然,对用户活动来讲,不正常的或不期望的行为就是重复登录失败、登录到不期望的位置以及非授权的企图访问重要文件等等 系统目录和文件的异常变化 网络环境中的文件系统包含很多软件和数据文件,包含重要信息的文件和私有数据文件经常是黑客修改或破坏的目标。目录和文件中的不期望的改变(包括修改、创建和删除),特别是那些正常情况下限制访问的,很可能就是一种入侵产生的指示和信号 入侵者经常替换、修改和破坏他们获得访问权的系统上的文件,同时为了隐藏系统中他们的表现及活动痕迹,都会尽力去替换系统程序或修改系统日志文件 信息分析 模式匹配 统计分析 完整性分析,
文档评论(0)