入侵检测技术课件1.pptVIP

入侵检测技术分析 第一章 概论 教材及参考书 《入侵检测技术》唐正军等 清华大学出版社 《入侵检测技术》曹元大 人民邮电出版社 《Snort 2.0 入侵检测》Brian Caswell等著 宋劲松等著 国防工业出版社 / 课程安排 入侵检测概述 6学时 入侵检测技术分类 2学时 基于主机的入侵检测技术 2学时 基于网络的入侵检测技术 4学时 混合型的入侵检测技术 2学时 先进的入侵检测技术 2学时 分布式入侵检测架构 4学时 设计考虑及响应问题 2学时 入侵检测系统的评估与测试 4学时 Snort分析 4学时 入侵检测技术的发展趋势 2学时 第一章 入侵检测概述 入侵检测的相关概念 入侵检测的作用和任务 入侵检测与主机审计 入侵检测基本模型的建立 入侵检测技术的发展历史 网络入侵技术简介 1.1 入侵的定义 安全的概念: 1.1 入侵的定义 安全策略 将抽象的安全目标和概念映射为现实世界中的具体安全规则，通常定义为一组用于保护系统计算资源和信息资源的目标、过程和管理规则的集合。 安全策略是思想 安全策略是责任 安全策略是权限 安全策略是行动 安全策略是选择 1.1 入侵的定义 威胁: Andernson按照威胁的来源，分为如下3类: 外部入侵者(External Penetration) ： 系统的非授权用户。 内部入侵者(Internal Penetration) ： 超越合法权限的系统授权用户。其中，又可分为“伪装者”和“秘密活动者”。 违法者(Misfeasor)： 在计算机系统上执行非法活动的合法用户。 1.1 入侵的定义 1.1 入侵的定义 入侵 在入侵检测中， “入侵”（intrusion）表示系统内部发生的任何违反安全策略的事件，其中包括了上面Anderson模型中提到的所有威胁类型，同时还包括如下的威胁类型： 恶意程序的威胁 探测和扫描系统配置信息和安全漏洞 （IDSG）在1997年给出的关于“入侵”的定义是：入侵是对信息系统的非授权访问以及（或者）未经许可在信息系统中进行的操作。 1.2 什么是入侵检测 美国国家安全通信委员会（NSTAC）下属的入侵检测小组（IDSG）在1997年给出的关于“入侵检测”的定义如下： 入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。 1.2 什么是入侵检测 入侵检测是信息安全技术手段之一： 访问控制(Access)：防止对资源的未授权使用 鉴别与认证(Authentication)：用保护机制鉴别用户身份 加密(encrypt)：使用数学方法重新组织数据 防火墙(Firewall)：隔离和控制被保护对象 VPN (Virtual Private Network)：在公共网上建立专用安全通道 扫描器(SCAN)：检测系统的安全性弱点 入侵检测(Intrusion detection)：检测内、外部的入侵行为 1.2 什么是入侵检测 入侵检测系统: 所有能执行入侵检测任务和功能的系统。通用入侵检测系统模型如下图： 1.2 什么是入侵检测 图1-1所示的通用入侵检测系统模型，主要由以下几大部分组成。 ⑴ 数据收集器（又可称为探测器）： 主要负责收集数据。 ⑵检测器（又可称为分析器或检测引擎）： 负责分析和检测入侵的任务，并发出警报信号。 ⑶ 知识库： 提供必要的数据信息支持。 ⑷ 控制器： 根据警报信号，人工或自动做出反应动作。 1.3 入侵检测与P2DR模型 P2DR模型是一个动态的计算机系统安全理论模型。P2DR特点是动态性和基于时间的特性。 PPDR模型的含义：在安全策 略的指导下，运用防护 机制、 检测机制、响应 机制使风险降至可接 受 水平。 1.3 入侵检测与P2DR模型 P2DR模型的具体内容包括如下： ⑴策略： P2DR模型的核心内容。具体实施过程中，策略规定了系统所要达到的安全目标和为达到目标所采取的各