2入侵检测讲义jia.pdf

入侵检测技术 贾森 计算机与软件学院 入侵检测技术 ∗一、入侵检测的基本概念 ∗二、入侵检测系统构件 ∗三、入侵检测系统的分类 ∗四、常见的网络攻击 ∗五、入侵检测的分析 ∗六、入侵检测的实例 一、 入侵检测的基本概念 1. 1 什么是入侵检测 入侵 对信息系统的非授权访问及（或）未经许可在信息 系统中进行操作 入侵检测 对企图入侵、正在进行的入侵或已经发生的入侵进 行识别的过程 入侵检测系统 自动进行这种监测和分析过程的软件或硬件产品。 入侵检测的概念：模型 Dennying 的通用入侵检测模型。模型缺点是 5 它没有包含已知系统漏洞或攻击方法的知识 1.2 入侵检测系统的提出 入侵检测系统（IDS ，Intrusion Detection System）是目前最流行的主动网络安全防护技 术，它是一种用来发现外部攻击和合法用户滥 用特权的方式，是动态安全技术中最核心的技 术之一。 防 火 墙 门卫 入侵检测 保安 IDS是防火墙的合理补充,对系统的运行状态进 行监视，发现各种攻击企图、攻击行为或者攻击 结果，以保证系统的安全性。 IDS是防火墙之后的第二道安全防线。 1.3 一个完善的IDS 系统 基于 基于 基于 网络 系统调用用户行为 子系统 子系统 子系统 预警 安全 反击 响应 保障 入侵检测模块 模块 模块 模块 入侵检测系统 1.3 一个完善的IDS 系统 开发环境及平台 ∗操作系统 Red hat Linux 9 ∗数据库系统 MySQL 3.22 ∗开发语言 C/JAVA 1.3 一个完善的IDS 系统 当前用户行为 模式库 历史行为模式 用户异常行为 特定行为模式 检测分析引擎 数据提取 其他 入侵？ 否 是 基于用户行为的IDS 记录证据 子系统分析模型 响应处理 1.3 一个完善的IDS 系统 基于用户行为的IDS 子系统分析模型 1、用户行为采集模块 数据源（系统日志） 系统日志是反应各种系统事件和设置的文件，Linux提供了分类齐全的系 统日志，这些日志都是通过守护进程Syslogd监控系统事件获得。 日