电子科技大学计算机入侵检测技术.ppt

计算机入侵检测技术 罗光春 2015年3月 前言 一、课程简介 通过该门课程的学习，使学生在该领域能具有较为全面、完备的知识背景。由于课程内容涉及到工程问题的数学推导与分析、安全系统的整体模型设计、实验的环境建立及其过程与分析、相关技术的对比与分析等方法，对学生从事科研工作具有一定指导意义。 前言 二、讲授主要内容： 1、入侵检测技术基础。主要包括发展史、基本概念与定义、基本模型及其系统基础； 2、入侵检测技术的最新动态和发展前沿。包括以下几个部分： 1）基于多传感器的高可靠性入侵检测技术； 2）基于移动代理的入侵检测技术； 3）分布式拒绝服务攻击与IP拥塞控制； 4）基于网络流量自相似性，对分布式拒绝 服务攻击进行检测与防护； 前言 前言 四、教师情况简介 罗光春，博士、教授、博士生导师、研究生院副院长；教育部新世纪优秀人才；获四川省杰出青年基金计划支持；四川省学术技术带头人后备人选； 研究方向：新型网络技术、云计算，网络安全； 在国内外学术刊物上发表文章30余篇； 主持总装备部“载人航天”重大专项、总装预研基金、信息产业部电子生产发展基金、发改委CNGI专项等各类纵向、横向科研项目30余项； 出版著作8本； E-mail:gcluo@uestc.edu.cn 前言 五、教学目标 NO： 成为计算机安全专家； 具有独立开发入侵检测系统的能力； 掌握课程涉及到的所有技术细节； YES： 系统了解入侵检测系统的概况； 了解相关技术的基础知识和应用背景； 建立在工程技术中进行科学研究的基本思想和方法； 包括：如何提出问题与分析问题、建立数学模型、推导与分析、实际系统的整体模型设计、实验的环境建立及其过程与结论分析、相关技术的对比与分析，以及学术论文的撰写等。 前言 六、教学要求 不迟到、早退； 保持课堂安静； 按时完成作业，以打印稿提交； 第一章 入侵检测技术基础 第一节 入侵检测技术的内容和定义 一、网络安全的内容和定义 定义1.1计算机网络安全（Network Security）：安全的计算机网络系统是一个可以信赖的按照期望的运行方式运行的系统。 网络安全包括了数据、关系、能力三个要素。 （1）数据保护（Data Protect） （2）关系保护（Relation Protect） （3）能力保护（Ability Protect） 二、入侵检测技术的定义 定义1.2入侵（Intrusion）： 入侵是指采用数据攻击、身份冒充、非正常使用服务、拒绝服务等技术手段，对网络安全的三个要素发动的攻击。 定义1.3入侵检测（Intrusion Detection）：入侵检测技术是对主机或网络系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性的计算机安全技术。 二、入侵检测技术的定义 一个理想的入侵检测系统应该具有如下的几个属性： （1）经济性（Abstemious）：入侵检测系统占用的网络资源和主机资源应该在一定范围以内。 （2）及时性（Timely）：及时的发现各种入侵行为。 （3）安全性（Security）：入侵检测系统自身必须安全。 （4）可扩展性（Scalability）：可扩展性是指在入侵检测系统总体机制不变的情况下，仅稍作扩展就能检测新的入侵行为。 第二节 入侵检测系统（IDS）的现状与发展趋势 入侵检测技术肇始于1980年4月James P. Anderson为美国空军做的一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告，以此为标志，国外一些机构在80年代就开展了早期基础理论研究工作 。 一、入侵检测技术现状 目前，一个常见的入侵检测系统具有如下的结构，如图1.1所示。数据提取模块为系统提供数据，数据分析模块对数据进行深入分析，结果处理模块进行告警与相关处理。 一、入侵检测技术现状 1、入侵检测技术一般可划分为基于特征（Signature-based）和基于异常 （Anomaly-based）两类，它们都是从信息特征着手来检测攻击是否发生 。 两种方式均有优缺点： （1）基于特征的检测技术是假定所有的入侵行为和手段都能够表达为一种模式或特征，所有已知的入侵方法都可以用匹配的方法发现。该技术的关键是如何表达入侵的模式，以正确区分真正的入侵与正常行为。优点是误报少，局限是只能发现已知的攻击，对未知的攻击无能为力； 一、入侵检测技术现状 （2）异常发现技术假定所有入侵行为都与正常行为不同。它的原理是，假