网络入侵检测技术.pptVIP

安徽新华电脑专修学院 安徽新华电脑专修学院 安徽新华电脑专修学院 安徽新华电脑专修学院 安徽新华电脑专修学院 安徽新华电脑专修学院 安徽新华电脑专修学院 1、什么是入侵检测 通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。 假如说防火墙是一幢大楼的门锁，那入侵监测系统就是这幢大楼里的监视系统。 2、入侵检测系统的基本结构 IDS通常包括以下功能部件 事件产生器 事件分析器 事件数据库 响应单元 1）事件产生器 负责原始数据采集，并将收集到的原始数据转换为事件，向系统的其它部分提供此事件。 入侵检测很大程度上依赖于收集信息的可靠性和正确性，因此，要保证用来检测网络系统的软件的完整性，特别是入侵检测系统软件本身应具有相当强的坚固性，防止被篡改而收集到错误的信息 收集内容包括：日志文件、网络流量、文件异常变化、程序执行中的异常行为、系统、网络数据及用户活动的状态和行为。 安徽新华电脑专修学院 2）事件分析器 接收事件信息，对其进行分析，判断是否为入侵行为或异常现象，最后将判断的结果转变为警告信息。 分析方法 模式匹配：将收集到的信息与已知的网络入侵数据库进行比较，从而发现违背安全策略的行为。 统计分析：首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述，统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)；测量属性的平均值和偏差将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。 完整性分析：主要关注某个文件或对象是否被更改。 3）事件数据库 从事件产生器或事件分析器接收数据，一般会将数据进行较长时间的保存。 4）响应单元 根据警告信息做出反应。 也可做出强烈反应：切断连接、改变文件属性等。 3、入侵行为的分类 误用入侵：指利用系统的缺陷进行进攻的行为； 异常入侵：指背离系统正常使用的行为。 4、入侵检测系统的优点和不足 优点： 能够使现有的安防体系更完善； 能够更好地掌握系统的情况； 能够追踪攻击者的攻击线路； 界面友好，便于建立安防体系； 能够抓住肇事者。 不足 不能够在没有用户参与的情况下对攻击行为展开调查； 不能够在没有用户参与的情况下阻止攻击行为的发生； 不能克服网络协议方面的缺陷； 不能克服设计原理方面的缺陷； 响应不够及时，签名数据库更新得不够快。经常是事后才检测到，适时性不好。 5、IDS 技术的发展方向 1）分布式入侵检测 针对分布式攻击的检测方法 使用分布式的方法来检测分布式的攻击，关键技术为检测信息的协同处理与入侵攻击的全局信息提取 2）智能化入侵检测 使用智能化的手法也实现入侵检测，现阶段常用的有神经网络、模糊算法、遗传算法、免疫原理等技术 3）全面的安全防御方案 采用安全工程风险管理的理论也来处理网络安全问题，将网络安全做为一个整体工程来处理，从管理、网络结构、防火墙、防病毒、入侵检测、漏洞扫描等多方面对网结进行安全分析 入侵检测技术是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测等。入侵检测技术是为保证计算机系统的安全而设计的一种能够及时发现并报告系统中未授权或异常现象的技术。 入侵检测技术是一种网络信息安全新技术，它可以弥补防火墙的不足，因此，入侵检测系统被认为是防火墙之后的第二道安全闸门。 入侵检测技术是一种主动保护系统免受黑客攻击的网络安全技术。 如：异常检测技术、误用检测技术、高级检测技术。 二、入侵检测技术。 1、异常检测技术 异常检测技术首先为用户和系统的所有正常行为总结活动规律并建立行为模型，那么入侵检测系统可以将当前捕获到的网络行为与行为模型相对比，若入侵行为偏离了正常的行为轨迹，就可以被检测出来。这样就可以判断是否存在网络入侵。它包括：概率统计异常检测、模式预测异常检测、神经网络异常检测、数据挖掘异常检测等。 概率统计异常检测法 根据异常检测器观察主体的活动，然后产生刻划这些活动的行为轮廓（用户特征表） 每一个轮廓保存记录主体当前行为，并定时将当前轮廓与历史轮廓合并形成统计轮廓，通过比较当前轮廓与统计轮廓来判定异常行为。 缺点：由于用户行为的复杂性，要想准确地匹配一个用户的历史行为非常困难，容易造成系统误报和漏报 2、高级检测技术 文件完整性检查、计算机免疫检测、遗传算法、模糊证据理论、数据挖掘、数据融合等技术。 数据挖掘：从大型数据库或数据仓库中提取人们感兴趣的知识，这些知识是隐含的，事先未知的潜在有用信息，提取的知识一般可表示为概念、规则、规律、模式等形式 1、入侵检测系统概念与功能 1）入侵检测