网络安全第13章入侵检测系统1015(一)教案.ppt

谢谢！ * 入侵检测概述 一 第13章 入侵检测系统 目的 原理 由于网络安全防护和网络攻击两者技术上是不对等的，没有办法保证完全的阻止入侵，只能希望在遭受攻击之后或者攻击之时，能尽快的或实时的检测入侵。 入侵检测技术是网络安全的第二道闸门。 IDS不间断的从计算机网络或计算机系统中的若干关键点上收集信息，进行集中或分布式的分析，判断来自网络和外部的入侵企图，并实时发出报警。 13.2.1 入侵检测概述 入侵检测是对企图入侵、正在进行的入侵或已经发生的入侵行为进行识别的过程。 检测对计算机系统的非授权访问。 1 监视系统运行状态，发现各种攻击企图、攻击行为，保证资源的保密性、完整性和可用性。 2 识别针对计算机系统和网路系统的非法攻击 3 13.1.2 入侵检测的定义 13.1.3 入侵检测系统发展历史 James P. Anderson第一次详细阐述了入侵检测的概念,并对计算机系统风险和威胁进行分类；还提出了利用审计跟踪数据监视入侵活动的思想。 1980年4月 乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究设计了入侵检测专家系统。 1984~1986 SRI/CSL的Teresa Lunt等人改进了Denning的入侵检测模型，并开发出了一个新型的IDES。 1988年 加州大学戴维斯分校的L.T. Heberlein等人开发出了网络安全监视器，成为分水岭。 1990年 13.1.3 入侵检测系统发展历史 13.1.4 入侵检测系统模型 分析和检测入侵的任务并向控制器发出警报信号 主要负责收集数据 为检测器和控制器提供必需的数据信息支持 根据警报信号人工或自动地对入侵行为做出响应 控制器 知识库 数据收集器 检测器 13.1.6 IDS的功能构成 事件提取 入侵分析 入侵响应 远程管理 负责提取相关运行数据或记录， 并对数据进行简单过滤。 找出入侵痕迹，区分正常和不正常的访问，分析入侵行为并定位入侵者 分析出入侵行为后被触发，根据入侵行为产生响应。 在一台管理站上实现统一的管理监控 13.1.7 IDS的主要功能 一 网络流量的跟踪与分析功能 二 已知攻击特征的识别功能 三 异常行为的分析、统计与响应功能 四 特征库的在线和离线升级功能 五 数据文件的完整性检查功能 六 自定义的响应功能 七 系统漏洞的预报警功能 八 IDS探测器集中管理功能 入侵检测概述 一 入侵检测原理及主要方法 二 IDS的结构与分类 三 NIDS 四 HIDS 五 DIDS 六 IDS设计上的考虑与部署 七 IDS的发展方向 八 第13章 入侵检测系统 13.3 IDS分类 13.2.1 入侵检测原理及主要方法 被动、离线地发现计算机网络系统中的攻击者。 实时、在线地发现计算机网络系统中的攻击者。 收集操作活动的历史数据，建立代表主机、用户或网络连接的正常行为描述，判断是否发生入侵。 异常 检测 对已知的入侵行为和手段进行分析，提取检测特征，构建攻击模式或攻击签名，判断入侵行为。 入侵检测类似于治安巡逻队，专门注重发现形迹可疑者。 IDS通常使用的两种基本分析方法之一，又称为基于行动的入侵检测技术。 IDS通常使用的两种基本分析方法之一，又称基于知识的检测技术。 攻击 检测 误用 检测 统计异常检测方法 （较成熟） 2. 特征选择异常检测方法 （较成熟） 3. 基于贝叶斯网络异常检测方法 （理论研究阶段） 4. 基于贝叶斯推理异常检测方法 （理论研究阶段） 基于异常检测原理的入侵检测方法 5.基于模式预测异常检测方法 （理论研究阶段） 1.基于条件的概率误用检测方法 2.基于专家系统误用检测方法 3.基于状态迁移分析误用检测方法 4.基于键盘监控误用检测方法 基于误用检测原理的入侵检测方法 5.基于模型误用检测方法 缺点 不能检测出未知的入侵行为 优点 准确地检测已知的入侵行为