入侵检测技术new.docVIP

本文由yiyubin2008贡献 ppt文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 IDS与IPS IDS——（入侵检测系统） IPS——（入侵防御系统） 学习内容如下: 什么是入侵检测系统及主要类型 主要IDS技术 主要IDS模型及各自特点 IDS工作原理 IPS工作原理 IPS的分类IDS的主要不足和IPS的主要优势 防火墙、IDS和IPS比较 1 入侵检测简介 什么是入侵检测系统 入侵检测系统是一套监控计算机系统或网络系统中发 生的事件，根据规则进行安全审计的软件或硬件系统。 生的事件，根据规则进行安全审计的软件或硬件系统。 入侵检测系统的工作原理 1)信息收集 信息收集 (1) 系统和网络日志文件 (2) 目录和文件中的不期望的改变 (3) 程序执行中的不期望行为 (4) 物理形式的入侵信息 2)信号分析 信号分析 (1)模式匹配： 模式匹配： 模式匹配 (2)统计分析 统计分析 (3)完整性分析 完整性分析 2 入侵检测的任务 检测来自内部的攻击事件和越权访问 –85％以上的攻击事件来自于内部的攻击 ％ –防火墙只能防外，难于防内 防火墙只能防外， 入侵检测系统作为防火墙系统的一个有效的补充 –入侵检测系统可以有效的防范防火墙开放的服务入侵 –通过事先发现风险来阻止入侵事件的发生，提前发现试图攻击或滥用网络 通过事先发现风险来阻止入侵事件的发生， 系统的人员。 系统的人员。 –检测其它安全工具没有发现的网络工具事件。 检测其它安全工具没有发现的网络工具事件。 –提供有效的审计信息，详细记录黑客的入侵过程，从而帮助管理员发现网 提供有效的审计信息，详细记录黑客的入侵过程， 络的脆弱性。 络的脆弱性。 –网络中可被入侵者利用的资源 –在一些大型的网络中，管理员没有时间跟踪系统漏洞并且安装相应的系统 在一些大型的网络中， 补丁程序。 补丁程序。 –用户和管理员在配置和使用系统中的失误。 用户和管理员在配置和使用系统中的失误。 3 –对于一些存在安全漏洞的服务、协议和软件，用户有时候不得不使用。 对于一些存在安全漏洞的服务、协议和软件，用户有时候不得不使用。 入侵检测系统的分类 1)按照入侵检测系统的数据来源划分 按照入侵检测系统的数据来源划分 ①基于主机的入侵检测系统 ②基于网络的入侵检测系统 ③采用上述两种数据来源的分布式的入侵检测系统 2)按照入侵检测系统采用的检测方法来分类 按照入侵检测系统采用的检测方法来分类 ①基于行为的入侵检测系统 ②基于模型推理的入侵检测系统 ③采用两者混合检测的入侵检测系统 3)按照入侵检测的时间的分类 按照入侵检测的时间的分类 ①实时入侵检测系统 ②事后入侵检测系统 4 入侵检测系统的CIDF模型 入侵检测系统的 模型 C-box 输出：对事件的反应 通用入侵检测框 架（CIDF）是由美国 ） 输出：高层、经 加州大学Davis分校的 加州大学 分校的 安全实验室提出的框架。 安全实验室提出的框架。 解释的事件 CIDF从逻辑上把 从逻辑上把 A-box IDS分成面向任务的一 分成面向任务的一 个组件集合， 个组件集合，这些组件 一起定义了入侵检测系 统的结构。 统的结构。 这些组件包括： 这些组件包括： 事件发生器(E-boxes) 事件发生器 分析引擎(A-boxes) 分析引擎 存贮机制(D-boxes) 存贮机制 对抗措施(C-boxes) 对抗措施 输出：事件存贮 D-box E-box 输出：新的或低层事件 CIDF组件关系 组件关系 5 工作过程 收集信息 数据分析 响应 6 入侵检测系统构件 响应单元 输出：高级中断事件 输出：反应或事件 输出：事件的存储信息 事件分析器 事件数据库 输出：原始或低级事件 事件产生器 输入：原始事件源 7 入侵检测系统构件 事件产生器(Event generators)(E-box) 事件产生器 事件产生器的目的是从整个计算环境中获得事件， 事件产生器的目的是从整个计算环境中获得事件，并向系统的其他 部分提供此事件 事件分析器(Event analyzers)(A-box) 事件分析器 事件分析器分析得到的数据， 事件分析器分析得到的数据，并产生分析结果