第01讲计算机入侵检测系统(免费阅读).pptVIP

计算机入侵检测系统（IDS） 内容提要 入侵检测的概念及功能 入侵检测的分类和体系结构 入侵检测的分析技术 入侵检测的响应、恢复、模型与部署 小结 指出必须改变现有的系统审计机制，以便为专职系统安全人员提供安全信息——预警 提出了对计算机系统风险和威胁的分类方法，将威胁分为外部渗透、内部渗透和不法行为三种， 提出利用审计跟踪数据监视入侵活动的思想。 入侵检测研究发展 入侵检测系统包括三个功能部件 （1）信息收集部件 （2）信息分析部件 （3）结果处理部件 入侵检测的职责 入侵检测发挥的作用 入侵检测发挥的作用 入侵检测发挥的作用 入侵检测发挥的作用 入侵检测系统的功能 入侵检测系统模型(Denning) 入侵检测系统模型(CIDF) 入侵检测系统模型(CIDF) 基于网络入侵检测系统 基于网络入侵检测系统 基于网络入侵检测系统的优势 基于网络入侵检测系统的局限性 一款基于网络入侵检测系统SessionWall 开放源码软件 基于主机的入侵检测 基于主机的入侵检测的实现原理 基于主机的入侵检测系统的功能 基于主机的入侵检测的优势 基于主机的入侵检测的局限 NIDS和HIDS的主要差别 混合IDS 分布式入侵检测系统（DIDS） 分布式入侵检测系统（DIDS） 入侵检测系统体系结构 事件产生器(Event generators) 事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。 事件数据库(Event databases) 事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。 入侵检测工作流程 入侵检测工作流程 网络接口混杂模式 根据设置过滤一些数据包 过滤程序的算法的重要性 协议分析 数据分析 根据相应的协议调用相应的数据分析函数 一个协议数据有多个数据分析函数处理 数据分析的方法是入侵检测系统的核心 快速的模式匹配算法 引擎管理 协调和配置给模块间工作 数据分析后处理方式 Alert Log Call Firewall 特征检测 统计检测 专家系统 包俘获 在一个共享式网络，可以听取所有的流量 是一把双刃剑 管理员可以用来监听网络的流量情况 开发网络应用的程序员可以监视程序的网络情况 黑客可以用来刺探网络情报 目前有大量商业的、免费的监听工具，俗称嗅探器(sniffer) 文件完整性检查 计算机免疫检测 入侵诱骗技术 蜜罐技术概念 蜜罐技术概念 蜜罐技术应用举例 蜜罐技术应用举例 蜜罐的基本配置 蜜罐的基本配置 配置蜜罐的实例 配置蜜罐的实例 蜜罐的分类 低交互蜜罐 中交互蜜罐 高交互蜜罐 蜜罐的分类 蜜罐的特点 蜜罐的特点 蜜网的概念 蜜网的功能 入侵检测的归宿应是有效反击 实时响应 应急响应案例 被动响应 主动响应 IDS的性能指标 漏警率 没有正确的识别某些入侵行为而未报警的概率 虚警率 把系统的正常行为判为入侵行为的概率 丢包率 IDS能处理的网络流量 IDS的技术 异常检测(anomaly detection) 也称为基于行为的检测 首先建立起用户的正常使用模式，即知识库 标识出不符合正常模式的行为活动 误用检测(misuse detection) 也称为基于特征的检测 建立起已知攻击的知识库 判别当前行为活动是否符合已知的攻击模式 异常检测 比较符合安全的概念，但是实现难度较大 正常模式的知识库难以建立 难以明确划分正常模式和异常模式 常用技术 统计方法 预测模式 神经网络 异常检测举例 异常检测特点 异常检测系统的效率取决于用户轮廓的完备性和监控的频率 因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵 系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源 误用检测 目前研究工作比较多，并且已经进入实用 建立起已有攻击的模式特征库 难点在于：如何做到动态更新，自适应 常用技术 基于简单规则的模式匹配技术 基于专家系统的检测技术 基于状态转换分析的检测技术 基于神经网络检测技术 其他技术，如数据挖掘、模糊数学等 误用检测举例 误用检测模型 如果入侵特征与正常的用户行能匹配，则系统会发生误报；如果没有特征能与某种新的攻击行为匹配，则系统会发生漏报 特点：采用特征匹配，滥用模式能明显降低错报率，但漏报率随之增加。攻击特征的细微变化，会使得滥用检测无能为力 入侵检测的部署 IDS的部署模式： 共享媒介HUB 交换环境 隐蔽模式 Tap模式 In-line模式 入侵检测的部署 入侵检测的部署 检测器部署位置 放在边界防火墙之内 放在边界防火墙之外 放在主要的网络中枢 放在一些安全级别