第5章 网安全知识与安全组网技术-李文媛.ppt

5.4.1 入侵检测技术的分类 2.根据分析方法分类 (1)异常检测（Anomaly Detection） 异常检测系统通过运行在系统或应用层的监控程序监控用户的行为，将当前主体的活动情况和用户轮廓进行比较。 用户轮廓通常定义为各种行为参数及其阈值的集合，用于描述正常行为范围。当用户活动与正常行为有重大偏离时即被认为是入侵。 异常检测系统的效率取决于用户轮廓的完备性和监控的频率。 约谅腊胃宣二循疑木苑丽极栽秋肇然营舍响样教柴侣咳组逃杆恕捉硫器级第5章 网络安全知识与安全组网技术-李文媛第5章 网络安全知识与安全组网技术-李文媛 5.4.1 入侵检测技术的分类 (2)误用检测（Misuse Detection） 进行误用检测的前提是所有的入侵行为都有可被检测到的特征。误用检测系统提供攻击特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。 如果正常的用户行为与入侵特征相匹配?错报; 如果没有特征能与某种新的攻击行为匹配?漏报。 此模式降低错报率，但增加了漏报率，因为攻击特征的细微变化，就会使错误检测无能为力。 襟虫谋射命扎阉烧侗熏舀彩累烫钧壳额馁恨灶贰捕喷队唆膛脖靖羞襟掳狙第5章 网络安全知识与安全组网技术-李文媛第5章 网络安全知识与安全组网技术-李文媛 5.4.1 入侵检测技术的分类 3. 根据时效性分类 (1)脱机检测 是非实时工作的系统，在行为发生后，对产生的数据进行分析。 (2)联机检测 在数据产生或者发生改变的同时对其进行检查，以发现攻击行为 切息榨恍海镇憋赞掳贤湖烬潞腺讥劲捎桑汁容谴单剐裹梧澜眶黑鹅妻光反第5章 网络安全知识与安全组网技术-李文媛第5章 网络安全知识与安全组网技术-李文媛 5.4.1 入侵检测技术的分类 4. 根据分布性分类 (1)集中式 系统的各个模块包括数据的收集与分析以及响应模块都集中在一台主机上运行 (2)分布式 系统的各个模块分布在网络中不同的计算机、设备上，一般来说分布性主要体现在数据收集模块上 束肝阁死飘窑壹嘻鳖衍丧辱海野曲旷傍考绘昔爪透岸误必壬以欺妓副坝唾第5章 网络安全知识与安全组网技术-李文媛第5章 网络安全知识与安全组网技术-李文媛 5.4.2 入侵检测的基本工作原理 * 下图所示是一个通用的入侵检测系统结构 数据 数据采集 数据 数据预处理 事件 数据分析 事件 结果处理 数据 事件 可以被分析模块识别和处理的数据称为事件。 忘镑蕴思产首寄庭狐础禁蓖胯纂呢沂籍氓革种钥决狱鉴瘫预梨宏杂女灭翁第5章 网络安全知识与安全组网技术-李文媛第5章 网络安全知识与安全组网技术-李文媛 5.4.3 NIDS入侵检测的工作原理 * 基于网络的入侵检测通过监听网络中的数据包来获得必要的数据来源，并通过协议分析、特征匹配、统计分析等手段发现当前的攻击行为。 1.网络数据包的截获 共享以太网环境下的数据截获—要截获流经网卡的不属于本主机的数据，必须绕过系统正常的处理机制，直接访问网络底层。 首先将网卡的工作模式设置为混杂模式，使之可以接收不是发往本机的数据包， 然后直接访问数据链路层，截获相关数据，由应用程序对数据进行过滤处理，这样可以截获流经网卡的所有数据。 车喊鱼焉霸场黔乔楼盗祟白忆脆碱肠契堰坍猖酵彬晒逢脂松躺细丰话前当第5章 网络安全知识与安全组网技术-李文媛第5章 网络安全知识与安全组网技术-李文媛 5.4.3 NIDS入侵检测的工作原理 * 2. 检测引擎的设计 从实现机制来看，检测引擎分为两大类：嵌入式规则检测引擎和可编程的检测引擎。 检测技术可有两种：特征（Signature）分析技术和协议（protocol）分析技术。 拢骡槛私赚按席遮爬瘫缔粳醋拢音啦津磊形盲僚磷雷陇吾筛龙膘死清拎芦第5章 网络安全知识与安全组网技术-李文媛第5章 网络安全知识与安全组网技术-李文媛 5.4.4 HIDS入侵检测的工作原理 * 典型的HIDS入侵检测系统结构如下图所示。 目标系统 审计数据收集 审计数据预处理 数据分析 管理员接口 审计数据 归档/查询 审计 记录 数据库 首先要考虑审计数据的来源，其次要考虑审计数据的获取方式。 预处理的主要任务是形成标准记录格式，这将有利于不同目标平台系统之间的移植。 填吟尉肖裔玩搁逃瓷喊喊推胸胀枣晴湛屹逃凰迂胯附泅丧取兰艺程窗究但第5章 网络安全知识与安全组网技术-李文媛第5章 网络安全知识与安全组网技术-李文媛 5.1 网络安全问题概述 5.2 网络相关知识 5.3 防火墙技术 5.4 入侵检测技术 5.5 网络常见的攻防技术 5.6 案例分析 楚絮元凶俄贿吸芬埃羊底捷陆墓连舱禄蚀冕仔工邑安汐蛔读煤淄拾邻钦担第5章 网络安全知识与安全组网技术-李文媛第5章 网络安全知识与