信息安全原理与应用—入侵检测技术.pptVIP

1 信息安全原理与应用 第十五章 入侵检测技术 本章由王昭主写 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 2 讨论议题 入侵检测概述 入侵检测系统的功能组成 基于主机及基于网络的入侵检测系统 异常检测和误用检测 入侵检测的响应 入侵检测标准化工作 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 3 主要的传统安全技术 加密 消息摘要、数字签名 身份鉴别：口令、鉴别交换协议、生物特征 访问控制 安全协议： IPsec、SSL 网络安全产品与技术：防火墙、VPN 内容控制: 防病毒、内容过滤等 预防(prevention)、防护（protection) Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 4 预防措施的局限性 预防性安全措施采用严格的访问控制和数据加密策略来防护，但在复杂系统中，这些策略是不充分的。这些措施都是以减慢交易为代价的。 大部分损失是由内部引起的 1999年CSI/FBI（Computer security institute/Federal Bureau of Investigation)指出，82%的损失是内部威胁造成的。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 5 信息安全两态论 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 6 P2DR安全的关键 检测 检测是静态防护转化为动态的关键 检测是动态响应的依据 检测是落实/强制执行安全策略的 有力工具 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 7 入侵检测的定义 NSTAC（National Security Telecommunications Advisory Board，国家安全通信委员会）的IDSG（Intrusion Detection Sub-Group)是一个由美国总统特许的保护国家关键基础设施的小组。 IDSG1997年给出了如下定义： 入侵（ Intrusion ）：对信息系统的非授权访问及（或）未经许可在信息系统中进行操作。 入侵检测（Intrusion Detection ）：对（网络）系统的运行状态进行监视，对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 8 入侵检测的起源和发展-1 1980年4月，James P. Anderson 《Computer Security Threat Monitoring and Surveillance》 （计算机安全威胁监控与监视） 1980年 Anderson提出：提出了精简审计的概念，风险和威胁分类方法 提出了利用审计跟踪数据监视入侵活动的思想 这份报告被公认为是入侵检测的开创性工作。 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 9 入侵检测的起源和发展-2 80年代，基于主机的入侵检测 1990，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM（Network Security Monitor） 该系统第