密码编码学与网络安全--入侵检测技术.docxVIP

《密码编码学与网络安全--入侵检测技术》工硕计算机12班--赵瑞辰 PAGE7 / NUMPAGES7 前沿讲座报告 工硕计算机12班 赵瑞辰 讲座题目：《密码编码学与网络安全--入侵检测技术》 讲座时间：2013年5月26日 宣讲人： 袁春 观众: 清华大学深圳研究生院工硕计算机12班全体学员 2013年5月26日，在清华大学深圳大学城聆听袁春教授所做一场关于密码编码学与网络安全重要技术的前科科技的讲座，在讲座中，由于时间限制和我们有限的知识水平，袁春教授从大处着眼，介绍了入侵检测技术的产生背景、目标和主要方式，还介绍了入侵检测技术目前发展的状况和案例，是我们工硕计算机12班全体学员对入侵检测技术的网络安全前沿科技有了最新的掌握。 总体来说，也许理论上逻辑上的很专业的知识，我们只初探窥镜，但袁春教授利用两个多小时的时间，就基本上将入侵检测技术???网络安全前沿科技知识在我们的脑海中勾勒了出来。 在讲座中，我了解了对入侵检测技术的网络安全技术的发展历史和现状。 互联网络的蓬勃发展给人们的工作生活带来极大的便利，然而，随着现代化网络应用的普及，伴随而来的网络不安全因素也给网络信息安全带来了严峻挑战，入侵检测技术作为一种很重要的安全包围技术，日益引起重视。 传统安全技术主要有： 加密 消息摘要、数字签名 身份鉴别：口令、鉴别交换协议、生物特征 访问控制 安全协议： IPsec、SSL 网络安全产品与技术：防火墙、VPN 内容控制: 防病毒、内容过滤等 美国的NSTAC（国家安全通信委员会）的IDSG在1997年对入侵和入侵检测给出了如下定义： 入侵（ Intrusion ）：对信息系统的非授权访问及（或）未经许可在信息系统中进行操作。 入侵检测（Intrusion Detection ）：对（网络）系统的运行状态进行监视，对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。 入侵检测技术作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测技术系统能很好的弥补防火墙的不足，从某种意义上说是防火墙的补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测技术被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。入侵检测是监测计算机网络和系统以发现违反安全策略事件的过程。简单地说，入侵检测系统包括三个功能部件： 信息收集 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集信息，尽可能扩大检测范围，但是从一个源来的信息有可能看不出疑点 信息分析 信息分析有包含模式匹配、统计分析、完整性分析等。 模式匹配（误用检测）:模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。 统计分析（异常检测）:统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。 完整性分析，往往用于事后分析，主要关注某个文件或对象是否被更改。 （3）结果处理 对于入侵检测的分类，从不同的角度，可以有多中分类： 按照数据来源： 基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机。 基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行。 混合型： 按照分析方法（检测方法） 异常检测模型（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵 。 误用检测模型（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵 。 根据时效性： 脱机分析：行为发生后，对产生的数据进行分析。早期比较流行 联机分析：在数据产生的同时或者发生改变时进行分析。 按系统各模块的运行方式 集中式：系统的各个模块包括数据的收集分析集中在一台主机上运行。 分布式：系统的各个模块分布在不同的计算机和设备上。 误用入侵检测是对已知系统和应用软件的弱点进行入侵建模， 从而对观测到的用户行为 和资源使用情况进行模式匹配而达到检测的目的。 误用入侵检测的主要假设是入侵活动能够 被精确地按照某种方式进行编码并可以识别基于同