第8章入侵检测技术.pptVIP

1、入侵检测的概念：任务 2、入侵检测的分类 2、入侵检测的分类 2、入侵检测的分类 3.3 基于Agent的入侵检测 无控制中心的多Agent结构，每个检测部件都是独立的检测单元，尽量降低了各检测部件间的相关性，不仅实现了数据收集的分布化，而且将入侵检测和实时响应分布化，真正实现了分布式检测的思想。 该模型的检测单元IDA是分布在网络系统的各个位置，每个IDA独立地检测系统或网络安全的一个方面，有独立的数据获取方式、运行模式或可选规则库，各IDA之间进行相互协作，对系统和网络用户的异常或可疑行为进行检测。 图 10 基于Agent的入侵检测系统模型 3.4 入侵检测的新技术 1．基于生物免疫的入侵检测 基于生物免疫的入侵检测方法是通过模仿生物有机体的免疫系统工作机制，使得受保护 的系统能够将非自我（non self）的非法行为与自我（self）的合法行为区分开来。 * * 入侵检测技术 1 入侵检测概述 2 入侵检测原理 3 入侵检测系统的关键技术 4 基于数据挖掘的智能化入侵检测系统设计 1 入侵检测概述 入侵检测的内容：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。 入侵检测（Intrusion Detection）：通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测系统（IDS）：入侵检测的软件与硬件的组合，是防火墙的合理补充，是防火墙之后的第二道安全闸门。 1、入侵检测的概念：模型 · 监视、分析用户及系统活动，查找非法用户和合法用户的越权操作； · 系统构造和弱点的审计，并提示管理员修补漏洞； · 识别反映已知进攻的活动模式并报警，能够实时对 检测到的入侵行为进行反应； · 异常行为模式的统计分析，发现入侵行为的规律； · 评估重要系统和数据文件的完整性； · 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 1.2 研究入侵检测的必要性 因为访问控制和保护模型本身存着在以下问题。 （1）弱口令问题。 （2）静态安全措施不足以保护安全对象属性。 （3）软件的Bug-Free近期无法解决。 （4）软件生命周期缩短和软件测试不充分。 （5）系统软件缺陷的修补工作复杂，而且源代码大多数不公开，也缺乏修补Bug的专门技术，导致修补进度太慢，因而计算机系统的不安全系统将持续一段时间。 入侵检测的主要目的有：识别入侵者；识别入侵行为；检测和监视已成功的安全突破；为对抗措施即时提供重要信息。因而，入侵检测是非常必要的，可以弥补传统安全保护措施的不足。 入侵检测系统的主要功能是检测，当然还有其他的功能选项，因而增加了计算机系统和网络的安全性。 使用入侵检测系统有如下优点： ① 检测防护部分阻止不了的入侵； ② 检测入侵的前兆； ③ 对入侵事件进行归档； ④ 对网络遭受的威胁程度进行评估； ⑤ 对入侵事件进行恢复。 入侵检测系统利用优化匹配模式和统计学技术把传统的电子数据处理和安全审查结合起来，已经发展成为构筑完整的现代网络安全技术的一个必不可少的部分。 一、什么是入侵检测 根据所采用的技术可以分为： 1）异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。 2）特征检测：特征检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。 一、什么是入侵检测 根据所监测的对象来分： 1）基于主机的入侵检测系统（HIDS）：通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是这些系统的弱点之一，入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。 2）基于网络的入侵检测系统（NIDS）：通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。 一、什么是入侵检测 根据系统的工作方式分为： 1）离线检测系统：离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。 2）在线检测系统：在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析，实时主机审计分析。其工作过程是实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。