原创力文档- 1、本文档共30页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第二十讲 入侵检测技术 吴礼发,洪征,李华波 (wulifa@ ) 内容提纲 (一)Why? 防火墙:根据规则对进出网络的信息进行过滤 本身问题:可能存在安全漏洞成为被攻击的对象 配置不当:起不到作用 网络边界:有缺口(如 Modem,无线) 不是万能:入侵教程、工具随处可见,攻击模式的多样性,并不能阻止所有攻击 内部攻击(Abuse):并不是所有攻击均来自外部 误用(Misuse) 1987, Denning: Intrusion Detection (ID) is to detect a wide range of security violations from attempted break-ins by outsiders to systems penetration and abuses by insiders 2000, Allen Intrusion Detection (ID) is to monitor and collect system and network information and analyzes it to determine if an attack or an intrusion has occurred. 入侵检测:通过从计算机系统或网络的关键点收集信息并进行分析,从中发现系统或网络中是否有违反安全策略的行为和被攻击的迹象 被入侵的对象: 网络 计算机 应用(控制了计算机不一定能控制应用) 几个英文泀汇: Attack vs. Intrusion Attack vs. Intrude Attacker vs. Intruder (successful attacker) Victim (the target of an attack) vs. Compromised Host Vulnerability IDS:Intrusion Detection System A combination of hardware and software that monitors and collects system and network information and analyzes it to determine if an attack or an intrusion has occurred. Some ID systems can automatically respond to an intrusion. 入侵检测系统:是指实施入侵检测的软件与硬件的组合。 IPS: Intrusion Protection System 入侵检测 + 主动防御 主动防御: 预先对入侵活动和攻击性网络流量进行拦截,避免其造成任何损失,而不是简单地在恶意流量传送时或传送后才发出警报 发现攻击作出响应 存在问题: 由于增加了主动阻断能力,检测准确程度的高低对于IPS来说十分关键存在问题:多种技术融合 误报导致合法数据被阻塞 1980年4月,James P. Anderson:《Computer Security Threat Monitoring and Surveillance》: 入侵检测开山之作 第一次详细阐述了入侵检测的概念 对计算机系统威胁进行分类: 外部渗透、内部渗透和不法行为 提出了利用审计跟踪数据监视入侵活动的思想 从1984年到1986年:乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann:研究出了一个实时入侵检测系统模型—IDES(入侵检测专家系统) 1990,加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM(Network Security Monitor):第一次直接将网络流作为审计数据来源:新的一页(HIDS, NIDS) (一)检测方法 两种主要的检测方法: 特征检测(signature detection or misuse detection or signature-based detection or misuse-based detection) 异常检测(anomaly detection or anomaly-based detection) 方法一:特征检测方法 特征检测 定义:收集非正常操作的行为特征(signature),建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。 特征: 静态特征:如 signature analysis which is the interpretation of a series of packets (or a piece of data contained in those pack
您可能关注的文档
- 网络服务器配置与管理课件作者王国鑫_第一章节网络和网络服务.ppt
- 网络工程概论课件作者程良伦第1章节计算机网络概述(新).ppt
- 网络工程概论课件作者程良伦第2章节网络通信技术(新).ppt
- 网络工程概论课件作者程良伦第4章节局域网技术(新).ppt
- 网络工程概论课件作者程良伦第5章节网络互联(新).ppt
- 网络工程概论课件作者程良伦第7章节网格计算(新).ppt
- 网络工程概论课件作者程良伦第8章节网络安全技术(新).ppt
- 网络工程概论课件作者程良伦第9章节网络性能分析(新).ppt
- 网络工程概论课件作者程良伦第10章节网络程序设计(新).ppt
- 网络工程概论课件作者程良伦第11章节工业控制网络(新).ppt
文档评论(0)