计算机网络与信息安全技术课件作者俞承杭章节09入侵检测与防御技术.ppt

计算机网络与信息安全技术课件作者俞承杭章节09入侵检测与防御技术.ppt

  1. 1、本文档共28页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
尚辅网 / * 入侵检测与防御技术 第 9 章 基本内容 防火墙是网络系统的第一道安全闸门,但一般网络系统必须对外开放一些应用端口,如80、110等,这时防火墙的不足就会充分体现出来。为此我们必须借助更深入的防护技术来实施保护,本章介绍其中的一种方法,即入侵检测技术。 9.1 入侵检测系统概述 防火墙是所有保护网络的方法中最能普遍接受的方法,能阻挡外部入侵者,但对内部攻击无能为力;同时,防火墙绝对不是坚不可摧的,即使是某些防火墙本身也会引起一些安全问题。防火墙不能防止通向站点的后门,不提供对内部的保护,无法防范数据驱动型的攻击,不能防止用户由Internet上下载被病毒感染的计算机程序或将该类程序附在电子邮件上传输。 入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。 9.1 入侵检测系统概述 9.1.1 相关术语 攻击 ?攻击者利用工具,出于某种动机,对目标系统采取的行动,其后果是获取/破坏/篡改目标系统的数据或访问权限 事件 ?在攻击过程中发生的可以识别的行动或行动造成的后果;在入侵检测系统中,事件常常具有一系列属性和详细的描述信息可供用户查看。 ? CIDF 将入侵检测系统需要分析的数据统称为事件(event) 入侵 ?对信息系统的非授权访问及(或)未经许可在信息系统中进行操作 入侵检测 ?对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程 入侵检测系统(IDS) ?用于辅助进行入侵检测或者独立进行入侵检测的自动化工具 9.1 入侵检测系统概述 9.1.1 相关术语 入侵检测(Intrusion Detection)技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。一旦发现网络入侵现象,则应当做出适当的反应。对于正在进行的网络攻击,则采取适当的方法来阻断攻击(与防火墙联动),以减少系统损失。对于已经发生的网络攻击,则应通过分析日志记录找到发生攻击的原因和入侵者的踪迹,作为增强网络系统安全性和追究入侵者法律责任的依据。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。 9.1 入侵检测系统概述 9.1.2 入侵检测 9.1 入侵检测系统概述 入侵检测系统 入侵检测系统(IDS)由入侵检测的软件与硬件组合而成,被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护。这些都通过它执行以下任务来实现: 1)监视、分析用户及系统活动。 2)系统构造和弱点的审计。 3)识别反映已知进攻的活动模式并向相关人士报警。 4)异常行为模式的统计分析。 5)评估重要系统和数据文件的完整性。 6)操作系统的审计跟踪管理,并识别用户违反安全策略的行为。 9.1 入侵检测系统概述 9.1.3 入侵检测系统的作用 ?监控网络和系统 ?发现入侵企图或异常现象 ?实时报警 ?主动响应 ?审计跟踪 形象地说,它就是网络摄像机,能够捕获并记录网络上的所有数据,同时它也是智能摄像机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是X光摄像机,能够穿透一些巧妙的伪装,抓住实际的内容。它还不仅仅只是摄像机,还包括保安员的摄像机. 9.1 入侵检测系统概述 9.1.4 入侵检测的发展历程 1980年,概念的诞生 1984~1986年,模型的发展 1990年,形成网络IDS和主机IDS两大阵营 九十年代后至今,百家争鸣、繁荣昌盛 9.2 入侵检测的原理与技术 9.2.1 入侵检测的实现方式 入侵检测系统根据数据包来源的不同,采用不用的实现方式,一般地可分为网络型、主机型,也可是这两种类型的混合应用。 ?基于网络的入侵检测系统(NIDS) ?基于主机的入侵检测系统(HIDS) ?混合型入侵检测系统(Hybrid IDS) 9.2 入侵检测的原理与技术 图9-1 网络IDS工作模型 9.2 入侵检测的原理与技术 9.2.2 IDS的基本结构 无论IDS系统是网络型的还是主机型的,从功能上看,都可分为两大部分:探测引擎和控制中心。前者用于读取原始数据和产生事件;后者用于显示和分析事件以及策略定制等工作。 9.2 入侵检测的原理与技术 9.2.2 IDS的基本结构 引擎的工作流程 引擎的主要功能为:原始数据读取、数据分析、产生事件、策略匹配、事件处理、通信等功能 9.2 入侵检

您可能关注的文档

文档评论(0)

带头大哥 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档