计算机病毒入侵检测系统.ppt

  1. 1、本文档共67页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
计算机病毒入侵检测系统

入侵检测系统 1 入侵检测系统概述 2 入侵检测系统的组成 3 入侵检测的相关技术 4 入侵检测系统Snort 5 入侵防御系统 6 实验:基于snort的入侵检测系统安装和使用 7 小结 习题 入侵检测系统的功能(小结) 1、监视并分析用户和系统的活动,查找非法用户和合法用户的越权操作; 2、检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞; 3、对用户的非正常活动进行统计分析,发现入侵行为的规律; 4、检查系统程序和数据一致性与正确性,如计算和比较文件系统的校验; 5、能够实时对检测到的入侵行为作出反应; 6、操作系统的审计跟踪管理。 入侵检测系统的性能指标 2、准确性指标 在很大程度上取决于测试时采用的样本集和测试环境。包括: 检测率(%):指被监控系统在受到入侵攻击时,检测系统能够正确报警的概率。通常利用已知入侵攻击的实验数据集合来测试系统的检测率。其值为:检测到的攻击数/攻击事件总数; 误警率(%):是指把那些正确事件误报为攻击以及把一种攻击行为误报为另一种攻击的概率,其值为:1-(正确的告警数/总的告警数); 漏警率(%):已经攻击而没有检测出来的攻击占所有攻击的概率,通常利用已知入侵攻击的实验数据集合来测试系统的漏报率。其值为(攻击事件-检测到的攻击数)/攻击事件总数; 重复报警率(%):重复报警占所有报警的比率,其值为重复报警数/总的报警数。 入侵检测系统的性能指标 3、效率指标 根据用户系统的实际需求,以保证入侵检测准确性的前提下,提高入侵检测系统的最大处理能力。效率指标也取决于不同的设备级别,如百兆网络环境下和千兆网络环境下入侵检测系统的效率指标一定有很大差别。效率指标主要包括:最大处理能力、每秒能监控的网络连接数、每秒能够处理的事件数等。 入侵检测系统的性能指标 最大处理能力: 指网络入侵检测系统在维持其正常检测率的情况下,系统低于其漏警指标的最大网络流量。目的是验证系统在维持正常检测的情况下能够正常报警的最大流量。以每秒数据流量(Mbps或Gbps)来表示。取决于三个因素,其一是入侵检测系统抓包能力,其二是分析引擎的分析能力,最后还与数据包的大小有直接关系,相同流量下,网络数据包越小,数据包越多,处理能力越差。 入侵检测系统的性能指标 最大处理能力:指网络入侵检测系统在维持其正常检测率的情况下,系统低于其漏警指标的最大网络流量。目的是验证系统在维持正常检测的情况下能够正常报警的最大流量。以每秒数据流量(Mbps或Gbps)来表示。取决于三个因素,其一是入侵检测系统抓包能力,其二是分析引擎的分析能力,最后还与数据包的大小有直接关系,相同流量下,网络数据包越小,数据包越多,处理能力越差。 入侵检测系统的性能指标 最大处理能力:指网络入侵检测系统在维持其正常检测率的情况下,系统低于其漏警指标的最大网络流量。目的是验证系统在维持正常检测的情况下能够正常报警的最大流量。以每秒数据流量(Mbps或Gbps)来表示。取决于三个因素,其一是入侵检测系统抓包能力,其二是分析引擎的分析能力,最后还与数据包的大小有直接关系,相同流量下,网络数据包越小,数据包越多,处理能力越差。 入侵检测系统的性能指标 每秒能监控的网络连接数:网络入侵检测系统不仅要对单个的数据包作检测,还要将相同网络连接的数据包组合起来作分析。网络连接的跟踪能力和数据包重组能力是网络入侵检测系统进行协议分析、应用层入侵分析的基础。例如:检测利用HTTP协议的攻击、敏感内容检测、邮件检测、Telnet会话的记录与回放、硬盘共享的监控等。 每秒能够处理的事件数:网络入侵检测系统检测到网络攻击和可疑事件后,会生成安全事件或称报警事件,并将事件记录在事件日志中。每秒能够处理的事件数,反映了检测分析引擎的处理能力和事件日志记录的后端处理能力。 入侵检测系统的性能指标 4、系统指标 系统指标主要表示系统本身运行的稳定性和使用的方便性。系统指标主要包括:最大规则数、平均无故障间隔等。 最大规则数:系统允许配置的入侵检测规则条目的最大数目。 平均无故障间隔:系统无故障连续工作的时间。 入侵检测系统的性能指标 5、其它指标 系统结构:好的IDS应能采用分级、远距离分式部署 和管理。 8.4 入侵检测系统Snort 8.4.1 Snort概述 Snort是一个功能强大、跨平台、轻量级的网络入侵检测系统,从入侵检测分类上来看,Snort应该是个基于网络和误用的入侵检测软件。它可以运行在Linux、OpenBSD、FreeBSD、Solaris、以及其它Unix 系统、Windows等操作系统之上。Snort是一个用C语言编写的开

文档评论(0)

ligennv1314 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档