- 2
- 0
- 约2.36千字
- 约 26页
- 2018-03-06 发布于江西
- 举报
信息安全原理与技术ch10-入侵检测
Ch10-入侵检测 信息安全原理与技术 郭亚军 宋建华 李莉 清华大学出版社 第10章 入侵检测 主要知识点: -- 入侵检测概述 -- 入侵检测系统分类 --入侵检测系统分析技术 10.1 入侵检测概述 安全研究的历史给了我们一个有价值的教训——没有100%的安全方案,无论多么安全的方案都可能存在这样或那样的漏洞,不管在网络中加入多少入侵预防措施(如加密、防火墙和认证),通常还是会有一些被人利用而入侵的薄弱环节。 10.1.1 入侵检测基本概念 入侵 一些试图损害一个资源的完整性、有效性的行为集合。 入侵检测(Intrusion Detection) 是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。 入侵检测系统(IDS)的主要任务 监视、分析用户及系统活动; 系统构造和弱点的审计; 识别反映已知进攻的活动模式并向相关人士报警; 异常行为模式的统计分析; 评估重要系统和数据文件的完整性; 操作系统的审计跟踪管理,并识别用户违反安全策略的行为。 入侵检测系统的三个组成部分 提供事件记录流的信息资源 发现入侵事件的分析引擎 对分析引擎的输出做出反应的响应组件 10.1.2 入侵检测系统基本模型 IDES模型 IDM模型 公共入侵检测框架CIDF IDES模型 改进的IDES模型 层次化入侵检测模型(IDM) 公共入侵检测框架CIDF 10.2 入侵检测系统分类 根据数据源分类 基于主机的入侵检测系统 基于网络的入侵检测系统 分布式入侵检测系统 根据分析引擎分类 异常入侵检测 误用入侵检测 从响应的角度分类 报警响应 手工响应 主动响应 根据检测速度分类 实时检测 离线检测 10.2.1 基于主机的入侵检测系统(HIDS) 10.2.2 基于网络的入侵检测系统(NIDS) 数据来源 利用网卡的杂收模式,获得经过本网段的所有数据信息,从而实现获取网络数据的功能。 10.2.3 分布式入侵检测系统(DIDS) 传统的IDS普遍存在的问题 系统的弱点或漏洞分散在网络中各个主机上,这些弱点有可能被入侵者一起用来攻击网络,而仅依靠HIDS或NIDS不能发现更多的入侵行为。 现在的入侵行为表现出相互协作入侵的特点,例如分布式拒绝服务攻击(DDoS)。 入侵检测所需要的数据来源分散化,收集原始的检测数据变得困难,如交换型网络使得监听网络数据包受到限制。 由于网络传输速度加快,网络流量不断增大,所以集中处理原始数据的方式往往造成检测的实时性和有效性大打折扣。 DIDS的分布性 数据包过滤的工作由分布在各网络设备(包括联网主机)上的探测代理完成; 探测代理认为可疑的数据包将根据其类型交给专用的分析层设备处理。 DIDS结构框图 10.3 入侵检测系统分析技术 异常检测技术 误用检测技术 10.3.1 异常检测技术 10.3.2 误用检测技术 * IDS的用途 攻击工具 攻击命令 攻击机制 目标网络 网络漏洞 目标系统 系统漏洞 攻击者 漏洞扫描 评估 加固 攻击过程 实时 入侵 检测 主体 安全监控器 对象 审计数据 系统 轮廓 攻击状态 添加新规则 实时信息 规则 匹配 审计数据源 模式匹配器 轮廓特征引擎 异常检测器 策略规则 警告/报告 产生器 层次 名称 解释说明 6 安全状态(security state) 网络整体安全情况 5 威胁(thread) 动作产生的结果种类 4 上下文(context) 事件发生所处的环境 3 主体(subject) 事件的发起者 2 事件(event) 日志记录特征性质和表示动作描述 1 数据(data) 操作系统或网络访问日志记录 原始事件 原始事件 原始事件 存储事件 高级事件 响应事件 响应单元 事件分析器 事件数据库 事件产生器 数据来源 操作系统审计记录(由专门的操作系统机制产生的系统事件记录) 系统日志(由系统程序产生的用于记录系统或应用程序事件的文件,通常以文本文件的方式存放) 基于应用的日志信息 基于目标的对象信息 基于主机的IDS的优点 能更准确地确定出攻击是否成功。 能监视特定的系统活动。 基于主机的IDS可以检测到那些基于网络的系统察觉不到的攻击。 由于基于主机的IDS系统安装在企业的各种主机上,它们更加适合于交换的环境和加密的环境。 检测和响应速度接近实时。 花费更加低廉。 基于网络的IDS的优点 能检测基于主机的系统漏掉的攻击。 攻击者不易转移证据。 实时检测和响应。 可检测未成功的攻
您可能关注的文档
- 今麦郎营销:一本一台帐090518.ppt
- 仁爱英语八年级下Topic 2 I must ask him to give up smoking课件.ppt
- 从2016欧洲血脂新指南看降脂依从性在冠心病管理中的重.ppt
- 从“银色小屋”到“声音涵洞”——伊东丰雄作品(ppt).ppt
- 从咨询机构角度看招商引资(PPT 27页).ppt
- 从大学教育教学目标的实现看FD(Faculty Development)活动的意义、组织与实施.ppt
- 从剪纸《生命花树》谈起 抓髻娃娃与故国官方剪纸艺术_...[精品].ppt
- 从无线充电技术说起(PPT 精品).ppt
- 从水的特殊物理性质 -------漫谈氢键(PPT-33).ppt
- 从汽车环保和轻量化展望复合材料发展趋势(ppt 10).ppt
- 2025-2026学年天津市和平区高三(上)期末数学试卷(含解析).pdf
- 2025-2026学年云南省楚雄州高三(上)期末数学试卷(含答案).pdf
- 2025-2026学年甘肃省天水市张家川实验中学高三(上)期末数学试卷(含答案).docx
- 2025-2026学年福建省厦门市松柏中学高二(上)期末数学试卷(含答案).docx
- 2025-2026学年广西钦州市高一(上)期末物理试卷(含答案).docx
- 2025-2026学年河北省邯郸市临漳县九年级(上)期末化学试卷(含答案).docx
- 2025-2026学年河北省石家庄二十三中七年级(上)期末历史试卷(含答案).docx
- 2025-2026学年海南省五指山市九年级(上)期末化学试卷(含答案).docx
- 2025-2026学年河北省唐山市玉田县九年级(上)期末化学试卷(含答案).docx
- 2025-2026学年河北省邢台市市区九年级(上)期末化学试卷(含答案).docx
最近下载
- (苏教版)数学五年级上册寒假“天天练”作业设计,含30份题组,附参考答案.doc
- 有限空间作业注意事项.pptx VIP
- 从明代土地产权制度弊端剖析古代土地制度的困境与启示.docx
- 工贸企业常见安全生产隐患诊断检查指导书.pdf VIP
- 麓山景区2006-2020详细规划.doc VIP
- 《地基与基础培训》课件.ppt VIP
- 2026年村卫生室基本公共卫生服务工作计划.docx VIP
- 阿姆斯壮Armstrong--THE BRAIN® DMC80再循环水温控制样本.pdf
- 《地下工程建设疏干排水水资源论证导则》.pdf VIP
- GB 17167-2025用能单位能源计量器具配备和管理通则.pdf
原创力文档

文档评论(0)