入侵检测技术4.ppt

第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 第四章 基于主机和网络的入侵检测技术 * 入侵检测技术与病毒防治 王凤广 laoxi18@163.com （0546）7396062 4.1 基于主机的入侵检测技术 基于主机的入侵检测系统（HIDS）通常是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑（特征或违反统计规律），入侵检测系统就会采取相应措施。 4.1 基于主机的入侵检测技术 优点 确定攻击是否成功 监视特定的系统活动 能够检查到基于网络的系统检查不出的攻击 适用被加密的和交换的环境 近于实时的检测和响应 不要求额外的硬件设备 一、特点 4.1 基于主机的入侵检测技术 缺点 主机入侵检测系统安装在我们需要保护的设备上 ，增加了额外的安全问题； 主机入侵检测系统依赖于服务器固有的日志与监视能力； 全面布署主机入侵检测系统代价较大 ； 主机入侵检测系统除了监测自身的主机以外，根本不监测网络上的情况。 具有系统相关性 一、特点 4.1 基于主机的入侵检测技术 数据获取方法 直接检测－－从数据产生或从属的对象直接获得数据； 间接检测－－从反映被检测对象行为的某个数据源获得数据。 二、审计数据的获取 4.1 基于主机的入侵检测技术 数据源 系统日志和审计信息； 应用程序日志； 系统活动； 网络行为。 二、审计数据的获取 4.1 基于主机的入侵检测技术 数据的预处理就是对系统获取到的各种相关数据进行归纳、转换等处理，使其符合系统的需求。 三、审计数据的预处理 4.1 基于主机的入侵检测技术 数据预处理的功能 数据集成－－主要是将来自不同探测器的结果或附加信息进行合并处理、解决语义的模糊性； 数据清理－－除去源数据中的噪音数据和无关数据； 数据变换－－主要是寻找数据的特征表示，用维变换或其他转换方法来减少有效变量的数量，寻找数据的不变式； 数据简化－－消除数据中的次要属性； 数据融合。 三、审计数据的预处理 4.1 基于主机的入侵检测技术 数据预处理的方法 基于粗糙集理论的约简法 面对日益增长的数据库，人们将如何从这些浩瀚的数据中找出有用的知识？我们如何将所学到的知识去粗取精？什么是对事物的粗线条描述什么是细线条描述？－－粗糙集合论回答了上面的这些问题 三、审计数据的预处理 4.1 基于主机的入侵检测技术 基于统计模型的入侵检测技术 基于专家系统的入侵检测技术 基于完整性检查的入侵检测技术 四、入侵检测技术 4.2 基于网络的入侵检测技术 基于网络的入侵检测系统（NIDS）放置在比较重要的网段内，不停地监视网段中的各种数据包。对每一个数据包进行特征分析。如果数据包与系统内置的某些规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接。 4.2 基于网络的入侵检测技术 优点 拥有成本较低 检测基于主机的系统漏掉的攻击 攻击者不易转移证据 实时检测和响应 检测未成功的攻击和不良意图 操作系统无关性 一、特点 4.2 基于网络的入侵检测技术 缺点 网络入侵检测系统只检查它直接连接网段的通信，不能检测在不同网段的网络包 网络入侵检测系统为了性能目标通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测 网络入侵检测系统可能会将大量的数据传回分析系统中 网络入侵检测系统处理加密的会话过程较困难 一、特点 4.2 基于网络的入侵检测技术 以太网是总线型的网络。一个计算机发送数据帧，该数据帧会