武汉大学 网络安全讲座.pptVIP

异常检查 　　异常检查类IDS在实施时，一般是首先针对网络实体，包括用户、用户组、工作站、服务器、文件、网络适配器及其它网络资源等主体和对象定义一系列的变量，并建立基值。其次，当系统活动并发生变化时，根据每个主体和对象的利害关系动态地修改这些变量。 数据的异常变化理论，适合事务的发展规律。 对变量的跟踪不需要大量的内存。 异常检查对模式匹配发现不了的某些新的攻击具有检测与响应的能力。 异常检查的优点在于： 异常检查的缺点在于： 数据假设可能不合理，加权算法在统计意义上可能不准确。 对突发性正常事件容易引起误判断。 对长期、稳定的攻击方法灵敏度太低。 模式匹配 　在模式匹配实施中，首先是模式数据库的建立，通过专有知识和实践经验结合形成具有一定及时性的入侵模式数据，并且存在着定期更新的需求；其次需要注意对资源进行及时的回收，在大量的模式提交于分析器进行匹配检验时，有相当的一部分模式部分地匹配了数据库中的模式，但不能完全匹配，对这些匹配所分配的内存要及时回收，以免大量资源浪费导致分析系统失效。 模式匹配可以按功能划分，缩小模式数据库所涉及的模式量大小，也就是说模式匹配具有很强的可分割性、独立性。 模式匹配中有浮点计算，能提供更有效的入侵检测引擎。 模式匹配具有很强的针对性，对已知的入侵方法效率很高。 模式匹配的优点在于： 模式匹配的缺点在于： 可测量性与性能都和模式数据库的大小体系结构有关。 可扩展性差，没有通用的模式规格说明语言。 对新攻击的检测分析必须补充模式数据库。 通管不具务自学习能力。 攻击行为转化为模式比较困难，并且不具备统一性。 Below Threshold levels Exceed Threshold Levels System Audit Metrics Profiler Intrusion Normal Activity 异常检测模型 模式匹配示意图 人工免疫技术 　　无论是静态网络安全技术还是动态网络安全技术，都认为网络自身是安全的，而入侵是用户强加于安全系统的；而人工免疫技术认为网络自身就是不安全的，入侵是提高系统自身免疫能力的动力。 　　计算机系统自身具有安全脆弱性，使得计算机安全系统在计算机中的作用与自然免疫系统在生物体内的作用具有相似性，导致了许多计算机科学家对自然免疫系统的兴趣，希望能够建立一种高可靠性的、适应性的、不同于以往安全技术的新型技术───人工免疫。 　　传统的免疫学认为“免疫就是识别自我和非我，并消灭非我，保证机体完整性的一种生理反应。”而人工免疫就是将计算机系统中的所有合法对象与行为描述为自我，把所有的非法入侵、权限滥用等不合理对象、行为描述为非我，通过算法、模式匹配等人工定义的识别器进行识别，以达到驱分自我与非我，保证计算机系统完整性、可用性的一种机制 人工免疫系统构成 自我、非我划分 识别器新陈代谢 非我识别与消灭 人工免疫作为人工免疫系统的一种固有的机制，是由自我与非我划分、识别器新陈代谢、非我识别三大部分构成。 　　自我、非我划分部件主要是执行对自我与非我的对象、行为的界定，并向其他部件提供界定信息。 　　识别器新陈代谢主要是负责识别器的随机产生、识别器的培养与识别器的消亡。 　　非我识别与消亡主要是利用识别进行对非我的识别与响应，消费非我，以达到保证完整性、可用性的目的。 随机生成识别器 未成熟的识别器 培养成熟的识别器 活跃的识别器 记忆型识别器 死亡 ① ② ③ ④ 再此激活 ⑦ ⑧ ⑨ 存在匹配 识别器生命周期 识别器群体的演化 　　识别器的生命周期只是反映了单个识别器个体在免疫系统内部的生命历程，而整个免疫系统是依靠不同生命阶段的识别器组成的群体来完成免疫机制的。 在免疫系统内部有4个识别器群体：未成熟识器群体、成熟识别器群体、活跃识别器群体、记忆识别器群体。不同的群体在免疫系统中所担负的责任，担任的角色各不相同。 识别器群体的演化 随机 产生 未成熟 群体 培养 成熟 群体 补充 活跃 群体 激活 记忆 群体 演化变异 网络安全的发展方向 　　随着网络的不断发展，网络规模不断变大，网络问题日渐复杂，网络安全技术也处于不断的发展之中。 未来的网络安全技术： 智能化 分布式 标准化 谢谢各位！ 访问控制策略 自主访问控制（discretionary policies)，基于身份的访问控制IBAC(Identity Based Access Control) 基于角色的访问控制(role-based policies) 强制访问控制(mandatory policies), 基于规则的访问控制RBAC（Rule Based Access Control） 自主 访问控制 强制 访问控制 基于角色 访问控制 访问控制 如何制定访问控制权限 从四个方面