第12讲 网络安全技术-精品·公开课件.ppt

信息安全技术 * * 2、基于网络的入侵检测系统：主要用于实时监控网络关键路径的信息，监听网络上所有分组来采集数据，分析可疑现象。 利用网络适配器 来实时监视和分析所 有通过网络进行传输 的通信。一旦检测到 攻击，IDS相应模块 通过通知、报警以及 中断连接等方式来对 攻击做出反应。 分析结果 网络接口 网络接口 分析引擎模块 管理/配置模块 网络安全 数据库 采集模块 采集模块 §11.2 入侵检测技术 信息安全技术 * * 优点： ①检测的范围是整个网段，而不仅仅是被保护的主机。 ②实时检测和应答。一旦发生恶意访问或攻击，能够更快 地做出反应，将入侵活动对系统的破坏减到最低。 ③隐蔽性好。不需要在每个主机上安装，不易被发现。 ④不需要任何特殊的审计和登录机制，只要配置网络接口 就可以了，不会影响其他数据源。 ⑤操作系统独立。基于网络的IDS并不依赖主机的操作系统 作为检测资源。 §11.2 入侵检测技术 信息安全技术 * * 缺点： ①只检查它直接连接网段的通信； ②为了性能目标常采用特征检测法，难实现复杂计算与分析。 ③会将大量的数据传给检测分析系统。 §11.2 入侵检测技术 信息安全技术 * * 入侵检测系统关键技术 1、模式匹配： 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。模式匹配方法是入侵检测领域中应用最为广泛的检测手段和机制之一，通常用于误用检测。 2、统计分析： 统计分析方法首先给用户、文件、目录和设备等系统对象创建一个统计描述。统计正常使用时的一些测量属性，测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。 §11.2 入侵检测技术 信息安全技术 * * 3、专家系统： 专家系统是一种以知识为基础，根据人类专家的知识和经验进行推理，解决需要专家才能解决的复杂问题的计算机程序系统。用专家系统对入侵进行检测主要是针对误用检测，是针对有特征入侵的行为。 4、神经网络： 神经网络具有自适应、自组织、自学习的能力，可以处理一些环境信息复杂、背景知识不清楚的问题。 §11.2 入侵检测技术 信息安全技术 * * 5、数据挖掘： 数据挖掘是从大量的数据中抽取出潜在的、有价值的知识 （即模型或规则）的过程。对于入侵检测系统来说，也需要从大量的数据中提取入侵特征。 6、协议分析： 协议分析是利用网络协议的高度规则性快速探测攻击的 存在。协议分析技术对协议进行解码，减少了入侵检测系统需要分析的数据量。 §11.2 入侵检测技术 信息安全技术 * * 入侵检测系统模型介绍 1、分布式 入侵 检测 系统： §11.2 入侵检测技术 信息安全技术 * * 入侵检测系统模型介绍 2、基于 移动 代理的 入侵 检测 系统： §11.2 入侵检测技术 信息安全技术 * * 入侵检测系统模型介绍 3、智能 入侵 检测 系统： §11.2 入侵检测技术 信息安全技术 * * 入侵检测系统标准化 1、IETF的入侵检测工作组IDWG： IDWG的工作目标是定义入侵检测系统中的数据格式、信息交换过程和交换协议。IDWG的文档定义了入侵检测系统中信息交换需求IDMER、信息交换的格式IDMEF、入侵检测交换协议IDXP以及一种可以绕过防火墙的数据传输方法TUNNEL。 2、通用入侵检测框架CIDF： CIDF是一套规范，它定义了IDS表达检测信息的标准语言 以及IDS组件之间的通信协议。CIDF的文档由四个部分组成：体系结构、规范语言、内部通信和程序接口。 §11.2 入侵检测技术 信息安全技术 * * （1）体系结构 事件产生器：负责从整个计算环境中获取事件，然后将事件转化为GIDO标准格式提交给其它组件使用。 事件分析器：事件分析器从其他组件接收GIDO数据，并分析它们，然后以一个新的GIDO形式返回分析结果。 事件数据库：事件数据库负责GIDO的存储，是存放各种中间和最终数据的地方的统称。 响应单元：响应单元是对分析结果作出反应的功能单元，它可以是终止进程、切断连接、改变文件属性，也可以只是简单的报警和记录。 §11.2 入侵检测技术 信息安全技术 * * （2）规范语言 规范语言定义了一个用来描述各种检测信息的标准语言， 定义了一种用于表示原始事件信息、分析结果和响应