- 1、本文档共8页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
本资料由彭方举同学提供,有疑问请于本人联系
PAGE \* MERGEFORMAT8
入侵检测概述
入侵检测的概念:通过从计算机网络或计算机系统中的若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
入侵的定义:入侵是指在非授权的情况下,试图存取信息、处理信息或破坏系统以使系统不可靠、不可用的故意行为。
进行入侵检测的软件和硬件的组合称为入侵检测系统。
入侵检测系统的作用:
通过检测和记录网络中的安全违规行为,惩罚网络犯罪,防止网络入侵事件的发生;
检测其他安全措施未能阻止的攻击或安全违规行为;
检测黑客在攻击前的探测行为,预先给管理员发出警报;
报告计算机系统或网络中存在的安全威胁;
提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,利于其进行修补;
在大型、复杂的计算机网络中布置入侵检测系统,可以显著提高网络安全管理的质量。
传统安全技术的局限性(防火墙弱点和不足):
(1)防火墙无法阻止内部人员所做的攻击;
(2)防火墙对信息流的控制缺乏灵活性;
(3)在攻击发生后,利用防火墙保存的信息难以调查和取证。
6. 入侵检测系统的基本原理:主要分为4个阶段:数据收集、数据处理、数据分析和响应处理。(图 P7)
攻击者
攻击者
入侵检测系统
入侵检测系统
数据收集响应处理数据分析数据处理
数据收集
响应处理
数据分析
数据处理
包
具有脆弱性的系统和网络
具有脆弱性的系统和网络
入侵检测系统的基本原理
7.入侵检测系统的基本工作模式:(图 P7)
(1)从系统的不同环节收集信息;
(2)分析该信息,试图寻找入侵活动的特征;
(3)自动对检测到的行为做出响应;
(4)记录并报告检测过程的结果。
报警并采取相应措施
报警并采取相应措施
报警原始数据
报警
异常入侵检测系统日志
异常入侵检测
系统日志
包
包
误用入侵检测
误用入侵检测
周期性检测实时检测
周期性检测
实时检测
入侵检测系统的基本工作模式
8.入侵检测的分类:
(1)按照入侵检测系统所采用的技术:误用入侵检测、异常入侵检测和协议分析;(协议分析是在传统模式匹配技术基础上发展起来的。协议分析即使在高负载的高速网络上,也能逐个分析所有的数据包。误用入侵检测是将已有的入侵方法检测出来,但对新的入侵方法无能为力。)
(2)按照数据来源可以分为:基于主机的IDS、基于网络的IDS、混合式IDS、文件完整性检查式IDS。(数字文摘)
(3)按照检测技术来分类:异常检测式IDS,误用检测式IDS以及协议分析式。
第二章 常见的入侵方法与手段
1.漏洞的具体表现:
(1)存储介质不安全; (2)数据的可访问性;
(3)信息的聚生性; (4)保密的困难性;
(5)介质的剩磁效应; (6)电磁的泄露性;
(7)通信网络的脆弱性;(8)软件的漏洞。
2.攻击的概念和分类:根据攻击者是否直接改变网络的服务,攻击可以分为被动攻击和主动攻击。
主动攻击会造成网络系统状态和服务的改变。
被动攻击不直接改变网络的状态和服务。
3.攻击的一般流程:(1)隐藏自己; (2)踩点或预攻击探测;
(3)采取攻击行为; (4)清除痕迹。
4.Ping扫描:ping是一个DOS命令,它的用途是检测网络的连通状况和分析网络速度。
5.导致内存缓冲区溢出问题的一些原因:
(1)使用非类型安全的语言,如C/C++等;
(2)以不可靠的方式存取或者复制内存缓冲区;
(3)编译器设置的内存缓冲区太靠近关键数据结构。
第三章 入侵检测系统模型
1.入侵检测系统模型的3个模块:信息收集模块、信息分析模块和报警与响应模块。
报警与响应信息分析信息收集
报警与响应
信息分析
信息收集
信息收集概述:
分布式与集中式数据收集机制;
直接监控与间接监控;
基于主机的数据收集和基于网络的数据收集;
外部探测器和内部探测器。
信息的来源:
(1)系统和网络日志文件;
(2)目录和文件中不期望的改变;
(3)程序执行中的不期望行为;
(4)物理形式的入侵。
在入侵检测系统中,传感器和事件分析器之间的通信分为两层:OWL层和SSL层。OWL层负责使用OWL语言将传感器收集到的信息转换成统一的OWL语言字符串。SSL层使用SSL协议进行通信。
信息的标准化:Web本体语言(OWL)已经逐渐成为语义信息描述的事实标准,本体语言主要有RDF、本体互换语言(OIL)、DARPA、DAML。OIL以RDF为起点。DAML尝试将RDF与OIL的优点结合起来产生了DAML+OIL。(图 P45)
传感器A数据源
传感器A
数据源
传感器B 操作人员
传感器B
文档评论(0)