防火墙入侵坠检测技术的概念.pptVIP

入侵检测原理与技术 入侵检测的概念 入侵检测系统的组成与实例 保密性（Confidentiality）； 完整性（Integrity）； 认证（Authenticity）：实体身份的认证，适用于用户、进程、系统、信息等； 不可否认性（ Non-repudiation）：防止发送方或接收方的抵赖； 可用性（Availability）。 加密：常规加密、公开密钥加密； 数据鉴别：消息摘要； 数字签名； 身份认证：口令、身份认证协议、生物特征； 网络安全协议： IPSec、SSL、PGP、S/MIME； 网络安全产品与技术：防火墙、VPN； 应用程序防护: 防病毒、防止缓冲区溢出等。 人因攻击：社会工程、盗窃行为； 物理攻击：电磁脉冲炸弹等； 数据攻击：非法获取数据、篡改数据； 身份冒充：IP欺骗、会话重放、会话劫持； 非法使用：利用系统的漏洞（缓冲区溢出）； 拒绝服务：EMAIL轰炸等。 伪装者：未被授权的使用计算机的人（Outside）； 违法者：访问没有经过授权的数据、程序和资源的合法用户（Inside）； 秘密用户：夺取系统超级控制并使用这种控制权逃避审计和访问控制，或者抑制审计记录的人（Outside Inside）。 身份认证 安全访问控制 入侵检测系统 入侵检测系统存在与发展的必然性 网络攻击的破坏性、损失的严重性 日益增长的网络安全威胁 单纯的防火墙无法防范复杂多变的攻击 关于防火墙 网络边界的设备，自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 入侵很容易 入侵教程随处可见 各种工具唾手可得 入侵检测技术——概念 入侵检测的起点——主机审计 入侵检测的定义 入侵检测发展的历程 IDS分类 主机审计 审计技术：产生、记录并检查按时间顺序排列的系统事件记录的过程。 审计的目标： 确定和保持系统活动中每个人的责任； 重建事件； 评估损失； 监测系统的问题区； 提供有效的灾难恢复； 阻止系统的不正当使用。 入侵检测的定义 对系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性； 进行入侵检测的软件与硬件的组合便是入侵检测系统； IDS : Intrusion Detection System 。 入侵检测发展的历程1 1980年4月，James P. Anderson 《Computer Security Threat Monitoring and Surveillance》 （计算机安全威胁监控与监视） 第一次详细阐述了入侵检测的概念； 计算机系统威胁分类: 外部渗透、内部渗透和不法行为； 提出了利用审计跟踪数据监视入侵活动的思想； 这份报告被公认为是入侵检测的开山之作。 入侵检测发展的历程2 入侵检测发展的历程3 1988年， SRI公司CSL实验室的Teresa Lunt等人改进了Denning的入侵检测模型，研究出了一个实时入侵检测系统模型IDES（Intrusion Detection Expert System。 IDES是一个综合入侵检测系统，同时采用专家系统（误用检测）和统计分析（异常检测）两种检测技术。 入侵检测发展的历程4 1990，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM（Network Security Monitor）； 该系统第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机； 入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的IDS和基于主机的IDS 。 入侵检测发展的历程5 入侵检测的分类（1） 按照数据来源： 基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机； 基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行； 混合型。 入侵检测的分类（2） 按照分析方法（检测方法） 异常检测（Anomaly Detection ):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。 误用检测（Misuse Detection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。 异常检测 也称为基于行为的检测 建立用户的正常使用模式的知识库，标识出不符合正常模式的行为活动 特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要对每种入侵行为进行定义，因此能有效检测未知的入侵。同时系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源。 常用技术 统计方法 预测模式 神经网络 误用检测 也称为基于