信息安全管理第十一章.pdf

第十一章 入侵检测与密码学 第十一章 入侵检测与密码学 引入：小区的杀人案 一、入侵检测 1.入侵检测概念 －－对潜在的有预谋的未经授权的访问信息、操作 信息以及致使系统不可靠、不稳定或无法使用的企 图的检测和监视 －－入侵检测对安全保护采取的是一种积极、主动 的防御策略，而传统的安全技术都是一些消极、被 动的保护措施。 －－入侵检测在不影响网络性能的情况下能对网络 进行监测，从而提供对内部攻击、外部攻击和误操 作的实时保护。这些都通过它执行以下任务来实现 （1）监视、分析用户及系统活动； （2 ）系统构造和弱点的审计； （3 ）识别反映已知进攻的活动模式并向相关人士 报警； （4 ）异常行为模式的统计分析； （5）评估重要系统和数据文件的完整性； （6）操作系统的审计跟踪管理，并识别用户违反 安全策略的行为。 2.入侵检测模型 －－事件产生器可根据具体应用环境而有所不同， 一般来自审计记录、网络数据包以及其它可视行 为，这些事件构成了入侵检测的基础 －－行为特征表是整个检测系统的核心，它包含了 用于计算用户行为特征的所有变量 －－规则模块可以由系统安全策略、入侵模式等组 成，它一方面为判断是否入侵提供参考机制，另一 方面可根据事件记录、异常记录以及有效