计算机系统安全演示课件.pptVIP

1、技术分类 三、入侵检测技术分析 入侵检测技术分为两种：特征检测、异常检测。 多数IDS以特征检测为主，异常检测为辅。 1）特征检测（误用检测、模式发现） 假设入侵者活动可以用某种模式来表示，系统的目标是检测主体活动是否与这些模式匹配。 关键：入侵模式描述，区分入侵与正常行为。 优点：误报少。 局限：不能发现未知的攻击。 好好的 1、技术分类 三、入侵检测技术分析 2）异常检测（异常发现） 按照统计规律，建立主体正常活动的“简档” ，若当前主体活动偏离“简档”相比较，则认为该活动可能是“入侵”行为。例：流量统计分析，将异常时间的异常网络流量视为可疑。 难点：建立“简档”；统计算法；异常阈值选择。 避免对入侵的误判或漏判。 局限性：“入侵”与“异常”并非一一对应。而且系统的轨迹难于计算和更新。 好好的 2、常用检测方法 三、入侵检测技术分析 IDS常用的检测方法: 特征检测、统计检测与专家系统。 据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95％是属于使用入侵模板进行模式匹配的特征检测产品，其他5％是采用概率统计的统计检测产品与基于日志的专家知识库系产品。 好好的 2、常用检测方法 三、入侵检测技术分析 1）特征检测 ：对攻击方式作出确定性的描述?事件模式。当被审计的事件与已知的入侵事件模式相匹配时报警。目前常用的是数据包特征模式匹配。准确率高，对付已知攻击。 2）统计检测 ：常用于异常检测。测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。常用的统计模型有： 好好的 2、常用检测方法 三、入侵检测技术分析 操作模型：测量结果与一些固定指标（经验值，统计值）相比较，例：在短时间内的多次登录失败，可能是口令尝试攻击； 概率模型：计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；或者当概率很低的事件发生时 ，可能发生入侵。 用户历史行为：当用户改变他们的行为习惯时，这种异常就会被检测出来。 好好的 计算机系统安全 第十一章 入侵检测系统 好好的 1、入侵检测的概念 一、什么是入侵检测 入侵检测的内容：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。 入侵检测（Intrusion Detection）：通过从计算机网络或计算机系统的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测系统（IDS）：入侵检测的软件与硬件的组合，是防火墙的合理补充，是防火墙之后的第二道安全闸门。 好好的 1、入侵检测的概念：模型 一、什么是入侵检测 Dennying的通用入侵检测模型。模型缺点是它没有包含已知系统漏洞或攻击方法的知识 好好的 1、入侵检测的概念：任务 一、什么是入侵检测 · 监视、分析用户及系统活动，查找非法用户和合法用户的越权操作； · 系统构造和弱点的审计，并提示管理员修补漏洞； · 识别反映已知进攻的活动模式并报警，能够实时对检测到的入侵行为进行反应； · 异常行为模式的统计分析，发现入侵行为的规律； · 评估重要系统和数据文件的完整性； · 操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 好好的 1、入侵检测的概念 一、什么是入侵检测 传统安全防范技术的不足 传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，对网络环境下日新月异的攻击手段缺乏主动的反应。 入侵检测技术通过对入侵行为的过程与特征的研究使安全系统对入侵事件和入侵过程能做出实时响应。 好好的 2、入侵检测的分类 一、什么是入侵检测 根据所采用的技术可以分为： 1）异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。 2）特征检测：特征检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。 好好的 2、入侵检测的分类 一、什么是入侵检测 根据所监测的对象来分： 1）基于主机的入侵检测系统（HIDS）：通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是这些系统的弱点之一，入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。 2）基于网络的入侵检测系统（NIDS）：通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。 好好的 2、入侵检测的分类 一、什么是入侵检测 根据系统的工作方式分为： 1）离线检测系统：离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。 2）在线检测