入侵检测技术第2章.ppt

第2章 入侵检测的相关概念 2.1 入侵的定义 2.2 什么是入侵检测 2.3 入侵检测与P2DR模型 2.1 入侵的定义 通常，计算机安全的3个基本目标是 机密性、完整性和可用性。安全的计算机系统应该实现上述3个目标，即保护自身的信息和资源不被非授权访问、修改和拒绝服务攻击。 安全策略用于将抽象的安全目标和概念映射为现实世界中的具体安全规则，通常定义为一组用于保护系统计算资源和信息资源的目标、过程和管理规则的集合。安全策略建立在所期望系统运行方式的基础上，并将这些期望值完整地记录下来，用于定义系统内所有可接受的操作类型。 任何潜在的危害系统安全状况的事件和情况都可称为“威胁”。Anderson在其1980年的技术报告中，建立了关于威胁的早期模型，并按照威胁的来源，分为如下3类。 ⑴ 外部入侵者： 系统的非授权用户。 ⑵ 内部入侵者： 超越合法权限的系统授权用户。其中，又可分为“伪装者”和“秘密活动者”。 ⑶ 违法者： 在计算机系统上执行非法活动的合法用户。 在入侵检测中，术语“入侵”（intrusion）表示系统内部发生的任何违反安全策略的事件，其中包括了上面Anderson模型中提到的所有威胁类型，同时还包括如下的威胁类型： ● 恶意程序的威胁，例如病毒、特洛伊木马程序、恶意Java或ActiveX程序等； ● 探测和扫描系统配置信息和安全漏洞，为未来攻击进行准备工作的活动。 美国国家安全通信委员会（NSTAC）下属的入侵检测小组（IDSG）在1997年给出的关于“入侵”的定义是：入侵是对信息系统的非授权访问以及（或者）未经许可在信息系统中进行的操作。 2.2 什么是入侵检测 美国国家安全通信委员会下属的入侵检测小组在1997年给出的关于“入侵检测”的定义如下： 入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。 图2-1 通用入侵检测系统模型 图2-1所示的通用入侵检测系统模型，主要由以下几大部分组成。 ⑴ 数据收集器（又可称为探测器）： 主要负责收集数据。 ⑵检测器（又可称为分析器或检测引擎）： 负责分析和检测入侵的任务，并发出警报信号。 ⑶ 知识库： 提供必要的数据信息支持。 ⑷ 控制器： 根据警报信号，人工或自动做出反应动作。 另外，绝大多数的入侵检测系统都会包含一个用户接口组件，用于观察系统的运行状态和输出信号，并对系统行为进行控制。 2.3 入侵检测与P2DR模型 P2DR模型是一个动态的计算机系统安全理论模型。P2DR特点是动态性和基于时间的特性。 图2-2 P2DR安全模型 具体而言，P2DR模型的内容包括如下。 ⑴策略： P2DR模型的核心内容。具体实施过程中，策略规定了系统所要达到的安全目标和为达到目标所采取的各种具体安全措施及其实施强度等。 ⑵ 防护： 具体包括制定安全管理规则、进行系统安全配置工作以及安装各种安全防护设备。 ⑶ 检测： 在采取各种安全措施后，根据系统运行情况的变化，对系统安全状态进行实时的动态监控。 ⑷ 响应： 当发现了入侵活动或入侵结果后，需要系统作出及时的反应并采取措施，其中包括记录入侵行为、通知管理员、阻断进一步的入侵活动以及恢复系统正常运行等。 P2DR模型阐述了如下结论： 安全的目标实际上就是尽可能地增大保护时间，尽量减少检测时间和响应时间。 入侵检测技术（intrusion detection）就是实现P2DR模型中“Detection”部分的主要技术手段。在P2DR模型中，安全策略处于中心地位，但是从另一个角度来看，安全策略也是制定入侵检测中检测策略的一个重要信息来源，入侵检测系统需要根据现有已知的安全策略信息，来更好地配置系统模块参数信息。当发现入侵行为后，入侵检测系统会通过响应模块改变系统的防护措施，改善系统的防护能力，从而实现动态的系统安全模型。因此，从技术手段上分析，入侵检测可以看作是实现P2DR模型的承前启后的关键环节。 单击此处编辑母版标题样式 单击此处编辑母版副标题样式 * 单击此处编辑母版标题样式 单击此处编辑母版副标题样式 *