防火墙入检测与VPN——第二部分.pptVIP

计算机系统面临的威胁 拒绝服务 拒绝服务（1） 拒绝服务（2） 拒绝服务（3） 欺骗 欺骗（1） 欺骗（2） 欺骗（3） 欺骗（4） 监听 密码破解 木马 缓冲区溢出 ICMP秘密通道 TCP会话劫持 入侵行为的一般过程 确定攻击目标 实施攻击 攻击后处理 入侵检测的基本概念 入侵检测的主要作用 入侵检测的历史 入侵检测的分类 按照检测数据的来源划分 按照检测数据的来源划分 （1） 按照检测数据的来源划分 （2） 按照检测数据的来源划分 （3） 按检测方法划分 按检测方法划分 （1） 按检测方法划分 （2） 按检测方法划分 （3） 入侵检测技术的不足 本章小结 入侵检测系统的性能指标 有效性指标 可用性指标 有效性指标 主流入侵检测产品介绍 本章小结 攻击技术的发展趋势 攻击行为的复杂化和综合化 攻击行为的扩大化 攻击行为的隐秘性 对防护系统的攻击 攻击行为的网络化 入侵检测技术的发展趋势 标准化的入侵检测 高速入侵检测 大规模、分布式的入侵检测 多种技术的融合 实时入侵响应 入侵检测的评测 与其它安全技术的联动 本章小结 6.6.2 异常入侵检测 1 异常入侵检测主要包括下面9个方面的检测： 基于统计分析的异常检测 基于机器学习的异常检测 基于贝叶斯推理的异常检测 基于贝叶斯网络异常检测 基于贝叶斯聚类的异常检测 基于数据挖掘的异常检测 基于特征选择的异常检测 基于神经网络的异常检测 基于模式预测的异常检测 详细内容见参考书。 6.6.2 滥用入侵检测主要包括下面5个方面的检测： 基于模式匹配的滥用入侵检测 基于状态转移分析的滥用入侵检测 基于专家系统的滥用入侵检测 基于条件概率的滥用入侵检测 基于模型推理的滥用入侵检测 详细内容见参考书。 滥用入侵检测 2 6.6.2 滥用入侵检测技术根据已知的攻击行为特征建立异常行为模型，然后将用户行为与之进行匹配，匹配成功则意味着有一个确定的攻击行为发生。 异常入侵检测技术则是试图建立用户或系统的正常行为模型，任何超过该模型允许阈值的事件都被认为是可疑的。 无论滥用检测还是异常检测都是入侵检测技术的具体实施，其各自的特点决定了它们具有相当的互补性。为了符合用户越来越高的安全要求，可以将两种方式结合起来，使得入侵检测系统的检测手法具有多样性的特点。在不同的条件下采用不同的检测方法，提高系统的检测效率。 详细内容见参考书。 异常检测与滥用检测的比较 3 6.7 无法完全自动地完成对所有攻击行为的检查，必须通过与管理人员的交互来实现。 不能很好地适应攻击技术的发展，只有在熟知攻击行为的特征后才能识别检测它。虽然存在智能化、可自学习的入侵检测技术，但还不能跟上变形攻击技术和自发展攻击技术的步伐。 入侵检测技术很难实现对攻击的实时响应。往往是在被动地监测到攻击序列开始后，还需要与防火墙系统进行联动，才能完成阻断攻击的动作。这对于那些一次性完成的攻击行为（瞬发攻击）是毫无作用的。 本质是一种被动的系统，无法弥补各种协议的缺陷，只能尽量地去适应协议的规范。 详细内容见参考书。 6.8 入侵检测技术是对计算机系统面临的各种威胁的一种响应。到目前为止，该技术已经经过了数十年的探索，其应用也逐步走向成熟。作为防火墙技术的重要补充，它解决了防火墙技术不能很好地进行攻击行为的深层过滤的问题，能够分析识别并阻断复杂的入侵行为序列。按照检测数据来源划分，可以分成基于主机的、基于网络的以及混合式等三种类型；按照使用的检测方法划分，有可以分成异常检测和滥用检测两大类。 走信息路 读北邮书 7.1 入侵检测系统的性能指标 7.2 主流入侵检测产品介绍 7.3 本章小结 第6章 入侵检测技术概述 第7章 主流入侵检测产品介绍 第8章 入侵检测技术的发展趋势 《防火墙、入侵检测与VPN》课件 《防火墙、入侵检测与VPN》课件 7.1 7.1.2 可用性指标 7.1.1 有效性指标 7.1.3 安全性指标 7.1.1 有效性的评估主要包括攻击检测率、攻击误警率和可信度三个指标。攻击检测率指的是入侵检测系统能够正确报告攻击行为的发生的概率。攻击误警率指的是入侵检测系统出现漏报和误报现象的概率。漏报指的是对确切发生的攻击行为入侵检测系统却没有任何反应。误报指的是入侵检测系统对不是攻击的行为进行