入侵检测技术原理及应用mse安全攻防培训资料.pptxVIP

第十二讲 入侵检测技术 原理及应用主要内容入侵检测系统定义和模型入侵检测系统的发展历史入侵检测系统的原理主要内容入侵检测系统定义和模型入侵检测系统的发展历史入侵检测系统的原理入侵及入侵检测系统的定义入侵 —绕过系统安全机制的非授权行为。 —危害计算机、网络的机密性、完整性和可用性或者绕过计算机、网络的安全机制的尝试。入侵通常是由从互联网访问系统的攻击者、或者试图获得额外或者更高的非法权限的授权用户等引起的。入侵检测 —是一种对计算机系统或网络事件进行监测并分析这些入侵事件特征的过程。入侵检测系统 —自动进行这种监测和分析过程的软件或硬件产品。入侵检测技术简介入侵检测（Intrusion Detection），顾名思义，便是对入侵行为的发觉它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象入侵检测系统（Intrusion Detection System,简称IDS）是进行入侵检测的软件与硬件的组合与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行入侵检测系统的主要功能监测并分析用户和系统的活动核查系统配置和漏洞评估系统关键资源和数据文件的完整性识别已知的攻击行为统计分析异常行为操作系统日志管理，并识别违反安全策略的用户活动实时通知IDS产品常见结构传感器SENSOR传感器SENSOR控制台CONSOLE传感器SENSOR传感器SENSOR传感器SENSORIDWG—Intrusion Detection Working GroupIDWG:入侵检测工作组 /html.charters/idwg-charter.html/html.charters/idwg-charter.html目的：定义数据格式定义交换流程 输出需求文件 公共入侵检测语言规范 框架文件目前成果尚未形成正式标准，形成 4个草案IDWG通用IDS模型 入侵检测系统（IDS）– 一个或多个下列组建的组合：传感器、分析器和管理器。 安全策略– 预定义的、正式的成文的说明，它定义了组织机构内网络或特定主机上允许发生的目的为支持组织机构要求的活动。它包括但不限于下列活动：哪一台主机拒绝外部网络访问等。IETF IDWG（Intrusion Detection Working Group）《Draft：/internet-drafts/draft-ietf-idwg-requirements-10.txtIntrusion Detection Message Exchange Requirements 》 CIDF—Common Intrusion Detection Framework历史 DARPA（Defense Advanced Research Projects Agency）的Teresa Lunt女士提出 Stuart Staniford-Chen对CIDF概念进行拓宽通用入侵检测框架－Common Intrusion Detection Framework体系结构的IDS模块 用于审计数据和数据传送的规范 CIDF信息/cidf/spec/cidf.txt/cidf/spec/cidf.txt/gost/cidf//gost/cidf/CIDF通用入侵检测框架 标准接口 - 数据搜集、分析和响应组件的互连框架 - 可扩展的体系 - 核心技术的重用 - 方便技术转让 - 减少成本 IDS框架、分层通信、CISL语言、API 标准APIE 事件生成器 A 事件分析器 D 事件数据库 C 系统特定的控制器CVE—Common Vulnerabilities and ExposuresCVE：Common Vulnerabilities and Exposures是脆弱性和其他信息安全暴露的标准化名称的列表－CVE的目标是标准化命名所有公共已知的脆弱性和安全暴露 网址：// CVE是：A Dictionary, NOT a DatabaseA Community-Wide Effort Freely Available for Review or Download 以上内容：/about//about/入侵检测系统概述——功能入侵检测是网络防火墙的逻辑补充，扩展了系统管理员的安全管理能力，提供了安全审计、监控、攻击识别和响应 入侵检测系统主要执行功能：监控和分析用户和系统活动 审计系统配置和脆弱性 评估关键系统和数据文件的完整性 识别活动模式以反应已知攻击 统计分析异常活动模式 操作系统审计跟踪管理，识别违反策略的用户活动 主要内容入侵检测系统定义和模