入侵检测和安全审计技术.pptxVIP

退出;;4.1  入侵检测系  统概述 ;　　　当我们无法完全防止入侵时，那么只能希望系统在受到攻击时，能尽快检测出入侵，而且最好是实时的，以便可以采取相应的措施来对付入侵，这就是入侵检测系统要做的，它从计算机网络中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。 ;4.1.1 入侵检测定义 ;1、入侵检测的发展 入侵检测从最初实验室里的研究课题到目前的商业IDS产品，已经有20多年的发展历史，可分为两个阶段：;;4.1.3 入侵检测系统的功能及分类 ;;4.1.4 入侵响应（Intrusion Response）;;;;4.2 入侵检测系统 （IDS）的分析 方法;;;;;;;;;;;响应单元;1、事件产生器 CDIF将IDS需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统日志或其它途径得到的信息。事件产生器的任务是从入侵检测系统之外的计算环境中收集事件，并将这些事件转换成CDIF的GIDO（统一入侵检测对象）格式传送给其它组件。;;;;4.3.2 简单的分布式入侵检测系统;; 三者都被称为实体。三种实体之间的关系如下： 一个AAFID系统可以分布在任意多台主机上，每台主机上可以有任意多个代理。 在同一台主机上的所有代理向该主机上的收发器传递信息。 每台主机只能有一个收发器，负责监督和控制该主机上的代理，可以向代理发送控制命令，也可以对代理所发送来的数据进行数据精简。 收发器可以向一个或多个监视器报告结果。每个收发器可向多个监视器发送信息，这样可以避免由于一个监视器故障而造成的单点故障问题;;其逻辑结构如下图所示： ;４.3.4 自适应入侵检测系统;;; 自适应模型生成器系统各部分具有的功能： 数据接收：从传感器接收数据并将其转换为一个表单，准备加入列数据仓库。 数据仓库：向数据库中存取数据。 模型生成器：利用数据仓库中的数据可以生成学习机制，利用该学习机制可以建立一定的模型。 模型分配器：将生成的模型通过模型分配器分布到各探测器。;4.3.5 智能卡式入侵检测系统实现 ;;; 智能卡除了用于登录认证之外，还可以用于处理静态和动态的用户数据。 静态数据包括用户的个人信息和企业信息，也可以保存用于建立网络连接以及建立路由表等的网络信息。另外，还要输入用于区分合法或不合法网络活动的边界值。 用户动态配置文件则用于处理某些选定特性的统计汇总信息。 在处理完上述用户特性之后，审计日志生成模块将收集用户和系统活动的统计数据，最后将这些信息送到智能卡中进行计算和保存。 ;;;;;;;;;工作流程： Snort程序通过libpcap接口从网络中抓取一个数据包，调用数据包解析函数、根据数据包的类型和所处的网络层次，对数据包进行协议分析，包括数据链路层、网络层和传输层。解析后的结果存放在一个Packet结构中，用于以后的分析。Snort的工作流程如右图所示。;;; 在6.0版的架构中，包括了两个主要的组件，第一个主要的组件是Workgroup Manager,其中又包含四个小组件：Console、Event Collector、Enterprise Database和Asset Database；第二个主要组件是Sensor，而Sensor有Network Sensor和Server Sensor两种。;;;Console;4.4  入侵检测工具 简介;4.4.1 日志审查Swatch;;;; ; 使用格式为：Watcher [参数]。具体作用如下表所示 :;4.5  现代安全审 计技术;;4.5.1 安全审计现状;;;4.5.3 安全审计标准CC中的网络信息 安全审计功能定义;;4. 安全审计浏览（AU_SAR） 该功能要求审计系统能够使授权的用户有效地浏览审计数据，它包括审计浏览、有限审计浏览、可选审计浏览。 5. 安全审计事件存储（AU_SEL） 系统能够维护、检查或修改审计事件的集合，能够学则对那些安全属性进行审计 6. 安全审计事件选择（AU_STG） 系统将提供控制措施以防止由于资源的不可用而丢失审计数据，能够创建、维护、访问它所保护的对象的审计踪迹，并保护其不被修改、非授权访问或破坏。;;; 网络安全审计系统除了是一个多层次审计系统之外，还是一个分布式、多Agent结构的审计系统，它在结构上具备可伸缩，易扩展