安全审计与入侵检测概述.pptx

第 4 章 安全审计与入侵检测;4.1 安全审计;4.1.1 安全审计概念 ;安全审计日志;安全审计和报警 ;安全审计跟踪;4.1.2 安全审计目的 ;4.1.3 安全审计内容 ;4.1.4 安全审计分类和过程 ;审计的工作流程 ;4.1.5 审计日志管理 ;日志的内容 ;日志的作用 ;日志的管理方法 ;4.1.6 安全审计系统的组成、功能与特点 ;2．安全审计系统的基本功能 ;安全审计系统的基本功能（续）;3．安全审计系统的特点 ;4.2 入 侵 检 测 ;4.2.1 入侵检测概述 ;入侵检测系统;入侵检测是一种动态的网络安全技术 ;2．入侵检测原理模型 ;上图模型中包含6个主要部分： ① 实体（Subjects）：在目标系统上活动的实体，如用户。 ② 对象（Objects）：指系统资源，如文件、设备、命令等。 ③ 审计记录（Audit records）：由主体、活动（Action）、异常条件（Exception-Condition）、资源使用状况（Resource-Usage）和时间戳（Time-Stamp）等组成。 ④ 活动档案（Active Profile）：即系统正常行为模型，保存系统正常活动的有关信息。 ⑤ 异常记录（Anomaly Record）：由事件、时间戳和审计记录组成，表示异常事件的发生情况。 ⑥ 活动规则（Active Rule）：判断是否为入侵的准则及相应要采取的行动。;CIDF模型 ;上图所示的模型中，入侵检测系统分为4个基本组件： ①事件产生器的任务是从入侵检测系统之外的计算环境中收集事件，但并不分析它们，并将这些事件转换成CIDF的GIDO格式传送给其他组件； ②事件分析器分析从其他组件收到的GIDO，并将产生的新的GIDO再传送给其他组件； ③事件数据库用来存储GIDO，以备系统需要的时候使用； ④响应单元处理收到的GIDO，并根据处理结果，采取相应的措施，如杀死相关进程、将连接复位、修改文件权限等。 ;3．入侵响应机制 ;（1）主动响应 ;对入侵者采取反击行动 ;修正系统环境 ;收集额外信息 ;（2）被动响应 ;（3）响应报警策略 ;4．入侵检测系统的基本结构 ;5．入侵检测系统的功能 ;6．入侵检测系统的分类 ;6．入侵检测系统的分类（续）;6．入侵检测系统的分类（续）;6．入侵检测系统的分类（续）;6．入侵检测系统的分类（续）;6．入侵检测系统的分类（续）;7．入侵???测系统性能 ;8．入侵检测系统的优点;9．入侵检测系统的局限性 ;9．入侵检测系统的局限性（续）;9．入侵检测系统的局限性（续）;9．入侵检测系统的局限性（续）;10．入侵检测系统与防火墙的区别 ;10.入侵检测系统与防火墙的区别（续）;4.2.2 侵检测方法 ;异常活动和入侵活动;（1）概率统计方法 ;概率统计的特点;（2）预测模式生成方法 ;预测模式生成方法的特点;（3）神经网络方法 ;神经网络方法的特点;2．误用检测 ;（1）专家系统 ;特征分析系统;（2）模型推理 ;模型推理的检测原理;模型推理的特点;（3）状态转换分析 ;Petri网 ;（4）特征分析 ;（5）条件概率 ;（6）键盘监控 ;误用检测技术的优点 ;误用检测技术的缺点;3．异常检测技术和误用检测技术的比较 ;3．异常检测技术和误用检测技术的比较（续）;3．异常检测技术和误用检测技术的比较（续）;4．入侵检测新技术 ;4．入侵检测新技术（续）;4．入侵检测新技术（续）;4.2.3 入侵检测系统的部署 ;1．安全区域 ;安全区域划分 ;接口、网络、安全区域 ;入方向与出方向 ;2．入侵检测系统的部署 ; DMZ区 ;外网入口 ;内网主干 ;关键子网 ;（2）基于主机入侵检测系统的部署 ;4.2.4 入侵检测技术发展 ;2．入侵检测技术的发展方向 ;3．下一代IDS关键技术 ;指纹识别技术 ;被动指纹识别技术的工作原理;被动指纹识别技术的工作流程;被动指纹识别技术的工作流程（续）;（2）告警泛滥抑制 ;（3）告警融合 ;（4）可信任防御模型 ;4．IDS发展趋势 ;4.2.5 与入侵检测有关的新技术 ;（1）入侵容忍概述 ;入侵容忍概念（续）;入侵容忍概念（续）;容侵与容错的比较 ;容侵与容错的比较（续）;（2）入侵容忍体系结构 ;（2）入侵容忍体系结构（续）;（2）入侵容忍体系结构（续）;（3）基于状态迁移的入侵容忍模型 ;（3）基于状态迁移的入侵容忍模型（续）;（4）面向入侵容忍的秘密共享系统的设计 ;（5）高性能的网络入侵容忍机制与模型研究 ;（5）高性能的网络入侵容忍机制与模型研究（续）;（5）高性能的网络入侵容忍机制与模型研究