工业互联网安全技术 课件 第7章 密码学基础.pptx

工业互联网安全技术

第7章密码学基础7.1入侵检测系统概述7.2入侵检测方法和DDoS攻击7.3数据完整性算法

第7章入侵检测学习要求知识要点能力要求入侵检测概述和入侵检测系统分类（1）了解入侵检测目的（2）熟悉不同入侵检测系统的特点（3）熟悉不同入侵检测系统的原理入侵检测方法和DDoS攻击（1）掌握基于模式匹配的入侵检测算法的原理（2）掌握基于贝叶斯推理的入侵检测算法的原理（3）了解基于深度学习的入侵检测算法的原理（4）熟悉DDoS攻击工业SDN环境下DDoS攻击检测方法（1）了解工业SDN（2）熟悉基于特征熵值和决策树算法的DDoS攻击检测方法

7.1.1入侵检测系统概述入侵检测系统概述入侵检测系统是一种有效且功能强大的网络安全系统，用于检测未经授权和异常的网络流量。入侵检测系统通常包含两种类型的组件：数据收集组件和数据分析组件。其中，数据收集组件负责监视和收集整个网络系统的数据，数据分析组件负责分析收集的数据并检测恶意活动。

7.1.2入侵检测系统分类入侵检测系统分类根据入侵检测系统两种类型的组件可以对入侵检测系统进行分类，根据入侵检测系统数据收集的来源，可分为基于主机的入侵检测系统（HIDS）、基于网络的入侵检测系统（NIDS）和混合式入侵检测系统；而根据入侵检测系统数据分析方法，又可分为异常入侵检测系统和误用入侵检测系统。采用哪种入侵检测系统需要根据网络结构和特点选择。

7.1.2入侵检测系统分类根据数据收集来源的入侵检测系统分类基于主机的入侵检测系统（HIDS）HIDS通常被部署在被保护的主机上，并且检测的数据也来自被保护的主机。HIDS实时地对检测的数据进行分析，当检测到入侵行为时及时报告。以下是HIDS的一些优点：HIDS可以监控所有用户的活动，而在NIDS中这是几乎不可能的。HIDS可以很容易地安装在主机设备上，故不需要额外的硬件资源。在一些场景中如移动自组织网络中，节点会移动进而导致网络拓扑结构变化，但HIDS不会受到这种变化的影响。通常主机的处理能力较强，因此部署在主机上的HIDS对数据的分析效率较高。HIDS检测的数据通常不是加密的数据，故适合加密环境。

7.1.2入侵检测系统分类根据数据收集来源的入侵检测系统分类基于主机的入侵检测系统（HIDS）以下是HIDS的一些缺点：HIDS受益于主机较强的处理能力，但HIDS会占用主机的资源，进而会对主机的性能造成一定的影响。不同的操作系统的环境不同，其提供HIDS所需的数据格式也不同，因此对于每一种操作系统，都需要开发相对应的HIDS。HIDS依赖于主机所提供的数据，如果入侵者通过其他漏洞获得主机的管理权限，那么HIDS将失去作用。

7.1.2入侵检测系统分类根据数据收集来源的入侵检测系统分类基于网络的入侵检测系统NIDS以网络数据包作为其检测数据源。以下是NIDS的一些优点：NIDS通常不会部署在重要的主机上，那么NIDS运行时就不会影响主机的性能。相比于主机的检测数据源，NIDS通过检测网络数据，能检测到HIDS检测不到的入侵行为。NIDS采集数据不会在网络上留下痕迹，进而隐蔽性好。其缺点有：当网络流量大时，NIDS可能不足以处理所有网络数据，尤其是在如今的网络数据愈发庞大的背景下，这对NIDS是一个考验。对于加密的会话过程，很难从中检测到入侵行为。

7.1.2入侵检测系统分类根据数据收集来源的入侵检测系统分类混合式入侵检测系统当同时以主机审计数据和网络数据包作为入侵检测数据源，就可兼具HIDS和NIDS两者的一些优点，同时又可互补两者的缺点，此即为混合式入侵检测系统。DIDS控制器由三个主要组件组成，分别是通信管理器、专家系统和用户界面。

7.1.2入侵检测系统分类根据数据分析方法的入侵检测系统分类异常入侵检测系统异常入侵检测系统是基于行为的检测，其基本前提是在审计数据中有内在的特征或者规律，这些特征或规律与正常行为相一致，区别于异常行为。其局限是容易出现漏报和误报。在各种网络环境的适应性不强的条件下，异常检测的判断标准就会不够精确。

7.1.2入侵检测系统分类根据数据分析方法的入侵检测系统分类误用入侵检测系统误用入侵检测系统是基于知识的检测，其前提是所有的入侵行为都有可被检测到的特征。通过对已知攻击行为的研究，提取已知攻击的特征集合，对已知的攻击行为定义为入侵模式。再对系统和用户的行为活动进行检测，和预定义的入侵模式进行特征匹配，根据已有的特征知识库判断其是否满足入侵模式，从而发现并识别攻击入侵行为。

第7章密码学基础7.1入侵检测系统概述7.2入侵检测方法和DDoS攻击7.3数据完整性算法

7.2.1基于模式匹配的入侵检测算法?

7.2.1基于模式匹配的入侵检测算法基于模式匹配的入侵检测算法BF算法BF算法是