《入侵检测技术理论》PPT课件.ppt_第1页
《入侵检测技术理论》PPT课件.ppt_第2页
《入侵检测技术理论》PPT课件.ppt_第3页
《入侵检测技术理论》PPT课件.ppt_第4页
《入侵检测技术理论》PPT课件.ppt_第5页
已阅读5页,还剩11页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

信息安全师高级,安全体系架构课程,入侵检测概述,入侵定义:指任何企图破坏资源的完整性、保密性和有效性的行为,入侵分为:企图进入、冒充其他合法用户、成功闯入、合法用户的泄漏、拒绝服务、恶意使用,入侵检测:通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。,入侵检测的功能,监控、分析用户和系统的活动 审计系统的配置和弱点 评估关键系统和数据文件的完整性 识别攻击的活动模式 对异常活动进行统计分析 操作系统审计跟踪管理,识别违反政策的用户活动,入侵检测系统的模型,入侵检测系统包括: 事件记录流的信息源、分析引擎、响应部件,CIDF(Common Intrusion Detection Framework),入侵检测过程分析,信息收集 信息分析 告警与响应,入侵检测过程分析,信息采集 网络和系统日志文件 目录和文件中的不期望的改变 程序执行的不期望行为 物理形式的入侵信息 信息分析 先建分析器,预处理信息,再建行为分析模型,然后植入时间数据,保存数据库 告警与响应 自动终止攻击;终止用户连接;禁止用户帐号 重新配置防火墙阻塞攻击;向管理控制台发出警告 向网络管理平台发出信息;记录日志 向安全管理人员发提示邮件;执行一个用户自定义程序,入侵检测技术滥用入侵检测技术,滥用检测又称基于知识的检测。 (基于特征或模式匹配) 前提:所有可能的入侵行为和手段都能够表达为一种模式或特征。 原理:首先对已知的入侵行为和手段进行分析,提取检测特征,构建攻击签名。然后根据定义好的攻击签名来判断是否有入侵行为。,关建问题:攻击签名的正确性。,入侵检测技术滥用入侵检测技术,主要方法 专家系统 状态迁移分析 模式匹配 击键键控 遗传算法 其他,缺点 不能检测未知的入侵行为 与系统相关性很强,入侵检测技术异常检测技术,异常检测又称基于行为的检测。 (识别主机或网络中异常或不寻常行为) 前提:假定所有的入侵行为都是异常的。 原理:首先收庥一段时期的正常活动行为,建立代表主机、用户的正常行为轮廓,然后收集时间数据并使用不同方法来判断检测到的事件活动是否偏离了正常行为,若是则入侵。 它是一种间接的方法,主要方法 统计方法 专家系统 神经网络 计算机免疫技术,缺点 误报、漏报率高,入侵检测技术异常检测技术,关建问题:特征量选择;参考阈值的选定 异常而非入侵的活动被标记为入侵,称为误报警 入侵而非异常的活动未被识别,称为漏报警,入侵检测技术分类,根据信息源划分 基于主机的入侵检测系统HIDS 基于网络的入侵检测系统NIDS 根据检测方法划分 滥用检测 异常检测 根据系统工作试划分 离线检测 在线检测,入侵检测基于主机的入侵检测,基于主机的入侵检测(HIDS) 安装单个主机上,监视单个主机的可疑活动,从主机的审计记录和日志文件中获得所需的主要数据源。 优点 适合于加密和交换环境 近实时的检测和响应 不需要额外的硬件,入侵检测基于网络的入侵检测,简称NID
人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论