网络安全第13章入侵检测系统1015(一)

1、入侵检测概述 一第13章 入侵检测系统由于网络安全防护和网络攻击两者技术上是不对等的，没有办法保证完全的阻止入侵，只能希望在遭受攻击之后或者攻击之时，能尽快的或实时的检测入侵。入侵检测技术是网络安全的第二道闸门。IDS不间断的从计算机网络或计算机系统中的若干关键点上收集信息，进行集中或分布式的分析，判断来自网络和外部的入侵企图，并实时发出报警。13.2.1 入侵检测概述 入侵检测是对企图入侵、正在进行的入侵或已经发生的入侵行为进行识别的过程。检测对计算机系统的非授权访问。1监视系统运行状态，发现各种攻击企图、攻击行为，保证资源的保密性、完整性和可用性。2识别针对计算机系统和网路系统的非法攻击3

2、13.1.2 入侵检测的定义13.1.3 入侵检测系统发展历史James P. Anderson第一次详细阐述了入侵检测的概念,并对计算机系统风险和威胁进行分类；还提出了利用审计跟踪数据监视入侵活动的思想。1980年4月乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究设计了入侵检测专家系统。19841986SRI/CSL的Teresa Lunt等人改进了Denning的入侵检测模型，并开发出了一个新型的IDES。1988年加州大学戴维斯分校的L.T. Heberlein等人开发出了网络安全监视器，成为分水岭。1990年13.1.3 入侵检测系统发展历史

3、13.1.4 入侵检测系统模型分析和检测入侵的任务并向控制器发出警报信号主要负责收集数据为检测器和控制器提供必需的数据信息支持根据警报信号人工或自动地对入侵行为做出响应 13.1.6 IDS的功能构成 入侵响应负责提取相关运行数据或记录， 并对数据进行简单过滤。找出入侵痕迹，区分正常和不正常的访问，分析入侵行为并定位入侵者分析出入侵行为后被触发，根据入侵行为产生响应。在一台管理站上实现统一的管理监控13.1.7 IDS的主要功能网络流量的跟踪与分析功能已知攻击特征的识别功能异常行为的分析、统计与响应功能特征库的在线和离线升级功能数据文件的完整性检查功能自定义的响应功能系统漏洞的预报警功能IDS

4、探测器集中管理功能入侵检测概述 一入侵检测原理及主要方法 二IDS的结构与分类 三NIDS 四HIDS 五DIDS 六IDS设计上的考虑与部署 七IDS的发展方向 八第13章 入侵检测系统13.3 IDS分类13.2.1 入侵检测原理及主要方法被动、离线地发现计算机网络系统中的攻击者。实时、在线地发现计算机网络系统中的攻击者。收集操作活动的历史数据，建立代表主机、用户或网络连接的正常行为描述，判断是否发生入侵。异常检测对已知的入侵行为和手段进行分析，提取检测特征，构建攻击模式或攻击签名，判断入侵行为。入侵检测类似于治安巡逻队，专门注重发现形迹可疑者。IDS通常使用的两种基本分析方法之一，又称为基于行动的入侵检测技术。IDS通常使用的两种基本分析方法之一，又称基于知识的检测技术。攻击检测误用检测1.统计异常检测方法（较成熟）2. 特征选择异常检测方法（较成熟）3. 基于贝叶斯网络异常检测方法（理论研究阶段）4. 基于贝叶斯推理异常检测方法（理论研究阶段）基于异常检测原理的入侵检测方法5.基于模式预测异常检测方法（理论研究阶段）1.基于条件的概率误用检测方法2.基于专家系统误用检测方法3.基于状态迁移