第十一章网络与信息安全入侵检测系统优秀课件.ppt
《第十一章网络与信息安全入侵检测系统优秀课件.ppt》由会员分享,可在线阅读,更多相关《第十一章网络与信息安全入侵检测系统优秀课件.ppt(28页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、第十一章网络与信息安全入侵检测系统第1页,本讲稿共28页第11章 入侵检测技术n11.111.1入侵检测技术概述入侵检测技术概述n1.1.入侵检测的概念入侵检测的概念n通过从计算机网络和系统的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为或遭到入侵的迹象,并依据既定的策略采取一定的措施。n三部分内容:三部分内容:n信息收集;n信息分析;n响应。n是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。第2页,本讲稿共
2、28页2.入侵检测系统的基本结构nIETF(Internet工程任务组)将一个入侵检测系统分为四个组件:n事件产生器(Event generators)n事件分析器(Event analyzers)n响应单元(Response units)n事件数据库(Event databases)第3页,本讲稿共28页n事件产生器事件产生器:从整个计算环境中捕获事件信息,并向系统的其他组成部分提供该事件数据。n事件分析器事件分析器:分析得到的事件数据,并产生分析结果。n响应单元响应单元:对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等有效反应,当然也可以只是报警。n事件数据库事件数据库:存
3、放各种中间和最终数据的地方的统称,用于指导事件的分析及反应,它可以是复杂的数据库,也可以是简单的文本文件。第4页,本讲稿共28页3.系统模型n模型由6个主要部分组成:第5页,本讲稿共28页n主体主体:启动在目标系统上活动的实体,如用户,也可能是攻击者;n对象对象:系统资源,如系统中存储的文件、敏感数据、重要设备等;n审计记录审计记录:由对象、动作、异常条件、资源使用状况、时间戳构成的6元组。n活动简档活动简档:用于保存主体正常活动的信息,具体实现依赖于检测方法,在统计方法中可以从事件数量、频度、资源消耗等方面度量,通过使用方差、马尔可夫模型等统计方法实现。n异常记录异常记录:由事件、时间戳、活
4、动简档组成,用于表示异常事件的发生情况n规则集处理引擎规则集处理引擎:主要检查入侵是否发生,并结合活动简档,用专家系统或统计方法等分析接收到的审计记录,调整内部规则或统计信息,在判断有入侵发生时采用相应的措施。第6页,本讲稿共28页11.2入侵检测系统的分析方式n1.1.技术分类技术分类 n入侵检测系统按采用的技术可分为特征检测与异常检测两种。n(1)(1)特征检测特征检测 n特征检测(Signature-based detection)又称Misuse detection,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但
5、对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。第7页,本讲稿共28页n(2)(2)异常检测异常检测 n异常检测(Anomaly detection)的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。第8页,本讲稿共28页2.常用检测方法 n入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。n(1)(
6、1)特征检测特征检测 n特征检测对已知的攻击或入侵的方式做出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。n该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。n(2)(2)统计检测统计检测 n统计模型常用异常检测,在统计模型中常用的测量参数包括:审计事件的数量、间隔时间、资源消耗情况等。第9页,本讲稿共28页n常用的入侵检测常用的入侵检测5 5种统计模型种统计模型:n 操作模型操作模型,该模型假设异常可通过测量结果与一些固定指标相
7、比较得到,固定指标可以根据经验值或一段时间内的统计平均得到;n 方差方差,计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常;n 多元模型多元模型,操作模型的扩展,通过同时分析多个参数实现检测;n 马尔柯夫过程模型马尔柯夫过程模型,将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态的变化,当一个事件发生时,或状态矩阵该转移的概率较小则可能是异常事件;n 时间序列分析时间序列分析,将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。第10页,本讲稿共28页n统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检
8、出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。第11页,本讲稿共28页n(3)(3)专家系统专家系统 n用专家系统对入侵进行检测,经常是针对有特征入侵行为。所谓的规则,即是知识,不同的系统与设置具有不同的规则,且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达,是入侵检测专家系统的关键。在系统实现中,将有关入侵的知识转化为if-then结构(也可以是复合结构),条件部分为入侵特征,then部分是系统防范措施。运用专家系统防范有特征入侵行为的有
9、效性完全取决于专家系统知识库的完备性第12页,本讲稿共28页11.3入侵检测系统分类n基于主机的入侵检测系统基于主机的入侵检测系统n基于主机的入侵检测系统(HIDS)通常是安装在被重点检测的主机之上,主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。如果其中主体活动十分可疑(特征或违反统计规律),入侵检测系统就会采取相应措施。第13页,本讲稿共28页n(1)(1)主机入侵检测系统的优点主机入侵检测系统的优点:n主机入侵检测系统对分析“可能的攻击行为”非常有用,通常能够提供详尽的相关信息。n主机入侵检测系统比网络入侵检测系统误报率要低,因为检测在主机上运行的命令序列比检测网络流更简
10、单,系统的复杂性也少得多。n主机入侵检测系统可部署在那些不需要广泛的入侵检测、传感器与控制台之间的通信带宽不足的情况下。主机入侵检测系统在不使用诸如“停止服务”“注销用户”等响应方法时风险较少。第14页,本讲稿共28页n(2)(2)主机入侵检测系统的弱点主机入侵检测系统的弱点:n主机入侵检测系统安装在我们需要保护的设备上。举例来说,当一个数据库服务器要保护时,就要在服务器上安装入侵检测系统。这会降低应用系统的效率。此外,它也会带来一些额外的安全问题,安装了主机入侵检测系统后,将本不允许安全管理员有权力访问的服务器变成他可以访问的了。n主机入侵检测系统的另一个问题是它依赖于服务器固有的日志与监视
11、能力。如果服务器没有配置日志功能,则必需重新配置,这将会给运行中的业务系统带来不可预见的性能影响。n全面部署主机入侵检测系统代价较大,企业中很难将所有主机用主机入侵检测系统保护,只能选择部分主机保护。那些未安装主机入侵检测系统的机器将成为保护的盲点,入侵者可利用这些机器达到攻击目标。n主机入侵检测系统除了监测自身的主机以外,根本不监测网络上的情况。对入侵行为的分析的工作量将随着主机数目增加而增加。第15页,本讲稿共28页2.基于网络的入侵检测系统n基于网络的入侵检测产品(NIDS)放置在比较重要的网段内,不停地监视网段中的各种数据包。对每一个数据包或可疑的数据包进行特征分析。如果数据包与产品内
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第十一 网络 信息 安全 入侵 检测 系统 优秀 课件
限制150内