入侵检测技术理论.ppt

信息安全师高级,安全体系架构课程,入侵检测概述,入侵定义：指任何企图破坏资源的完整性、保密性和有效性的行为,入侵分为：企图进入、冒充其他合法用户、成功闯入、合法用户的泄漏、拒绝服务、恶意使用,入侵检测：通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。,入侵检测的功能,监控、分析用户和系统的活动审计系统的配置和弱点评估关键系统和数据文件的完整性识别攻击的活动模式对异常活动进行统计分析操作系统审计跟踪管理，识别违反政策的用户活动,入侵检测系统的模型,入侵检测系统包括：事件记录流的信息源、分析引擎、响应部件,CIDF(Common Intrusion Detection Framework),入侵检测过程分析,信息收集信息分析告警与响应,入侵检测过程分析,信息采集网络和系统日志文件目录和文件中的不期望的改变程序执行的不期望行为物理形式的入侵信息信息分析先建分析器，预处理信息，再建行为分析模型，然后植入时间数据，保存数据库告警与响应自动终止攻击；终止用户连接；禁止用户帐号重新配置防火墙阻塞攻击；向管理控制台发出警告向网络管理平台发出信息；记录日志向安全管理人员发提示邮件；执行一个用户自定义程序,入侵检测技术滥用入侵检测技术,滥用检测又称基于知识的检测。（基于特征或模式匹配）前提：所有可能的入侵行为和手段都能够表达为一种模式或特征。原理：首先对已知的入侵行为和手段进行分析，提取检测特征，构建攻击签名。然后根据定义好的攻击签名来判断是否有入侵行为。,关建问题：攻击签名的正确性。,入侵检测技术滥用入侵检测技术,主要方法专家系统状态迁移分析模式匹配击键键控遗传算法其他,缺点不能检测未知的入侵行为与系统相关性很强,入侵检测技术异常检测技术,异常检测又称基于行为的检测。（识别主机或网络中异常或不寻常行为）前提：假定所有的入侵行为都是异常的。原理：首先收庥一段时期的正常活动行为，建立代表主机、用户的正常行为轮廓，然后收集时间数据并使用不同方法来判断检测到的事件活动是否偏离了正常行为，若是则入侵。它是一种间接的方法,主要方法统计方法专家系统神经网络计算机免疫技术,缺点误报、漏报率高,入侵检测技术异常检测技术,关建问题：特征量选择；参考阈值的选定异常而非入侵的活动被标记为入侵，称为误报警入侵而非异常的活动未被识别，称为漏报警,入侵检测技术分类,根据信息源划分基于主机的入侵检测系统HIDS基于网络的入侵检测系统NIDS根据检测方法划分滥用检测异常检测根据系统工作试划分离线检测在线检测,入侵检测基于主机的入侵检测,基于主机的入侵检测（HIDS）安装单个主机上，监视单个主机的可疑活动，从主机的审计记录和日志文件中获得所需的主要数据源。优点适合于加密和交换环境近实时的检测和响应不需要额外的硬件,入侵检测基于网络的入侵检测,简称NIDS：使用原始的网络数据包做为数据源,入侵检测基于网络的入侵检测,HIDS VS.NIDS,入侵检测技术产品,冰之眼SNORT,