收藏
下载资源

第4章入侵检测与安全审计.

上传人:今*** 文档编号:107135659 上传时间:2019-10-18 格式:PPT 页数:23 大小:83KB
返回 下载 相关 举报
第4章入侵检测与安全审计._第1页
第1页 / 共23页
第4章入侵检测与安全审计._第2页
第2页 / 共23页
第4章入侵检测与安全审计._第3页
第3页 / 共23页
第4章入侵检测与安全审计._第4页
第4页 / 共23页
第4章入侵检测与安全审计._第5页
第5页 / 共23页
点击查看更多>>
资源描述

《第4章入侵检测与安全审计.》由会员分享,可在线阅读,更多相关《第4章入侵检测与安全审计.(23页珍藏版)》请在金锄头文库上搜索。

1、第4章 入侵检测与安全审计,本章主要介绍: 1. 入侵检测系统(IDS)概述 2. 入侵检测系统的分析方法 3. 入侵检测系统结构 4. 入侵检测工具简介 5. 现代安全审计技术,4.1入侵检测系统概述,1网络入侵及原因 问题的提出: 要保证网络的安全,需要从内部和外部加以防范。 内部问题可以预测,并制定相应防范措施; 外部问题则难以预测。 原因: 黑客攻击日益猖獗 传统的安全产品存在很多问题,4.1入侵检测系统概述,传统的安全产品存在的问题(续) (1)每一种安全机制都有一定的应用范围和应用环境; (2)安全工具的使用受到人为因素的影响; (3)系统的后门是传统安全工具难以考虑到的地方; (

2、4)只要有程序,就可能存在bug,甚至连安全工具本身也可能存在安全漏洞。 (5)黑客的攻击手段在不断更新,几乎每天都有不同的系统安全问题出现。 对于上述问题,除了提出更多更强大的主动策略和方案,另一个有效的解决途径是入侵检测。,4.1入侵检测系统概述,2黑客攻击策略 入侵步骤: 信息获取实施攻击掩盖痕迹,预留后门 入侵造成的破坏: 保密性、完整性、可用性、可控性,4.1入侵检测系统概述,1入侵检测概念 依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 -对潜在的又预谋的未经授权的访问信息、操作信息以及

3、导致系统不可靠、不稳定或无法使用的企图的检测和监视。 入侵检测的方式: 被动、非在线地发现 主动、在线地发现,4.1入侵检测系统概述,入侵检测系统必须具备的特点: 经济性 时效性 安全性 可扩展性 2. 入侵检测的发展及未来,4.1入侵检测系统概述,3入侵检测模型 通用入侵检测系统流程图:,数据,数据,事件,事件,数 据 提 取,数 据 分 析,结 果 处 理,4.1入侵检测系统概述,3入侵检测模型 通用系统模型:,审计记录、网络数据包等,事件产生器,行为特征模块,规则模块,特征表更新,规则更新,异常记录,变量阈值,4.1入侵检测系统概述,入侵检测系统的主要功能有: 监测并分析用户和系统的活动

4、; 核查系统配置和漏洞; 评估系统关键资源和数据文件的完整性; 识别已知的攻击行为; 统计分析异常行为; 操作系统日志管理,并识别违反安全策略的用户活动。,4.1入侵检测系统概述,异常检测原理:根据非正常行为和使用计算机资源非正常情况检测出入侵行为。,正常行为,异常行为,命令、系统调用、应用类型、活动度量、CPU使用、网络连接,4.1入侵检测系统概述,误用检测原理:根据已经知道的入侵方式来检测入侵。,报警,模式库,攻击者,4.1入侵检测系统概述,2系统的分类 按数据源和系统结构: (1) 基于网络的入侵检测系统(NIDS) (2) 基于主机的入侵检测系统(HIDS) (3) 分布式入侵检测系统

5、(DIDS) 按数据分析方法: (1) 异常检测模型 (2) 误用检测模型,4.1入侵检测系统概述,2系统的分类(续) 按数据分析发生的时效: (1) 离线检测系统 (2) 在线检测系统 按系统模块运行分布方式: (1) 集中式检测系统 (2) 分布式检测系统,4.1入侵检测系统概述,3. IDS在网络中的位置,Internet,防火墙,www服务器,邮件服务器,1,2,3,4.1入侵检测系统概述,4.入侵响应 当检测到入侵或攻击时,采取适当的措施阻止入侵和攻击的进行. 针对入侵的建议步骤: 估计形势并决定需要做出那些响应. 如有必要就断开连接或关闭资源. 事故分析和响应. 根据响应策略向其他

6、人报警. 保存系统状态. 恢复遭到攻击的系统. 记录所发生的一切.,4.1入侵检测系统概述,5.入侵跟踪技术 (1)入侵者的地址和其它信息 媒体访问控制地址 IP地址 域名 应用程序地址,4.1入侵检测系统概述,(2)跟踪电子邮件 (3)跟踪Usenet (4)第三方跟踪工具,4.1入侵检测系统概述,(5)蜜罐技术 专门为吸引并诱骗攻击者而设计的系统.,Internet,防火墙,软件 蜜罐,硬件 蜜罐,IDS & DB,分析员工作站,防火墙日志,4.2入侵检测系统的分析方法,基于异常的入侵检测方法 基本思想: 任何人的正常行为都有一定规律,而入侵行为和滥用行为通常和正常行为存在严重差异,检测出

7、这些差异就可以检测出入侵。 基本模块: 数据提取模块 数据分析模块 结果处理模块,4.2入侵检测系统的分析方法,2. 基于误用的入侵检测方法 基本思想: 通过使用某种模式或信号标志表示攻击,进而发现相同的攻击。,审计数据,误用检测系统,攻击 状态,修正现有规则,添加新的规则,时间信息,规则 匹配?,4.3 入侵检测系统结构,1公共入侵检测框架模型 2分布式入侵检测系统 3基于智能代理技术的分布式入侵检测系统 4自适应入侵检测系统 5智能卡式入侵检测系统 6典型的入侵检测系统 Snort,4.4 入侵检测工具简介,1日志审查Swatch 2访问控制-TCP Wrapper 3入侵检测-Watcher,4.5 现代安全审计技术,1安全审计现状 目前的安全审计类产品: (1) 网络设备及防火墙日志 (2) 操作系统日志 (3) Sniff、Snoop类工具 2安全审计标准及其要求,

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号