收藏
下载资源

信息安全原理与应用-入侵检测技术

上传人:mg****85 文档编号:49824120 上传时间:2018-08-03 格式:PPT 页数:50 大小:548KB
返回 下载 相关 举报
信息安全原理与应用-入侵检测技术_第1页
第1页 / 共50页
信息安全原理与应用-入侵检测技术_第2页
第2页 / 共50页
信息安全原理与应用-入侵检测技术_第3页
第3页 / 共50页
信息安全原理与应用-入侵检测技术_第4页
第4页 / 共50页
信息安全原理与应用-入侵检测技术_第5页
第5页 / 共50页
点击查看更多>>
资源描述

《信息安全原理与应用-入侵检测技术》由会员分享,可在线阅读,更多相关《信息安全原理与应用-入侵检测技术(50页珍藏版)》请在金锄头文库上搜索。

1、电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处1信息安全原理与应用信息安全原理与应用 第十五章第十五章 入侵检测技术入侵检测技术本章由王昭主写本章由王昭主写电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处2讨论议题入侵检测概述 入侵检测系统的功能组成 基于主机及基于网络的入侵检测系统 异常检测和误用检测 入侵检测的响应 入侵检测标准化工作电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处3主要的传统安全技术 加密 消息摘要、数字签名 身份鉴别:口令、鉴别交换协议、生物特征 访问控制 安全协议: IPsec、SSL 网

2、络安全产品与技术:防火墙、VPN 内容控制: 防病毒、内容过滤等 预防(prevention)、防护(protection)电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处4预防措施的局限性 预防性安全措施采用严格的访问控制和数据加 密策略来防护,但在复杂系统中,这些策略是 不充分的。这些措施都是以减慢交易为代价的 。 大部分损失是由内部引起的 1999年CSI/FBI(Computer security institute/Federal Bureau of Investigation)指出, 82%的损失是内部威胁造成的。电子工业出版社,信息安全原理与应用,201

3、0.1 版权所有,引用请注明出处5信息安全两态论电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处6P2DR安全的关键 检测检测检测是静态防护转化为动态的关键检测是动态响应的依据检测是落实/强制执行安全策略的 有力工具电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处7入侵检测的定义 NSTAC(National Security Telecommunications Advisory Board,国家安全通信委员会)的IDSG( Intrusion Detection Sub-Group)是一个由美国总统特许 的保护国家关键基础设施的小组。 I

4、DSG1997年给出了如下定义: 入侵( Intrusion ):对信息系统的非授权访问及(或 )未经许可在信息系统中进行操作。 入侵检测(Intrusion Detection ):对(网络)系统的 运行状态进行监视,对企图入侵、正在进行的入侵或 已经发生的入侵进行识别的过程。电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处8入侵检测的起源和发展-11980年4月,James P. Anderson Computer Security Threat Monitoring and Surveillance (计算机安全威胁监控与监视) 1980年 Anderson提出

5、:提出了精简审计的概念,风 险和威胁分类方法 提出了利用审计跟踪数据监视入侵活动的思想这份报告被公认为是入侵检测的开创性工作。电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处9入侵检测的起源和发展-2 80年代,基于主机的入侵检测 1990,加州大学戴维斯分校的L. T. Heberlein等人开发 出了NSM(Network Security Monitor) 该系统第一次直接将网络流作为审计数据来源,因而 可以在不将审计数据转换成统一格式的情况下监控异 种主机 入侵检测系统发展史翻开了新的一页,两大阵营正式 形成:基于网络的IDS和基于主机的IDS 90年代,基于

6、主机和基于网络入侵检测的集成电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处10讨论议题入侵检测概述 入侵检测系统的功能组成 基于主机及基于网络的入侵检测系统 异常检测和误用检测 入侵检测的响应 入侵检测标准化工作电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处11IDS基本结构 进行入侵检测的软件与硬件的组合便是入侵检测系统 (IDS, Intrusion Detection System )。 入侵检测是监测计算机网络和系统以发现违反安全策 略事件的过程。简单地说,入侵检测系统包括三个功 能部件: (1)信息收集 (2)信息分析 (3)结

7、果处理电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处12信息收集 入侵检测的第一步是信息收集,收集内容包括系 统、网络、数据及用户活动的状态和行为。 需要在计算机网络系统中的若干不同关键点(不 同网段和不同主机)收集信息, 尽可能扩大检测范围 从一个源来的信息有可能看不出疑点电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处13信息分析 模式匹配(误用检测):模式匹配就是将收集到的信息 与已知的网络入侵和系统误用模式数据库进行比较, 从而发现违背安全策略的行为。 统计分析(异常检测):统计分析方法首先给系统对象 (如用户、文件、目录和设备等)

8、创建一个统计描述 ,统计正常使用时的一些测量属性(如访问次数、操 作失败次数和延时等)。 完整性分析,往往用于事后分析,主要关注某个文件 或对象是否被更改。电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处14检测目标 可说明性 是指从给定的活动或事件中,可以找到相关 责任方的能力。建立可说明性的目标是获得 补偿或针对责任方追究相关法律责任。 积极的反应 报告 警报 修改目标机系统或入侵检测系统电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处15入侵检测的分类-1 按照数据来源: 基于主机:系统获取数据的依据是系统运行 所在的主机,保护的目标也

9、是系统运行所在 的主机。 基于网络:系统获取的数据是网络传输的数 据包,保护的是网络的运行。 混合型:电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处16入侵检测的分类-2 按照分析方法(检测方法) 异常检测模型(Anomaly Detection ):首先总 结正常操作应该具有的特征(用户轮廓), 当用户活动与正常行为有重大偏离时即被认 为是入侵 。 误用检测模型(Misuse Detection):收集非 正常操作的行为特征,建立相关的特征库, 当监测的用户或系统行为与库中的记录相匹 配时,系统就认为这种行为是入侵 。电子工业出版社,信息安全原理与应用,2010.

10、1 版权所有,引用请注明出处17入侵检测的分类-3 根据时效性: 脱机分析:行为发生后,对产生的数据进行 分析。早期比较流行 联机分析:在数据产生的同时或者发生改变 时进行分析。电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处18入侵检测的分类-4 按系统各模块的运行方式 集中式:系统的各个模块包括数据的收集分 析集中在一台主机上运行。 分布式:系统的各个模块分布在不同的计算 机和设备上。电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处19讨论议题入侵检测概述 入侵检测系统的功能组成 基于主机及基于网络的入侵检测系统 异常检测和误用检测 入侵

11、检测的响应 入侵检测标准化工作电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处20基于主机的入侵检测系统 系统分析主机产生的数据(应用程序及 操作系统的事件日志) 由于内部人员的威胁正变得更重要。 基于主机的检测威胁 基于主机的入侵检测结构 优点及问题电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处21主机的数据源 操作系统事件日志 应用程序日志 系统日志 关系数据库 Web服务器电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处22基于主机的检测威胁 特权滥用 前职员使用旧帐户 管理员创建后门帐户 关键数据的访问及修

12、改 非授权泄露、修改WEB站点 安全配置的变化 用户没有激活屏保 激活guest帐户电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处23基于主机的入侵检测系统结构 基于主机的入侵检测系统通常是基于代理的, 代理是运行在目标系统上的可执行程序,与中 央控制计算机(命令控制台)通信。 集中式 分布式电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处24集中式基于主机的入侵检测结构电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处25集中式检测的优缺点 优点: 不会降低目标机的性能 统计行为信息 多主机标志、用于支持起诉的原始

13、数据 缺点: 不能进行实时检测 不能实时响应 影响网络通信量电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处26分布式基于主机的入侵检测结构电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处27分布式检测的优缺点 优点: 实时告警 实时响应 缺点: 降低目标机的性能 没有统计行为信息 没有多主机标志 没有用于支持起诉的原始数据 降低了数据的辨析能力 系统离线时不能分析数据电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处28基于网络的入侵检测系统 入侵检测系统分析网络数据包 基于网络的检测威胁 基于网络的入侵检测结构 优

14、点及问题电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处29基于网络的检测威胁 非授权访问 非授权登录(login) 进行其它攻击的起始点 数据/资源的窃取 口令下载 带宽窃取 拒绝服务 畸形分组:land 分组泛洪:packet flooding 分布式拒绝服务电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处30基于网络的入侵检测系统结构 基于网络的入侵检测系统由遍及网络的传感器 (Sensor)组成,传感器会向中央控制台报告。 传感器通常是独立的检测引擎,能获得网络分 组、找寻误用模式,然后告警。 传统的基于传感器的结构 分布式网络节点结

15、构(network node)电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处31检测器的位置 放在防火墙之外 检测器在防火墙内 防火墙内外都有检测器 检测器的其他位置电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处32基于网络的入侵检测的好处 威慑外部人员 检测 自动响应及报告电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处33讨论议题入侵检测概述 入侵检测系统的功能组成 基于主机及基于网络的入侵检测系统 异常检测和误用检测 入侵检测的响应 入侵检测标准化工作电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处34误用检测模型 如果入侵特征与正常的用户行为能匹配,则系 统会发生误报;如果没有特征能与某种新的攻 击行为匹配,则系统会发生漏报。 特点:能明显降低错报率,但漏报率随之增

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 教育/培训

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号