《入侵检测技术ppt培训课件》由会员分享,可在线阅读,更多相关《入侵检测技术ppt培训课件(50页珍藏版)》请在金锄头文库上搜索。
1、思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告第10章 入侵检测技术 思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告10.1 入侵检测概述10.2 入侵检测原理10.3 入侵检测系统的关键技术10.4 基于数据挖掘的智能化入侵检测系统设计思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告10.1 入侵检测概述计算机网络主
2、要由以下3部分组成: (1)若干主机; (2)通信子网,包括通信处理机和连接网络中各 个节点的通信链路; (3)通信协议,如以太网协议、TCP/IP等。 信息安全包含以下几个方面的内容: 保密性 完整性 有效性 思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告网络攻击共经历了如下几个过程。 (1)攻击来源: (2)攻击工具: (3)访问系统方式: (4)攻击结束: (5)攻击者意图:思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨
3、询项目内部分析报告而从防卫者的角度出发,针对上述目标,网 络安全的目标包含以下几个方面。(1)网络服务有效可用 (2)网络信息的保密性不被破坏 (3)网络信息的完整性不被破坏 (4)确保网络信息的不可抵赖性 (5)有效控制网络的运行思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告10.1.2 研究入侵检测的必要性因为访问控制和保护模型本身存着在以下问题。 (1)弱口令问题。 (2)静态安全措施不足以保护安全对象属性。 (3)软件的Bug-Free近期无法解决。 (4)软件生命周期缩短和软件测试不充分。
4、(5)系统软件缺陷的修补工作复杂,而且源代码大 多数不公开,也缺乏修补Bug的专门技术,导致修补 进度太慢,因而计算机系统的不安全系统将持续一段 时间。思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告入侵检测的主要目的有:识别入侵者;识别 入侵行为;检测和监视已成功的安全突破;为对 抗措施即时提供重要信息。因而,入侵检测是非 常必要的,可以弥补传统安全保护措施的不足。入侵检测系统的主要功能是检测,当然还有 其他的功能选项,因而增加了计算机系统和网络 的安全性。思想品德七上下培训完整的原版绿带培训教材DM
5、AIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告使用入侵检测系统有如下优点: 检测防护部分阻止不了的入侵; 检测入侵的前兆; 对入侵事件进行归档; 对网络遭受的威胁程度进行评估; 对入侵事件进行恢复。入侵检测系统利用优化匹配模式和统计学技术 把传统的电子数据处理和安全审查结合起来,已经 发展成为构筑完整的现代网络安全技术的一个必不 可少的部分。思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告(1)安全审计安全审计机制的目标有以下几方面。 为安全职员提供足够
6、的信息使之能够将问题 局限于局部,而信息量不足以以其为基础进 行攻击。 优化审计记录的内容,审计分析机制应该可 以对一些特定资源辨认正常的行为。 (2)IDS的诞生思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告10.1.3 网络安全体系结构图10.2 单机安全模型 思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告图10.3 安全系统管理模型 思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注
7、射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告图10.4 信息保障的基本内容 思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告10.2 入侵检测原理入侵检测和其他检测技术基于同样的原理, 即从一组数据中,检测出符合某一特点的数据。10.2.1 异常入侵检测原理构筑异常检测原理的入侵检测系统,首先要 建立系统或用户的正常行为模式库,不属于该库 的行为被视为异常行为。 思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展
8、战略咨询项目内部分析报告但是,入侵性活动并不总是与异常活动相符合 ,而是存在下列4种可能性。 (1)入侵性而非异常。 (2)非入侵性且异常。 (3)非入侵性非异常。 (4)入侵性且异常。另外,设置异常的门槛值不当,往往会导致IDS 许多误报警或者漏检的现象,漏检对于重要的安全 系统来说是相当危险的,因为IDS给安全管理员造 成了系统安全假象。思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告10.2.2 误用入侵检测原理误用入侵检测依赖于模式库,误用入侵检测能 直接检测出模式库中已涵盖的入侵行为或不可接受
9、 的行为,而异常入侵检测是发现同正常行为相违背 的行为。误用入侵检测的主要假设是具有能够被精 确地按某种方式编码的攻击。通过捕获攻击及重新 整理,可确认入侵活动是基于同一弱点进行攻击的 入侵方法的变种。误用入侵检测主要的局限性是仅 仅可检测已知的弱点,对检测未知的入侵可能用处 不大。思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告图10.5 误用入侵检测模型思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告10.2
10、.3 入侵检测模型入侵有以下6种方式: 尝试性攻击; 伪装攻击; 安全控制系统渗透; 泄漏; 拒绝服务; 恶意使用。思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告1IDES模型图10.6 IDES模型 思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告string字符串,如“smith”*能够够匹配任意字符串的别别名#匹配任意数字串IN(list)匹配list中的任意字符串Pname与p匹配的name相关联联的字
11、符串,如“”表示匹配Library的文件p1p2同p1模式匹配,后面跟随模式p2p1p2匹配p1模式或p2模式p1,p2匹配p1模式p2模式p除了模式p外,任意匹配表10.1模 式 语 法思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告Variable-Name:Sesion0utput Action-Pattern:logout Exception-Pattern:0 Resource-Usage-Pattern:Sesion0utput=#Amount Period: Variable-Type:R
12、esourceByActivity Threshold:4 Subject-Pattern:Smith 0bject-Pattern:* Value:recordof表10.2轮 廓 实 例思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告2IDM模型层层 次名 称解 释释 说说 明6安全状态态(security state)网络络整体安全情况5威胁胁(thread)动动作产产生的结结果种类类4上下文(context)事件发发生所处处的环环境3主体(subject)事件的发发起者2事件(event)日志记
13、录记录 特征性质质和表示动动作描述1数据(data)操作系统统或网络访问络访问 日志记录记录表10.3IDM表思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告3SNMP-IDSM模型图10.7 IDS A与IDS B消息交换示意图 思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告4各种模型比较IDES模型依靠分析主机的审计记录,因此, 在网络环境下,IDES模型存在局限性。 IDM模型和SNMP-IDSM模型正是
14、对IDES模 型的补充。入侵检测模型要随着网络技术和入侵技术而 变化。一是要扩充入侵数据结构模型;二是模型 要易于扩充。思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告10.3 入侵检测系统的关键技术10.3.1 多用于异常入侵检测的技术1统计异常检测方法统计异常检测方法根据异常检测器观察主 体的活动,由此产生一个能够描述这些活动的 轮廓。每一个轮廓都保存记录主体的当前行为 ,并定时地将当前的轮廓合并到已存储的轮廓 中。通过比较当前的轮廓与已存储的轮廓来判 断主体的行为是否异常,从而来检测网络是否 被入
15、侵。思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告2基于特征选择异常检测方法基于特征选择异常检测方法是通过从一组度量中 挑选能检测出入侵的度量构成子集来准确地预测或分 类已检测到的入侵。 3基于贝叶斯推理异常检测方法基于贝叶斯推理异常检测方法是通过在任意给定 的时刻,测量A1,A,A变量值推理判断系统 是否有入侵事件发生。 思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告4基于贝叶斯网络异常检测方法基于贝叶斯网
16、络的异常检测方法是通过建立异常 入侵检测贝叶斯网络,然后用其分析一场测量结果。 关于一组变量x= x1,x,xn,的贝叶斯网 络由以下两部分组成: 一个表示X中变量的条件独立断言的网络结构S; 与每一个变量相联系的局部概率分布集合P。思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告贝叶斯网络的建立共有以下3个主要步骤。第一步,确定建立模型有关的变量及其解释。 第二步,构建一个表示条件独立断言的有向无环 图 。第三步,指派局部概率分布p(xi|Pai)。思想品德七上下培训完整的原版绿带培训教材DMAIC各部分风扇调速旋钮注射模工艺结构分析及设计家纺企业集团全面创新发展战略咨询项目内部分析报告变变 量 名意 义义A医生因诊诊断而需要的病例档案访问访问I当前的访问访问 敏感病例档案是入侵的行为为M医务务人员员的操作访问访问N非医务务人员员的操作
