《chap12:入侵检测技术-b 西安电子科技大学计算机安全基础课件.ppt》由会员分享,可在线阅读,更多相关《chap12:入侵检测技术-b 西安电子科技大学计算机安全基础课件.ppt(69页珍藏版)》请在金锄头文库上搜索。
1、入侵检测洁IntrusionDetection14卜)】一*入侵检测(IntrusionDetection)技术是一种主动保护自己免受攻击的一种网络安全技术。*入侵检测系统(IntrusionDetectionSystem,称IDS在识别入侵和攻击时具有一定的智能,体现在入侵牺征的提取和汇总、响应的合并与融合、在检测到入侵后能够主动采取响应淅施等方面。一一1ccvccuccucu.吊-一f言、*主要内容心入侵检测技术概述心入侵检测的预备知识心入侵检测的基础知识心入侵检测的关键技术心入侵检测的描述、评测与部署-入侵检测的发展方向一心一一一一一1wn一-小e1入侵检洙技术楣述1.1研究入侵检测技术
2、的起因1.2入侵检测的安全任务1.3入侵检测系统的历史-小s11.1研究入侵检浏枝札的起图*计算机技术的不断发展和网络规模的不断扩大*原有的安全手段(数据加密、信息隐藏、身份胃憩和验证、防火墙、物理隔离等不能解决5言)一*几个定义:一入侵:指任何企图危及资源的完整性、机密性和可用性的活动。心入侵检测:是指对入侵行为的发现,它通过在计算机网络或计算机系统中的若干关键点收集信息,通过对这些信息进行提取、分析,对网络进行监测,从而派断网络或系统中是否有追反安全策略的行为和被攻击的送雾,并对入侵或攻击做出响应,达到防止或减轻网络威胁的目的。8入侵检测系统(IDS):完成入侵检测功能的软、硬件组合。1v
3、n一一r-小e)“1:2入侵检测的安全但务*机密性(CConfidentiality)一机密性要求只有合法的授权用户才能对机蝈或受限的数据进行访问,未被授权的用户则无法访问数据。*完整性(Integrity心完蔚性要求保持系统内数据的正确性和一致性。证戢春说,诊任何俸况下谊耐保枝戢派不受础坏或融改。*可用性(Availability计算机资源和系统中的数据信息在系统合法用户需要使用时必须是可用的,即对授权用户系统应该尽量避免系统资源被耗尽或服务被拒绕的情况出现。zcraczvucveceucmn一一c一-小|。13入侵检测系统的历曲*1980年4月,JamesP.Anderson为美国空军做了
4、一份题为ComputerSecurityThreatMonitoringandSurveillance的技术报告,第一次详细阉述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部冼逐和不法行为三种,远谋出了利用审计跟踪数据,监视入侵活动的思想。一一一一一一一一一1ecvcvcurunue佳-一-小;*从1984年到1986年,Georgetown大学的DorothyDenning和SRIMCSL(SRI公司计算机科学实验室)的PeterNeumann研究出了一个实时入侵检测系统模型,取名为IDES(入侵检测专家系统。该根型(日六个部分组成主体、对象、审计
5、记录、转廖特、异常记录和活动规则。它独立于特定的系统平台应用环境、系统弱点以及入俊类城,为构建入侵检测系统提供了一个通用的框架。一r一*1987年,Denning提出了一个经典的异常检测抽象燮模型,首次将入侵检测作为一种计算机系统安全的防御措施提出。她的论文Anintrusion-薹墅霜伽model被认为是另一篇入侵检测的奠1一一-一2垦1988年Morris蠕虫事件导致了许多IDS系统的开发研究。*1988年SRMCSL的TeresaLunt等人改进了Denning的入侵检测模型,并开发出一个IDES,该系统包括一个异常检测器和一个专家系统,分别用于统计异常模型的建立和基于规|则的特征分析检测。2*1990年是入侵检测系统发展史上的一个分水岩,这一年,加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM|(NetworkSecurityMonito),该系统第一次言接将网络数据流作为审计数诚来源,闭而可以在不将审计数据转换成统二格式的情况下监控异种主机。从此之后,入侵检测系统发燮展史翻开了新的一页,两大阵营正式形成:基于网络的入侵检测系统和基于主机的入侵检测系统。1ucvcvccrcunue佳.一
