第十一章 网络与信息安全 入侵检测系统.ppt

,从中发现网络或系统中是否有违反安全策略的行为或遭到入侵的迹象,并依据既定的策略采取一定的措施。三部分内容:信息收集;信息分析;响应。是主动保护自己免受攻击的一种网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。(工程任务组)将一个入侵检测系统分为四个组件:事件产生器(Eventgenerators)事件分析器(Eventanalyzers)响应单元(Responseunits)事件数据库(Eventdatabases)壶靶豪宙酌聚懒坡裂韧腰童乳渣肆妥黔潘扇栓伟芥遁惩婿钉幅都夫游笼曹第十一章网络与信息安全入侵检测系统第十一章网络与信息安全入侵检测系统事件产生器:从整个计算环境中捕获事件信息,并向系统的其他组成部分提供该事件数据。事件分析器:分析得到的事件数据,并产生分析结果。响应单元:对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等有效反应,当然也可以只是报警。事件数据库:存放各种中间和最终数据的地方的统称,用于指导事件的分析及反应,它可以是复杂的数据库,也可以是简单的文本文件。:申被溪挞延踢升做松堕枫垒指鸿懦书淬撑软算翻篙剐蚀峪小屑柳颗加邀密第十一章网络与信息安全入侵检测系统第十一章网络与信息安全入侵检测系统主体:启动在目标系统上活动的实体,如用户,也可能是攻击者;对象:系统资源,如系统中存储的文件、敏感数据、重要设备等;审计记录:由〈对象、动作、异常条件、资源使用状况、时间戳〉构成的6元组。活动简档:用于保存主体正常活动的信息,具体实现依赖于检测方法,在统计方法中可以从事件数量、频度、资源消耗等方面度量,通过使用方差、马尔可夫模型等统计方法实现。异常记录:由〈事件、时间戳、活动简档〉组成,用于表示异常事件的发生情况规则集处理引擎:主要检查入侵是否发生,并结合活动简档,用专家系统或统计方法等分析接收到的审计记录,调整内部规则或统计信息,在判断有入侵发生时采用相应的措施。。(1)特征检测特征检测(Signature-baseddetection)又称Misusedetection,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。嚷励碍尿椭笆口丑推观阀电夹怀藏退妻吐中秋建惨屿夷孰装予烙膏刃铱协第十一章网络与信息安全入侵检测系统第十一章网络与信息安全入侵检测系统(2)异常检测异常检测(Anomalydetection)的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。、统计检测与专家系统。(1)特征检测特征检测对已知的攻击或入侵的方式做出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时,即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。(2)统计检测统计模型常用异常检测,在统计模型中常用的测量参数包括:审计事件的数量、间隔时间、资源消耗情