入侵检测技术第1章.ppt

该【入侵检测技术第1章 】是由【相惜】上传分享，文档一共【15】页，该文档可以免费在线阅读，需要了解更多关于【入侵检测技术第1章 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。组长:黄齐超杨光罗力王昌益吴飞朱日干张云峰入侵检测技术简介整理ppt总目录第1章入侵检测技术的历史 第2章入侵检测的相关概念 第3章入侵检测技术的分类 第4章基于主机的入侵检测技术 第5章基于网络的入侵检测技术 第6章混合型的入侵检测技术 第7章先进入侵检测技术 第8章分布式的入侵检测架构 第9章入侵检测系统的设计考虑 第10章入侵检测的响应问题 第11章相关的法律问题 ——,其定义为:产生、记录并检查按照时间顺序排列的系统事件记录的过程。在早期的中央主机集中计算的环境之下,主机审计的主要目的是统计用户的上机时间,便于进行计费管理。不久,随着计算机的普及,审计的用途扩展到跟踪记录计算机系统的资源使用情况,经过进一步的开展,主机审计开始应用于追踪调查计算机系统中用户的不正当使用行为的目的。此时的主机审计,已经逐步开始引入了平安审计的概念。平安审计的主要需求来自于商业领域和军事、行政领域。——入侵检测的起点整理ppt20世纪70年代TCSEC〔可信计算机系统评估准那么〕首次定义了计算机系统的平安等级评估标准,并且给出了满足各个平安等级的计算机系统所应满足的各方面的条件。TCSEC准那么规定,作为C2和C2等级以上的计算机系统必须包括审计机制,并给出满足要求的审计机制所应到达的诸多平安目标。在此之后,计算机平安问题得到了更多的注意和重视。James-Anderson在1980年首次明确提出平安审计的目标,并强调应该对计算机审计机制做出假设干修改,以便计算机平安人员能够方便地检查和分析审计数据。Anderson在报告中定义了3种类型的恶意用户。整理ppt①伪装者〔masquerader〕:此类用户试图绕过系统平安访问控制机制,利用合法用户的系统账户。②违法者〔misfeasor〕:在计算机系统上执行非法活动的合法用户。③秘密活动者〔clandestineduser〕:此类用户在获取系统最高权限后,利用此种权限以一种审计机制难以发现的方式进行秘密活动,或者干脆关闭审计记录过程。Anderson指出,可以通过观察在审计数据记录中的偏离历史正常行为模式的用户活动来检查和发现伪装者和一定程度上的违法者。Anderson对此问题的建议,实质上就是入侵检测中异常检测技术的根本假设和检测思路,为后来的入侵检测技术开展奠定了早期的思想根底。整理ppt1987年,DorothyDenning发表了入侵检测领域内的经典论文?入侵检测模型?。这篇文献正式启动了入侵检测领域内的研究工作,被认为是入侵检测领域内的开创性成果。Denning提出的统计分析模型在早期研发的入侵检测专家系统〔IDES〕中得到较好的实现。IDES系统主要采纳了Anderson的技术报告中所给出的检测建议,但是,Denning的论文中还包括了其他检测模型。Denning对入侵检测的根本模型给出了建议,如图1-1所示。-1通用入侵检测模型整理ppt在图1-1所示的通用入侵检测模型中,事件生成器从给定的数据来源中,生成入侵检测事件,并分别送入到活动档案计算模块和规那么库检测模块中。活动档案模块根据新生成的事件,自动更新系统行为的活动档案;规那么库根据当前系统活动档案和当前事件的情况,发现异常活动情况,并可以按照一定的时间规那么自动地删减规那么库中的规那么集合。Denning所提出的入侵检测根本模型,其意义在于一般化的模型定义,并不强调具体的实现技术。整理ppt入侵检测技术自20世纪80年代早期提出以来,经过20多年的不断开展,从最初的一种有价值的研究想法和单纯的理论模型,迅速开展出种类繁多的各种实际原型系统,并且在近10年内涌现出许多商用入侵检测系统产品,成为计算机平安防护领域内不可缺少的一种重要的平安防护技术。1980年,Anderson在其完成的一份技术报告中提出了改进平安审计系统的建议,以便用于检测计算机用户的非授权活动,同时,提出了根本的检测思路。