信息安全系统工程入侵检测.pptx

该【信息安全系统工程入侵检测 】是由【小屁孩】上传分享，文档一共【114】页，该文档可以免费在线阅读，需要了解更多关于【信息安全系统工程入侵检测 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。一、概述入侵检测(Intrusiondetection)入侵检测是通过在计算机网络或计算机系统中的若干关键点收集信息,通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象的一种机制。入侵检测系统(IntrusionDetectionSystem)进行入侵检测的软件与硬件的组合,它使用入侵检测技术对网络与其上的系统进行监视,并根据监视结果进行不同的安全动作,最大限度地降低可能的入侵危害。12021/10/10入侵检测系统的预警功能目前大部分网络攻击在攻击前有资料搜集的过程例如,基于特定系统的漏洞攻击,在攻击之前需要进行端口扫描,以确认系统的类型以及漏洞相关的端口是否开启。此外某些攻击在初期就可以表现出较为明显的特征例如,假冒有效用户登录,在攻击初期的登录尝试具有明显的特征。对于这些攻击,入侵检测系统可以在攻击的前期准备时期或是在攻击刚刚开始的时候进行确认并发出警报同时入侵检测系统可以对报警的信息进行记录,为以后的一系列实际行动提供证据支持。22021/10/10IDS的特点IDS是一种积极主动的防护工具,是对防火墙的合理补充,能帮助系统对付网络攻击,扩展系统管理员的安全管理能力和范围一般情况下,防火墙为网络安全提供了第一道防线,IDS作为防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护,减少网络受到各种可能攻击的损害。IDS不仅能监测外来的入侵者,同时也能监测内部人员的入侵行为,这也弥补了防火墙在这方面的不足。入侵检测一般采用旁路侦听的机制,因此不会产生对网络带宽的大量占用,系统的使用对网内外的用户来说是透明的,不会有任何的影响。32021/10/10入侵检测的部署方式和位置旁路侦听42021/10/10IDS的功能IDS通常具有以下功能:1、监视用户和系统的运行状况,查找非法用户和合法用户的越权操作;2、对系统的弱点进行审计;3、对异常行为模式进行统计分析;4、评估重要系统和数据文件的完整性;5、对操作系统进行跟踪审计管理,并识别用户违反安全策略的行为。52021/10/10IDS常用的评价指标1、漏报率指攻击事件没有被IDS检测到的概率。与其相对的是检出率。2、误报率指把正常事件识别为攻击并报警的概率。注意:误报率与检出率成正比关系。62021/10/10二、入侵检测的基本原理入侵检测与其他检测技术的原理相同,即从收集到的一组数据中,检测出符合某一特点的数据。由于入侵者在攻击时通常会留下痕迹,这些痕迹与系统正常运行时产生的数据混合在一起,入侵检测的任务就是要从这样的混合数据中找出是否有入侵的痕迹,如果有入侵的痕迹就产生报警信号。72021/10/10IDS的工作过程一个IDS的工作过程包括4个阶段:数据收集、数据处理、数据分析和报警响应。数据收集数据处理数据分析报警响应原始数据包或日志规则库入侵检测系统82021/10/10IDS的工作过程(续)1、数据收集数据收集是入侵检测的基础,可以通过不同的途径收集数据。目前常见的数据来源包括主机日志、网络数据包、应用程序日志和防火墙日志等。2、数据处理数据收集过程产生的原始数据量一般很庞大,并且存在噪声。数据处理的功能就是从原始数据中去除冗余和噪声,并且进行格式化和标准化处理,以利于今后的数据分析。92021/10/10IDS的工作过程(续)3、数据分析对经过处理的数据采用智能化的方法进行分析,检查数据是正常的还是存在入侵。4、报警响应当经过数据分析发现入侵时,采用各种措施对网络进行防护、保留入侵证据并通知系统管理员。常用的措施包括切断网络连接、记录系统日志、给系统管理员发送电子邮件等。102021/10/10