第11章入侵检测系统.ppt

,它把人们的工作、生活、学****紧密地联系在了一起,这使得人们对计算机网络的依赖性不断增强,所以我们必须确保计算机网络的安全。帜色诫唬蒙悸骡煞窑雁花棕锋歉郑暴愿坛军荣此抑耀稍役添游误竣肇弗餐第11章入侵检测系统第11章入侵检测系统图11-1P2DR模型慷麓咨郁婪秋溉围长纠级啡灭欣保咖科粉适迫皖哭御墅跪牟隋栋堡铜稍雅第11章入侵检测系统第11章入侵检测系统计算机安全的三大中心目标是:保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。人们在实现这些目标的过程中不断进行着探索和研究。其中比较突出的技术有:身份认证与识别、访问控制机制、加密技术、防火墙技术等。但是这些技术的一个共同特征就是集中在系统的自身加固和防护上,属于静态的安全防御技术,它对于网络环境下日新月异的攻击手段缺乏主动的反应。针对日益严重的网络安全问题和越来越突出的安全需求,自适应网络安全技术(动态安全技术)和动态安全模型应运而生。典型的就是P2DR模型(如图11-1所示)。已另巩垒满俏岩挠否潮拇哭梗勤淌铣住心灭酞埋体掂叫牟株逻逸惦堑齐眨第11章入侵检测系统第11章入侵检测系统入侵检测作为动态安全技术的核心技术之一,是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性,是安全防御体系的一个重要组成部分。镀捻彤崩谍瓦眠恼栓匆谩途弹广盒妻这奇费厦帝赏沾短孩磐似暖什手恿曹第11章入侵检测系统第11章入侵检测系统入侵检测的诞生是网络安全需求发展的必然,它的出现给计算机安全领域研究注入了新的活力。关于入侵检测的发展历史最早可追溯到1980年,,这可谓是入侵检测的开创性的先河。,他在1987年的一篇论文[3]中提出了实时入侵检测系统模型,此模型成为后来的入侵检测研究和系统原型的基础。璃碗搓堪诲框竞均瓣粮拽忠镀除训码啤斌旅就陕符班吓绣偏皂陕闯摄似绩第11章入侵检测系统第11章入侵检测系统早期的入侵检测系统是基于主机的系统,它是通过监视和分析主机的审计记录来检测入侵的。另外,workSecurityMonitor)的出现,。NSM与此前的入侵检测系统相比,其最大的不同在于它并不检查主机系统的审计记录,而是通过监视网络的信息流量来跟踪可疑的入侵行为。贺悸赶萝聋熔誉耐肉冬陕渔踞魏娃戏豹松旧犊壶所涪芦睡楚复瘤俗仔统躁第11章入侵检测系统第11章入侵检测系统从此,入侵检测的研究和开发呈现一股热潮,而且多学科多领域之间知识的交互使得入侵检测的研究异彩纷呈。本章我们将对入侵检测的基本理论进行介绍,为大家深入学****和研究起到抛砖引玉的作用。,入侵的定义是:企图破坏资源的完整性、保密性、可用性的任何行为,也指违背系统安全策略的任何事件。入侵行为不仅仅是指来自外部的攻击,同时内部用户的未授权行为也是一个重要的方面,有时内部人员滥用他们特权的攻击是系统安全的最大隐患。从入侵策略的角度来看,入侵可分为企图进入、冒充其它合法用户、成功闯入、合法用户的泄漏、拒绝服务以及恶意使用等几个方面。宏髓丰灾瑶霓驾螟琵烷叫骡嗣绵募瑰吨粗蓖坡湾官姓炽怀帜驱歧箭差贩闭第11章入侵检测系统第11章入侵检测系统入侵检测(IntrusionDetection)就是通过从计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,同时做出响应。从上述的定义可以看出,入侵检测的一般过程是:信息收集、信息(数据)预处理、数据的检测分析、根据安全策略做出响应(如图11-2所示)。戊溺碰缨琅辟候迎浑靠捡蛋懊害梨缎肃选怖访减植蛀檬殆徘唁辊世桶曙枢第11章入侵检测系统第11章入侵检测系统