第六章 入侵检测系统ppt课件.ppt

第六章入侵检测系统保密性(Confidentiality)完整性(Integrity)数据完整性,保证数据未被未授权篡改或损坏系统完整性,系统未被非授权操纵,按既定的功能运行可用性(Availability)鉴别(Authenticity)–实体身份的鉴别,适用于用户、进程、系统、信息等不可否认性(Non-repudiation)–防止发送方或接收方的抵赖……回顾:安全相关概念加密:常规加密、公开密钥加密数据鉴别:消息摘要hash数字签名身份认证:口令、鉴别交换协议、生物特征安全访问控制网络安全协议:IPSec、SSL、PGP、S/MIME网络安全产品与技术:防火墙、VPN应用程序防护:防病毒、防止缓冲区溢出等安全措施和技术人因攻击:社会工程、盗窃行为物理攻击:电磁脉冲炸弹等数据攻击:非法获取数据、篡改数据身份冒充:IP欺骗、会话重放、会话劫持非法使用:利用系统的漏洞(缓冲区溢出)拒绝服务:EMAIL轰炸等面对的入侵威胁典型的攻防模型伪装者:未被授权的使用计算机的人(Outside)违法者:访问没有经过授权的数据、程序和资源的合法用户(Inside)秘密用户:夺取系统超级控制并使用这种控制权逃避审计和访问控制,或者抑制审计记录的人(Outside&Inside)入侵者身份认证安全访问控制入侵检测系统防止入侵的手段入侵检测(IntrusionDetection):对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性入侵行为能够被迅速检测出来并驱逐出去进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS,IntrusionDetectionSystem)入侵检测可以搜集有关入侵技术的信息,自动升级和加强入侵防止机制入侵检测技术信息收集--提供事件记录流的信息源信息分析--发现入侵迹象的分析引擎结果处理--基于分析引擎的分析结果产生反映的响应部件入侵检测的过程入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息尽可能扩大检测范围从一个源来的信息有可能看不出疑点入侵检测很大程度上依赖于收集信息的可靠性和正确性,因此,要保证用来检测网络系统的软件的完整性,特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息信息收集