信息安全概論-入侵檢測_第1頁
信息安全概論-入侵檢測_第2頁
信息安全概論-入侵檢測_第3頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、信息安全概論-入侵檢測入侵檢測的概念1:入侵:是指對(duì)信息系統(tǒng)的未授權(quán)訪問及(或)未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作。這里,應(yīng)該 包括用戶對(duì)于信息系統(tǒng)的誤用。2:入侵檢測:是指對(duì)企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過程。它通過在 計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)收集到的信息進(jìn)行分析,從而判斷網(wǎng)絡(luò) 或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。3:入侵檢測系統(tǒng)(IDS,Intrusion Detection System),是完成入侵檢測功能的軟件、硬件及其 組合,是一種能夠通過分析系統(tǒng)安全相關(guān)數(shù)據(jù)來檢測入侵活動(dòng)的系統(tǒng)。入侵檢測系統(tǒng)(IDS)的主要功能1:監(jiān)測并分析用戶和

2、系統(tǒng)的活動(dòng);2:核查系統(tǒng)配置和漏洞;3:評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性;4:識(shí)別已知的攻擊行為;5:統(tǒng)計(jì)分析異常行為;6:對(duì)操作系統(tǒng)進(jìn)行日志管理,并識(shí)別違反安全策略的用戶活動(dòng)。7:針對(duì)已發(fā)現(xiàn)的攻擊行為作出適當(dāng)?shù)姆磻?yīng),如告警、中止進(jìn)程等。小結(jié)1:入侵檢測作為一種積極的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù), 在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā),入 侵檢測系統(tǒng)理應(yīng)受到人們的高度重視,這從國外入侵檢測產(chǎn)品市場的蓬勃發(fā)展就可以看出。在 國內(nèi),隨著上網(wǎng)的關(guān)鍵部門、關(guān)鍵業(yè)務(wù)越來越多,迫切需要具有自主版權(quán)的入侵檢測產(chǎn)品。但 現(xiàn)狀是入侵檢測僅

3、僅停留在研究和實(shí)驗(yàn)樣品(缺乏升級(jí)和服務(wù))階段,或者是防火墻中集成較 為初級(jí)的入侵檢測模塊。可見,入侵檢測產(chǎn)品乃具有較大的發(fā)展空間;從技術(shù)途徑來講,除了 完善常規(guī)的、傳統(tǒng)的技術(shù)(模式是別和完整性檢測)外,應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)研究。 2:目前,國際頂尖的入侵檢測系統(tǒng)IDS主要以模式發(fā)現(xiàn)技術(shù)為主,并結(jié)合異常發(fā)現(xiàn)技術(shù)。IDS一般從實(shí)現(xiàn)方式上分為兩種基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS。一個(gè)完備的入侵檢測系統(tǒng)IDS 一定是基于主機(jī)合基于網(wǎng)絡(luò)兩種方式兼?zhèn)涞姆植枷到y(tǒng)。另外,能夠識(shí)別的入侵手段的數(shù)量多少, 最新入侵手段的更新是否及時(shí)也是評(píng)價(jià)入侵檢測系統(tǒng)的關(guān)鍵指標(biāo)。成功的入侵檢測系統(tǒng)應(yīng)具的特點(diǎn)1:實(shí)時(shí)性2

4、:可擴(kuò)展性3:適應(yīng)性4:安全性5有效性入侵檢測原理1:異常檢測2:誤用檢測入侵檢測系統(tǒng)的主要部件簡介1:信息流收集器:即信息獲取子系統(tǒng),用于收集來自于網(wǎng)絡(luò)和主機(jī)的事件信息,為檢測分析提 供原始數(shù)據(jù);2:分析引擎:即分析子系統(tǒng),是入侵檢測系統(tǒng)的核心部分,用于對(duì)獲取的信息進(jìn)行分析,從而 判斷出是否有入侵行為發(fā)生并檢測出具體的攻擊手段;3:用戶界面和事件報(bào)告:即響應(yīng)控制子系統(tǒng),這部分和人交互,在適當(dāng)?shù)臅r(shí)候發(fā)出警報(bào),為用 戶提供與IDS交互和操作IDS的途徑;4:特征數(shù)據(jù)庫:即數(shù)據(jù)庫子系統(tǒng),存儲(chǔ)了一系列已知的可疑或者惡意行為的模式和定義;入侵檢測性能關(guān)鍵參數(shù)1:誤報(bào)(false positive):檢測系統(tǒng)在檢測時(shí)把系統(tǒng)的正常行為判為入侵行為的錯(cuò)誤被稱誤報(bào);檢測系統(tǒng)在檢測過程中出現(xiàn)誤報(bào)的概率稱為系統(tǒng)的誤報(bào)率。2:漏報(bào)(false negative):檢測系統(tǒng)在檢測時(shí)把某些入侵行為判為正常行為的錯(cuò)誤現(xiàn)象稱為漏報(bào);檢測系統(tǒng)在檢測過程中出現(xiàn)漏報(bào)的概率稱為系統(tǒng)的漏報(bào)率。異常檢測模型異常檢測模型(Anomaly Detection):首先總結(jié)正常操作應(yīng)該具有的特征(用戶輪廓),當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為 是入侵;異常檢測特點(diǎn)1:異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率。2:因?yàn)椴恍枰獙?duì)每

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論