第二十三章入侵檢測

第二十三章入侵檢測第1頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測入侵檢測原理入侵檢測技術分析入侵檢測系統(tǒng)LINUX下的入侵檢測系統(tǒng)基于用戶特征分析的入侵檢測系統(tǒng)入侵檢測發(fā)展方向第2頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測原理原則基本入侵檢測入侵檢測理論模型第3頁，課件共26頁，創(chuàng)作于2023年2月原則一個能夠抵抗入侵的計算機系統(tǒng)將表現(xiàn)出以下特性：用戶以及應用的過程將被限制在一種可以預知的模式下。當用戶運行了一個簡單程序后不會使系統(tǒng)進入一種維護狀態(tài)。用戶以及應用過程將不允許包含破壞系統(tǒng)安全的命令序列，理論上來說，所有這種序列都應該排除。實際上，只有被列入安全系統(tǒng)的序列才能被檢測到。所有的應用過程都必須遵守操作的具體規(guī)范，只有系統(tǒng)允許運行時才可以。第4頁，課件共26頁，創(chuàng)作于2023年2月基本入侵檢測網絡攻擊變的越來越復雜而且自動化程度越來越高，一個復雜的進攻并不一定是由一個有經驗的入侵者發(fā)動的定義：一個入侵工具是一種用來破壞系統(tǒng)安全的自動化的腳本入侵工具絕對不是更改入侵檢測的本質。他們排除了許多由于不正確安裝而造成的錯誤。并且以一種常規(guī)的步驟排除了一些零碎的攻擊。但是他們不能完全排除系統(tǒng)隱患。入侵檢測系統(tǒng)擁有以下四重目的：廣泛的入侵檢測。時常進行入侵檢測。介紹一種簡單，易于理解的格式。正確性。第5頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測理論模型CIDF模型異常模型誤用模型規(guī)范模型第6頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測入侵檢測原理入侵檢測技術分析入侵檢測系統(tǒng)LINUX下的入侵檢測系統(tǒng)基于用戶特征分析的入侵檢測系統(tǒng)入侵檢測發(fā)展方向第7頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測技術分析常用的檢測方法拒絕服務攻擊及防范第8頁，課件共26頁，創(chuàng)作于2023年2月常用的檢測方法入侵檢測系統(tǒng)常用的檢測方法有:特征檢測對已知的攻擊或入侵的方式作出確定性的描述，形成相應的事件模式。統(tǒng)計檢測統(tǒng)計模型常用異常檢測。異常檢測(Anomalydetection)的假設是入侵者活動異常于正常主體的活動。常用的入侵檢測統(tǒng)計模型為：操作模型多元模型馬爾柯夫過程模型專家系統(tǒng)用專家系統(tǒng)對入侵進行檢測，經常是針對有特征入侵行為。第9頁，課件共26頁，創(chuàng)作于2023年2月拒絕服務攻擊及防范拒絕服務攻擊正在向分布式（DDos）方向發(fā)展，分布式拒絕服務攻擊采用了一種比較特別的體系結構，從許多分布的主機同時攻擊一個目標。從而導致目標癱瘓。第10頁，課件共26頁，創(chuàng)作于2023年2月拒絕服務攻擊及防范保護這些主機最好的辦法就是及時了解有關本操作系統(tǒng)的安全漏洞以及相應的安全措施。及時安裝補丁程序并注意定期升級系統(tǒng)軟件，以免給黑客以可乘之機。應該定期使用漏洞掃描軟件對內部網絡進行檢查。設置好單位內部的網絡設備。最重要的就是路由器和防火墻。第11頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測入侵檢測原理入侵檢測技術分析入侵檢測系統(tǒng)LINUX下的入侵檢測系統(tǒng)基于用戶特征分析的入侵檢測系統(tǒng)入侵檢測發(fā)展方向第12頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測系統(tǒng)組成審計跟蹤攻擊檢測系統(tǒng)現(xiàn)狀 入侵檢測產品分析常見的攻擊檢測工具第13頁，課件共26頁，創(chuàng)作于2023年2月

組成

一個最簡化的網絡實時入侵監(jiān)測系統(tǒng)由兩個部分構成：探測引擎（數(shù)據(jù)鏈路層的包分析）抓獲數(shù)據(jù)包并將過濾規(guī)則適用于數(shù)據(jù)包，復雜的包分析引擎還可能具有包重組以及跟蹤功能。記錄響應控制臺第14頁，課件共26頁，創(chuàng)作于2023年2月審計跟蹤審計跟蹤指系統(tǒng)活動的記錄，這些記錄足以重構、評估、審查環(huán)境和活動的次序，這些環(huán)境和活動在一項事務的開始到最后結束期間能夠圍繞或導致的一項操作、一個過程或一個事件。第15頁，課件共26頁，創(chuàng)作于2023年2月攻擊檢測系統(tǒng)現(xiàn)狀攻擊檢測系統(tǒng)(IDSs)是基于侵入者的行為與合法用戶的行為之間存在的明顯不同，實現(xiàn)對非授權的行為的檢測的?，F(xiàn)在的攻擊檢測系統(tǒng)更多的是對許多互聯(lián)在網絡上的主機的監(jiān)視。典型的系統(tǒng)有為LosAlamos國家實驗室的集成計算機網絡設計的網絡異常檢測和侵入報告系統(tǒng)NADIR，這是一個自動專家系統(tǒng)；加利福尼亞大學的NSM系統(tǒng)，它是通過廣播LAN上的信息流量來檢測入侵行為；分布式入侵檢測系統(tǒng)DIDS等。第16頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測產品分析基于網絡的入侵檢測基于主機的入侵檢測混合入侵檢測文件完整性檢查第17頁，課件共26頁，創(chuàng)作于2023年2月常見的攻擊檢測工具NAI公司是領先的專業(yè)網絡安全產品提供商，其攻擊檢測系統(tǒng)產品主要是三個獨立產品：CybercopScannerCybercopServerCybercopNetworkISS公司（InternetSecuritySystem）的RealSecure2.0forWindowsNTAbirnet公司的Session-wall-3Anzen公司的NFR提供了一個網絡監(jiān)控框架IBM公司的IERS系統(tǒng)第18頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測入侵檢測原理入侵檢測技術分析入侵檢測系統(tǒng)

LINUX下的入侵檢測系統(tǒng)基于用戶特征分析的入侵檢測系統(tǒng)入侵檢測發(fā)展方向第19頁，課件共26頁，創(chuàng)作于2023年2月LINUX下的入侵檢測系統(tǒng)從實現(xiàn)結構上看，共分成三個應用程序，它們分別是：數(shù)據(jù)收集及分析程序；告警信息收集程序；告警信息顯示程序第20頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測入侵檢測原理入侵檢測技術分析入侵檢測系統(tǒng)LINUX下的入侵檢測系統(tǒng)基于用戶特征分析的入侵檢測系統(tǒng)入侵檢測發(fā)展方向第21頁，課件共26頁，創(chuàng)作于2023年2月基于用戶特征分析的入侵檢測系統(tǒng)設計目標是能夠根據(jù)當前主機使用用戶的特征數(shù)據(jù)，通過實時檢測和分析系統(tǒng)的各種狀態(tài)，與用戶特征進行比對，得出不信任值，當不信任值到達一定程度時，對使用用戶進行再確認或阻斷其使用主要功能：審查用戶日志系統(tǒng)監(jiān)測設置用戶口令設置 用戶特定行為設定口令檢測性能第22頁，課件共26頁，創(chuàng)作于2023年2月基于用戶特征分析的入侵檢測系統(tǒng)技術方案：用戶的特征狀態(tài)捕捉進程監(jiān)控Shell監(jiān)控鍵盤監(jiān)控文件監(jiān)控用戶的特征狀態(tài)分析系統(tǒng)的運行狀態(tài)其它的一些輔助監(jiān)控第23頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測入侵檢測原理入侵檢測技術分析入侵檢測系統(tǒng)LINUX下的入侵檢測系統(tǒng)基于用戶特征分析的入侵檢測系統(tǒng)入侵檢測發(fā)展方向第24頁，課件共26頁，創(chuàng)作于2023年2月入侵檢測發(fā)展方向入侵技術的發(fā)展與演化主要反映在下列幾個方面：入侵或攻擊的綜合化與復雜化。入侵主體對象的間接化，即實施入侵與攻擊的主體的隱蔽化。入侵或攻擊的規(guī)模擴大。入侵或攻擊技