- 1、本文档共37页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
《0.信息安全技术第6章入侵检测系统
第6章 入侵检测系统 本章概要 课程目标 6.1 入侵检测系统的概念 6.1.1 什么是入侵检测系统? 入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干个关键点收集信息,并分析这些信息,检测网络中是否有违反安全策略的行为和遭到袭击的迹象。它的作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。 作为监控和识别攻击的标准解决方案,IDS系统已经成为安防体系的重要组成部分。 IDS系统以后台进程的形式运行。发现可疑情况,立即通知有关人员。 防火墙为网络提供了第一道防线,入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。由于入侵检测系统是防火墙后的又一道防线,从而可以极大地减少网络免受各种攻击的损害。 假如说防火墙是一幢大楼的门锁,那入侵检测系统就是这幢大楼里的监视系统。门锁可以防止小偷进入大楼,但不能保证小偷100%地被拒之门外,更不能防止大楼内部个别人员的不良企图。而一旦小偷爬窗进入大楼,或内部人员有越界行为,门锁就没有任何作用了,这时,只有实时监视系统才能发现情况并发出警告。入侵检测系统不仅仅针对外来的入侵者,同时也针对内部的入侵行为。 6.1.2 入侵检测系统的特点 a.不需要人工干预即可不间断地运行。 b.有容错功能。即使系统发生了崩溃,也不会丢失数据,或者在系统重新启动时重建自己的知识库。 c.不需要占用大量的系统资源。 d.能够发现异于正常行为的操作。如果某个IDS系统使系统由“跑”变成了“爬”,就不要考虑使用。 e.能够适应系统行为的长期变化。例如系统中增加了一个新的应用软件,系统写照就会发生变化,IDS必须能适应这种变化。 f.判断准确。相当强的坚固性,防止被篡改而收集到错误的信息。 g.灵活定制。解决方案必须能够满足用户要求。 h.保持领先。能及时升级。 6.1.3 入侵行为的误判 2.负误判(fasenegative) 概念:把一个攻击动作判断为非攻击行为,并允许其通过检测。 特点:背离了安全防护的宗旨,IDS系统成为例行公事,后果十分严重。 3.失控误判(subversion) 概念:攻击者修改了IDS系统的操作,使它总是出现负误判的情况。 特点:不易觉察,长此以往,对这些“合法”操作IDS将不会报警。 6.2 入侵检测的主要技术一入侵分析技术 6.2.1 签名分析法 6.2.2 统计分析法 6.2.3 数据完整性分析法 6.3 入侵检测系统的主要类型 b.只能保护一个组件——针对软件的IDS系统只能对特定的软件进行分析,系统中其他的组件不能得到保护。 网络入侵检测系统(IDS)可以分为基于网络数据包分析的和基于主机的两种基本方式。简单说,前者在网络通信中寻找符合网络入侵模版的数据包,并立即做出相应反应;后者在宿主系统审计日志文件中寻找攻击特征,然后给出统计分析报告。它们各有优缺点,互相作为补充。 6.3.2基于主机的入侵检测(Host Intrusion Detection) 2.优点 基于主机的入侵检测具有以下优势: a.监视所有系统行为。基于主机的IDS能够监视所有的用户登录和退出,甚至用户所做的所有操作,审计系统在日志里记录的策略改变,监视关键系统文件和可执行文件的改变等。可以提供比基于网络的IDS更为详细的主机内部活动信息。 b.有些攻击在网络的数据流中很难发现,或者根本没有通过网络在本地进行。这时基于网络的IDS系统将无能为力。 c.适应交换和加密。基于主机的IDS系统可以较为灵活地配置在多个关键主机上,不必考虑交换和网络拓扑问题。这对关键主机零散地分布在多个网段上的环境特别有利。某些类型的加密也是对基于网络的入侵检测的挑战。依靠加密方法在协议堆栈中的位置,它可能使基于网络的系统不能判断确切的攻击。基于主机的IDS没有这种限制。 d.不要求额外的硬件。基于主机的IDS配置在被保护的网络设备中,不要求在网络上增加额外的硬件。
您可能关注的文档
- 《0.体育经济学1.ppt
- 《0.体育社会学第一章.ppt
- 《0.体育旅游ppt.ppt
- 《3.photo之选择与填充色彩.ppt
- 《0.体质健康测试中的数据分析.ppt
- 《0.体育服务与管理.ppt
- 《0.体质测试.pptx
- 《0.体育健康第一讲2).ppt
- 《0.体育室内课2).ppt
- 《3.photoshop基础教程中文版第7章.ppt
- 2024高考物理一轮复习规范演练7共点力的平衡含解析新人教版.doc
- 高中语文第5课苏轼词两首学案3新人教版必修4.doc
- 2024_2025学年高中英语课时分层作业9Unit3LifeinthefutureSectionⅢⅣ含解析新人教版必修5.doc
- 2024_2025学年新教材高中英语模块素养检测含解析译林版必修第一册.doc
- 2024_2025学年新教材高中英语单元综合检测5含解析外研版选择性必修第一册.doc
- 2024高考政治一轮复习第1单元生活与消费第三课多彩的消费练习含解析新人教版必修1.doc
- 2024_2025学年新教材高中英语WELCOMEUNITSectionⅡReadingandThi.doc
- 2024_2025学年高中历史专题九当今世界政治格局的多极化趋势测评含解析人民版必修1.docx
- 2024高考生物一轮复习第9单元生物与环境第29讲生态系统的结构和功能教案.docx
- 2024_2025学年新教材高中英语UNIT5LANGUAGESAROUNDTHEWORLDSect.doc
文档评论(0)