第7章-入侵检测技术.pptVIP

* * 每秒能监控的网络连接数： 网络入侵检测系统不仅要对单个的数据包作检测，还要将相同网络连接的数据包组合起来作分析。网络连接的跟踪能力和数据包重组能力是网络入侵检测系统进行协议分析、应用层入侵分析的基础。 每秒能够处理的事件数： 网络入侵检测系统检测到网络攻击和可疑事件后，会生成安全事件或称报警事件，并将事件记录在事件日志中。每秒能够处理的事件数，反映了检测分析引擎的处理能力和事件日志记录的后端处理能力。 7.5 入侵检测系统的性能指标 * * 系统指标 系统指标主要表示系统本身运行的稳定性和使用的方便性。系统指标主要包括：最大规则数、平均无故障间隔等。 最大规则数：系统允许配置的入侵检测规则条目的最大数目。 平均无故障间隔：系统无故障连续工作的时间。 7.5 入侵检测系统的性能指标 7.5 入侵检测技术的存在的问题与发展趋势 入侵检测系统目前存在的问题 误报和漏报的矛盾 隐私和安全的矛盾 被动分析与主动发现的矛盾 海量信息与分析代价的矛盾 功能性和可管理性的矛盾 单一的产品与复杂的网络应用的矛盾 7.5 入侵检测技术的存在的问题与发展趋势(自学) 入侵检测系统的发展趋势 分析技术的改进 内容恢复和网络审计功能的引入 集成网络分析和管理功能 安全性和易用性的提高 改进对大数据量网络的处理方法 防火墙联动功能 第七章 入侵检测技术 计算机信息安全技术 第七章 入侵检测技术 目录 7.1 入侵检测的基本概念 7.2 PPDR模型及入侵检测系统 7.3 入侵检测的技术模型 7.4 常用入侵检测系统介绍 7.5 入侵检测技术的存在的问题与发展趋势 7.1 入侵检测的基本概念 网络入侵 入侵是所有企图破坏网络信息的完整性、保密性和可用性的网络攻击行为；入侵行为企图破坏系统的安全措施以达到非法访问信息、改变系统行为和破坏系统可用性的目的。 7.1 入侵检测的基本概念 网络入侵行为 1、外部渗透： 未被授权使用计算机，又未被授权使用数据或程序资源的渗透； 2、内部渗透： 被授权使用计算机，但未被收授权使用数据或程序资源的渗透； 3、不法使用： 利用授权使用计算机、数据和程序资源的合法用户身份的渗透。 7.1 入侵检测的基本概念 常见的网络入侵的手段 欺骗攻击 嗅探器Sniffer 端口扫描与漏洞扫描 口令破解 特洛伊木马 缓冲区溢出攻击 拒绝服务攻击（DoS攻击） 利用系统或软件的漏洞进行攻击 7.1 入侵检测的基本概念 入侵检测的发展 业界将James P. Anderson在1980年发布的那篇《Computer Security Threat Monitoring and Surveillance》作为入侵检测概念的最早起源 1. 将威胁分成外部渗透、内部渗透、不法行为 2. 提出将审计技术应用到对威胁的检测上 7.1 入侵检测的基本概念 1986年Dorothy Denning等人才在其论文An Intrusion Detection Model中给出了一个入侵检测的抽象模型IDES（入侵检测专家系统），并在1988年开发出一个IDES系统 。 图7.1 IDES系统模型 二维检测思想： 基于专家系统的特征检测； （误用检测方向） 基于统计异常模型的异常检测。 （异常检测方向） 7.1 入侵检测的基本概念 1990年Herberlein等人开发出了第一个真正意义上的入侵检测系统NSM（Network Security Monitor）。 上世纪90年代中期，商业入侵检测产品初现端倪，1994年出现了第一台入侵检测产品：ASIM。 1997年，Cisco将网络入侵检测集成到其路由器设备，入侵检测系统正式进入主流网络安全产品阶段。 2001～2003年之间，防火墙是无法控制和发现蠕虫传播的，反倒是入侵检测产品可以对这些蠕虫病毒所利用的攻击代码进行检测，一时间入侵检测名声大振。 2003年GARTNER的一篇《入侵检测已死》的文章，带来了一个新的概念：入侵防御（IPS）。 7.2 PPDR模型及入侵检测系统 网络安全模型 针对网络安全问题，人们提出了各种网络安全模型，其中具有代表性的是PDR模型。PDR模型有很多变种。人们普遍接受的一个模型是PPDR模型 图7.2 PPDR模型 7.2 PPDR模型及入侵检测系统 入侵检测系统的功能要求: 实时性要求 可扩展性要求 适应性要求 安全性与可用性要求 有效性要求 7.2 PPDR模型及入侵检测系统 入侵检测系统的基本结构