入侵检测系统(IDS)-PPT.ppt
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《入侵检测系统(IDS)-PPT.ppt》由会员分享,可在线阅读,更多相关《入侵检测系统(IDS)-PPT.ppt(43页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、入侵检测系统IDS黑客攻击日益猖獗,防范问题日趋严峻v政府、军事、邮电和金融网络是黑客攻击的主要目标。即便已经拥有高性能防火墙等安全产品,依然抵挡不住这些黑客对网络和系统的破坏。据统计,几乎每20秒全球就有一起黑客事件发生,仅美国每年所造成的经济损失就超过100亿美元。网络入侵的特点v网络入侵的特点没有地域和时间的限制;通过网络的攻击往往混杂在大量正常的网络活动之间,隐蔽性强;入侵手段更加隐蔽和复杂。为什么需要IDS?v单一防护产品的弱点防御方法和防御策略的有限性动态多变的网络环境来自外部和内部的威胁为什么需要IDS?v关于防火墙网络边界的设备,只能抵挡外部來的入侵行为自身存在弱点,也可能被攻
2、破对某些攻击保护很弱即使透过防火墙的保护,合法的使用者仍会非法地使用系统,甚至提升自己的权限仅能拒绝非法的连接請求,但是对于入侵者的攻击行为仍一无所知为什么需要IDS?v入侵很容易入侵教程随处可见各种工具唾手可得入侵检测的概念v入侵检测(Intrusion Detection):通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。v入侵检测系统(IDS):入侵检测系统是软件与硬件的组合,是防火墙的合理补充,是防火墙之后的第二道安全闸门。v入侵检测的内容:试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶
3、意使用。入侵检测的职责vIDS系统主要有两大职责:实时检测和安全审计,具体包含4个方面的内容 识别黑客常用入侵与攻击 监控网络异常通信 鉴别对系统漏洞和后门的利用 完善网络安全管理 入侵检测系统的功能v监控用户和系统的活动v查找非法用户和合法用户的越权操作v检测系统配置的正确性和安全漏洞v评估关键系统和数据的完整性v识别攻击的活动模式并向网管人员报警v对用户的非正常活动进行统计分析,发现入侵行为的规律 v操作系统审计跟踪管理,识别违反政策的用户活动v检查系统程序和数据的一致性与正确性入侵检测系统模型(Denning)入侵检测系统模型(CIDF)入侵检测系统的组成特点v入侵检测系统一般是由两部分
4、组成:控制中心和探测引擎。控制中心为一台装有控制软件的主机,负责制定入侵监测的策略,收集来自多个探测引擎的上报事件,综合进行事件分析,以多种方式对入侵事件作出快速响应。探测引擎负责收集数据,作处理后,上报控制中心。控制中心和探测引擎是通过网络进行通讯的,这些通讯的数据一般经过数据加密。入侵检测的工作过程v信息收集检测引擎从信息源收集系统、网络、状态和行为信息。v信息分析从信息中查找和分析表征入侵的异常和可疑信息。v告警与响应根据入侵性质和类型,做出相应的告警和响应。信息收集v入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为v需要在计算机网络系统中的若干不同关键点(
5、不同网段和不同主机)收集信息,这样做的理由就是从一个来源的信息有可能看不出疑点,但从几个来源的信息的不一致性却是可疑行为或入侵的最好标识。信息收集v入侵检测的效果很大程度上依赖于收集信息的可靠性和正确性v要保证用来检测网络系统的软件的完整性v特别是入侵检测系统软件本身应具有相当强的坚固性,防止被篡改而收集到错误的信息 信息收集v系统和网络日志文件v目录和文件中的不期望的改变v程序执行中的不期望行为v物理形式的入侵信息信息分析v模式匹配-误用检测(Misuse Detection)维护一个入侵特征知识库准确性高v统计分析-异常检测(Anomaly Detection)统计模型误报、漏报较多v完整
6、性分析 关注某个文件或对象是否被更改事后分析17模式匹配v模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为v一般来讲,一种攻击模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)统计分析v统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)v测量属性的平均值和偏差被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时
7、,就认为有入侵发生完整性分析v完整性分析主要关注某个文件或对象是否被更改包括文件和目录的内容及属性在发现被更改的、被安装木马的应用程序方面特别有效响应动作v主动响应v被动响应入侵检测性能关键参数v误报(false positive):如果系统错误地将异常活动定义为入侵v漏报(false negative):如果系统未能检测出真正的入侵行为 入侵检测系统分类(一)v按照分析方法(检测方法)异常检测模型(Anomaly Detection):首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵 误用检测模型(Misuse Detection):收集非正常操作的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 入侵 检测 系统 IDS PPT
![提示](https://www.deliwenku.com/images/bang_tan.gif)
限制150内