信息安全技术与应用 工业和信息化普通高等教育“十二五”规划教材 教学课件 作者 彭新光 王峥 第6章 入侵检测系统.pptVIP

信息安全技术与应用 工业和信息化普通高等教育“十二五”规划教材 教学课件 作者 彭新光 王峥 第6章 入侵检测系统.ppt

  1. 1、本文档共54页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
第6章 入侵检测系统 6.1 入侵检测原理与分类 入侵检测技术可以归结为安全审计数据的分析与处理; 核心问题是获取描述行为特征的数据; 利用特征数据精确地判断行为的性质; 按照预定策略实施响应; IDS至少包括数据采集、入侵检测分析引擎和响应处理三部分功能模块。 IDS工作原理 IDS分类 根据数据采集位置、分析引擎采用的分析方法、分析数据的时间和响应处理的方式进行分类; 根据数据采集的位置,分为基于主机(host-based)、基于网络(network-based)、基于应用(application-based)和基于目标(target-based)等; 依据分析引擎采用的分析方法,分为异常检测(anomaly detection)和误用检测(misuse detection); 按照分析数据的时间不同,分为实时检测和离线检测; 主机入侵检测系统 当入侵检测监视的对象为主机审计数据源时,称为主机入侵检测系统HIDS; HIDS利用数据分析算法对操作系统审计记录、系统日志、应用程序日志或系统调用序列等主机数据源进行分析; 归纳出主机系统活动的特征或模式,作为对正常和异常行为进行判断的基准,主要用于保护提供关键应用服务的服务器。 HIDS 优点 检测精度高 监控的对象明确与集中; 不受加密和交换设备影响 只关注主机发生的事件,不关心网络事件,检测性能不受数据加密、隧道和交换设备影响。 不受网络流量影响 不采集网络分组,不会因为网络流量增加而丢失对系统行为的监视。 HIDS 缺点 安装在需要保护的主机上,占用主机系统资源; 完全依赖操作系统固有的审计机制,必须与操作系统紧密集成,导致平台的可移植性差; 本身的健壮性受到主机操作系统安全性的限制; 只能检测针对本机的攻击,不能检测基于网络协议的攻击。 网络入侵检测系统 当入侵检测监视的对象为网络分组时,称为网络入侵检测系统NIDS; 局域网通常采用基于广播机制的以太网协议,以太网协议能够使主机接收同一网段内的所有广播数据包。 以太网络适配器有正常和混杂两种工作模式,正常模式只接收本机地址和广播地址的分组,混杂模式则接收本网段内的所有分组数据。 NIDS利用了网络适配器的混杂工作模式来实时采集通过网络的所有分组,通过网络协议解析与模式匹配实现入侵行为检测。 NIDS的优点 检测与响应速度快 在成功入侵之前发现攻击和可疑意图,目标遭受破坏之前即可执行快速响应中止攻击过程; 入侵监视范围大 只在网络关键路径上安装网络传感器,可以监视整个网络通信; 入侵取证可靠 通过捕获分组收集入侵证据,攻击者无法转移证据; 能够检测协议漏洞攻击 诸如同步洪流(SYN flood)、Smurf攻击和泪滴攻击(teardrop)等只有通过查看分组首部或有效负载才能识别。 NIDS的缺点 在交换以太网环境中监测范围受到限制; 在高速网络流量环境下检测精度下降; 不能检测加密数据、隧道数据和加密数据攻击; 网络传感器向控制台回传数据量大。 异常检测 异常检测根据用户行为或资源使用的正常模式判定当前活动是否偏离了正常或期望的活动规律; 如果发现用户或系统状态偏离了正常行为模式,表示有攻击或企图攻击行为发生; 任何不符合历史活动规律的行为都被认为是入侵行为,能够发现未知的攻击模式; 缺点是误报率较高。 误用检测 误用检测依据特征库进行判断; 具有很高的检出率和很低的误报率; 检测全部入侵行为的能力取决于特征库的更新; 主要缺陷是只能检测已知攻击; 新攻击的特征模式添加到误用模式库中; 才能使系统具备检测新攻击手段的能力。 实时检测 实时检测是指IDS能够实时分析审计数据; 在入侵行为造成危害之前及时发现和拦截入侵事件; 入侵检测速度的快慢取决于数据采集、数据分析算法、攻击特征提取和模式比较等多个因素, 实时检测主要依赖于攻击特征提取的难易程度。 离线检测 先将采集的审计数据暂时保存起来,采用批处理分析方式定时发给入侵检测分析引擎; 离线检测不能及时防范和响应攻击事件; 采用离线检测可以降低系统负担; 在捕获攻击特征需要较长时间或高速网络环境下,可以获得高的检测精度。 检测率和误报率 ROC曲线和DET曲线 系统资源占用率 HIDS的开销主要消耗在审计记录格式化和入侵分析上,精简审计记录和提高入侵分析算法是降低HIDS资源占用率的关键; NIDS的开销主要消耗在网络分组协议解析与特征匹配上,特别在高速网络环境下,系统资源占用率将显著增大; 系统资源占用率与IDS的检测率和误报率常常是相互矛盾的; 降低系统资源占用率需要用检测率和误报率作为代价。 系统扩展性 时间上的可扩展性 将多个独立事件在时间上关联起来,才能识别出攻击行为; 空间上的可扩展性 如果监测的规模扩大后,IDS仍然能够准确

您可能关注的文档

文档评论(0)

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档