[第12讲网络安全技术.ppt

信息安全技术 * * 2、基于网络的入侵检测系统：主要用于实时监控网络关键路径的信息，监听网络上所有分组来采集数据，分析可疑现象。 利用网络适配器 来实时监视和分析所 有通过网络进行传输 的通信。一旦检测到 攻击，IDS相应模块 通过通知、报警以及 中断连接等方式来对 攻击做出反应。 分析结果 网络接口 网络接口 分析引擎模块 管理/配置模块 网络安全 数据库 采集模块 采集模块 §11.2 入侵检测技术 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 信息安全技术 * * 优点： ①检测的范围是整个网段，而不仅仅是被保护的主机。 ②实时检测和应答。一旦发生恶意访问或攻击，能够更快 地做出反应，将入侵活动对系统的破坏减到最低。 ③隐蔽性好。不需要在每个主机上安装，不易被发现。 ④不需要任何特殊的审计和登录机制，只要配置网络接口 就可以了，不会影响其他数据源。 ⑤操作系统独立。基于网络的IDS并不依赖主机的操作系统 作为检测资源。 §11.2 入侵检测技术 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 信息安全技术 * * 缺点： ①只检查它直接连接网段的通信； ②为了性能目标常采用特征检测法，难实现复杂计算与分析。 ③会将大量的数据传给检测分析系统。 §11.2 入侵检测技术 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 信息安全技术 * * 入侵检测系统关键技术 1、模式匹配： 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。模式匹配方法是入侵检测领域中应用最为广泛的检测手段和机制之一，通常用于误用检测。 2、统计分析： 统计分析方法首先给用户、文件、目录和设备等系统对象创建一个统计描述。统计正常使用时的一些测量属性，测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。 §11.2 入侵检测技术 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 信息安全技术 * * 3、专家系统： 专家系统是一种以知识为基础，根据人类专家的知识和经验进行推理，解决需要专家才能解决的复杂问题的计算机程序系统。用专家系统对入侵进行检测主要是针对误用检测，是针对有特征入侵的行为。 4、神经网络： 神经网络具有自适应、自组织、自学习的能力，可以处理一些环境信息复杂、背景知识不清楚的问题。 §11.2 入侵检测技术 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 信息安全技术 * * 5、数据挖掘： 数据挖掘是从大量的数据中抽取出潜在的、有价值的知识 （即模型或规则）的过程。对于入侵检测系统来说，也需要从大量的数据中提取入侵特征。 6、协议分析： 协议分析是利用网络协议的高度规则性快速探测攻击的 存在。协议分析技术对协议进行解码，减少了入侵检测系统需要分析的数据量。 §11.2 入侵检测技术 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile 5.2.0.0. Copyright 2004-2011 Aspose Pty Ltd. 信息安全技术 * * 入侵检测系统模型介绍 1、分布式 入侵 检测 系统： §11.2 入侵检测技术 Evaluation only. Created with Aspose.Slides for .NET 3.5 Client