《计算机网络安全技术教程》教学资源（PPT课件讲稿）ch 05 入侵检测技术

第五章入侵检测技术 第5章入侵检测技术 内容提要: >入侵检测概述 >入侵检测的技术实现 >分布式入侵检测 >入侵检测系统的标准 入侵检测系统示例 本章小结

第五章 入侵检测技术 第5章 入侵检测技术 内容提要： ➢入侵检测概述 ➢入侵检测的技术实现 ➢分布式入侵检测 ➢入侵检测系统的标准 ➢入侵检测系统示例 ➢本章小结

第五章入侵检测技术 51入侵检测概述 入侵检测技术研究最早可追溯到1980年 James paderson所写的一份技术报告,他首先 提出了入侵检测的概念。1987年 Dorothy Denning提出了入侵检测系统(DDS, Intrusion Detection System)的抽象模型(如图5-1所示), 首次提出了入侵检测可作为一种计算机系统安全 防御措施的概念,与传统的加密和访问控制技术 相比,IDS是全新的计算机安全措施。 返回本章首页

第五章 入侵检测技术 5.1 入侵检测概述 入侵检测技术研究最早可追溯到1980年 James P.Aderson所写的一份技术报告，他首先 提出了入侵检测的概念 。 1 9 8 7 年 Dorothy Denning提出了入侵检测系统（IDS，Intrusion Detection System）的抽象模型（如图5-1所示）， 首次提出了入侵检测可作为一种计算机系统安全 防御措施的概念，与传统的加密和访问控制技术 相比，IDS是全新的计算机安全措施。 返回本章首页

第五章入侵检测技术 囗囗囗 囗囗 囗囗囗 口囗囗口口口 口5-1 Denni ng口囗口口囗 :返回本章首页

第五章 入侵检测技术 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 学 5-1 Denni ng学 学 学 学 学 学 学 学 返回本章首页

第五章入侵检测技术 入侵检测技术研究最早可追溯到1980年 James paderson所写的一份技术报告,他首先 提出了入侵检测的概念。1987年 Dorothy Denning提出了入侵检测系统(DDS, Intrusion Detection System)的抽象模型(如图5-1所示), 首次提出了入侵检测可作为一种计算机系统安全 防御措施的概念,与传统的加密和访问控制技术 相比,IDS是全新的计算机安全措施。 返回本章首页

第五章 入侵检测技术 入侵检测技术研究最早可追溯到1980年 James P.Aderson所写的一份技术报告，他首先 提出了入侵检测的概念 。 1 9 8 7 年 Dorothy Denning提出了入侵检测系统（IDS，Intrusion Detection System）的抽象模型（如图5-1所示）， 首次提出了入侵检测可作为一种计算机系统安全 防御措施的概念，与传统的加密和访问控制技术 相比，IDS是全新的计算机安全措施。 返回本章首页

第五章入侵检测技术 1988年 Teresa lunt等人进一步改进了 Denning提出的入侵检测模型,并创建了IDES ( Intrusion Detection Expert System),该系统 用于检测单一主机的入侵尝试,提出了与系统平 台无关的实时检测思想,1995年开发的 NIDES (Next-Generation Intrusion Detection Expert System)作为IDES完善后的版本可以检测出多 个主机上的入侵 :返回本章首页

第五章 入侵检测技术 1988 年 Teresa Lunt 等人进一步改进了 Denning提出的入侵检测模型，并创建了IDES （Intrusion Detection Expert System），该系统 用于检测单一主机的入侵尝试，提出了与系统平 台无关的实时检测思想，1995年开发的NIDES （Next-Generation Intrusion Detection Expert System）作为IDES完善后的版本可以检测出多 个主机上的入侵。 返回本章首页

第五章入侵检测技术 1990年, Heberlein等人提出了一个具有里 程碑意义的新型概念:基于网络的入侵检测 网络安全监视器NSM( Network Security Monitor)。1991年, NADIR( Network anoma Detection and Intrusion Reporter )g DIDS ( Distribute Intrusion Detection System)提出 了通过收集和合并处理来自多个主机的审计信息 可以检测出一系列针对主机的协同攻击 :返回本章首页

第五章 入侵检测技术 1990年，Heberlein等人提出了一个具有里 程碑意义的新型概念：基于网络的入侵检测—— 网 络 安 全 监 视 器 NSM（Network Security Monitor）。1991年,NADIR（Network Anomaly Detection and Intrusion Reporter） 与 DIDS （Distribute Intrusion Detection System）提出 了通过收集和合并处理来自多个主机的审计信息 可以检测出一系列针对主机的协同攻击。 返回本章首页

第五章入侵检测技术 1994年, Mark crosbie和 Gene Spafford建 议使用自治代理( autonomous agents)以提高 IDS的可伸缩性、可维护性、效率和容错性,该 理念非常符合计算机科学其他领域(如软件代理, software agent)正在进行的相关研究。另一个 致力于解决当代绝大多数入侵检测系统伸缩性不 足的方法于1996年提出,这就是 GrIDs( Graph based Intrusion Detection System)的设计和实 现,该系统可以方便地检测大规模自动或协同方 式的网络攻击。 :返回本章首页

第五章 入侵检测技术 1994年，Mark Crosbie和Gene Spafford建 议使用自治代理（autonomous agents）以提高 IDS的可伸缩性、可维护性、效率和容错性，该 理念非常符合计算机科学其他领域（如软件代理， software agent）正在进行的相关研究。另一个 致力于解决当代绝大多数入侵检测系统伸缩性不 足的方法于1996年提出，这就是GrIDS（Graph￾based Intrusion Detection System）的设计和实 现，该系统可以方便地检测大规模自动或协同方 式的网络攻击。 返回本章首页

第五章入侵检测技术 近年来,入侵检测技术研究的主要创新有: Forrest等将免疫学原理运用于分布式入侵检测 领域;1998年R0 SS Anderson和 abida Khattak将 信息检索技术引进入侵检测;以及采用状态转换 分析、数据挖掘和遗传算法等进行误用和异常检 测 :返回本章首页

第五章 入侵检测技术 近年来，入侵检测技术研究的主要创新有： Forrest等将免疫学原理运用于分布式入侵检测 领域；1998年Ross Anderson和Abida Khattak将 信息检索技术引进入侵检测；以及采用状态转换 分析、数据挖掘和遗传算法等进行误用和异常检 测。 返回本章首页

第五章入侵检测技术 51.1入侵检测原理 图52给出了入侵检测的基本原理图。入侵 检测是用于检测任何损害或企图损害系统的保密 性、完整性或可用性的一种网络安全技术。它通 过监视受保护系统的状态和活动,采用误用检测 ( Misuse detection)或异常检测( Anomal Detection)的方式,发现非授权的或恶意的系 统及网络行为,为防范入侵行为提供有效的手段。 :返回本章首页

第五章 入侵检测技术 5.1.1 入侵检测原理 图5-2给出了入侵检测的基本原理图。入侵 检测是用于检测任何损害或企图损害系统的保密 性、完整性或可用性的一种网络安全技术。它通 过监视受保护系统的状态和活动，采用误用检测 （ Misuse Detection） 或 异 常 检 测 （ Anomaly Detection）的方式，发现非授权的或恶意的系 统及网络行为，为防范入侵行为提供有效的手段。 返回本章首页

第五章入侵检测技术 知识库 当前系统 /用户行为 历史行为 安全策略 特定行为模式 入侵检测 分析引整数据提取 其它 入侵? 否 记录证据 响应处理 图5-2入侵检测原理框图2问本童页

第五章 入侵检测技术 入侵检测 分析引擎 历史行为 特定行为模式 数据提取 入侵? 否 记录证据 响应处理 是 安全策略 当前系统 /用户行为 知识库 其它 图5-2 入侵检测原理框图 返回本章首页