第二十三章入侵检测
第二十三章 入侵检测
Q入侵检测 测原理 ◆入侵检测技术分析 ◆入侵检测系统 LINUX下的入侵检测系统 ◆基于用户特征分析的入侵检测系统 ◆入侵检测发展方向
入侵检测 入侵检测原理 入侵检测技术分析 入侵检测系统 LINUX下的入侵检测系统 基于用户特征分析的入侵检测系统 入侵检测发展方向
|入侵检测原理 ◆原则 ◆基本入侵检测 ◆入侵检测理论模型
入侵检测原理 原则 基本入侵检测 入侵检测理论模型
Q原则 ◆一个能够抵抗入侵的计算机系统将表现 出以下特性: 用户以及应用的过程将被限制在一种可以预知的 模式下。当用户运行了一个简单程序后不会使系 统进入一种维护状态。 用户以及应用过程将不允许包含破坏系统安全的 命令序列,理论上来说,所有这种序列都应该排 除。实际上,只有被列入安全系统的序列才能被 检测到 所有的应用过程都必须遵守操作的具体规范 有系统允许运行时才可以
原则 一个能够抵抗入侵的计算机系统将表现 出以下特性: • 用户以及应用的过程将被限制在一种可以预知的 模式下。当用户运行了一个简单程序后不会使系 统进入一种维护状态。 • 用户以及应用过程将不允许包含破坏系统安全的 命令序列,理论上来说,所有这种序列都应该排 除。实际上,只有被列入安全系统的序列才能被 检测到。 • 所有的应用过程都必须遵守操作的具体规范,只 有系统允许运行时才可以
Q基本入侵检测 ◆网络攻击变的越来越复杂而且自动化程度越来越高, 个复杂的进攻并不一定是由一个有经验的入侵者发 动的 定义:一个入侵工具是一种用来破坏系统安全的自动化的 脚本 ◆入侵工具绝对不是更改入侵检测的本质。他们排除了 许多由于不正确安装而造成的错误。并且以一种常规 的步骤排除了一些零碎的攻击。但是他们不能完全排 除系统隐患。 ◆入侵检测系统拥有以下四重目的 广泛的入侵检测。 时常进行入侵检测。 介绍一种简单,易于理解的格式。 正确性
基本入侵检测 网络攻击变的越来越复杂而且自动化程度越来越高, 一个复杂的进攻并不一定是由一个有经验的入侵者发 动的 • 定义:一个入侵工具是一种用来破坏系统安全的自动化的 脚本 入侵工具绝对不是更改入侵检测的本质。他们排除了 许多由于不正确安装而造成的错误。并且以一种常规 的步骤排除了一些零碎的攻击。但是他们不能完全排 除系统隐患。 入侵检测系统拥有以下四重目的: • 广泛的入侵检测。 • 时常进行入侵检测。 • 介绍一种简单,易于理解的格式。 • 正确性
入侵检测理论模型 ◆CIDF模型 ◆异常模型 ◆误用模型 ◆规范模型
入侵检测理论模型 CIDF模型 异常模型 误用模型 规范模型
Q|入侵检测 ◆入侵检测原理 检测技术分析 ◆入侵检测系统 LINUX下的入侵检测系统 ◆基于用户特征分析的入侵检测系统 ◆入侵检测发展方向
入侵检测 入侵检测原理 入侵检测技术分析 入侵检测系统 LINUX下的入侵检测系统 基于用户特征分析的入侵检测系统 入侵检测发展方向
|入侵检测技术分析 ◆常用的检测方法 ◆拒绝服务攻击及防范
入侵检测技术分析 常用的检测方法 拒绝服务攻击及防范
Q常用的检测方法 ◆入侵检测系统常用的检测方法有 特征检测 对已知的攻击或入侵的方式作出确定性的描述,形成相应 的事件模式 统计检测 统计模型常用异常检测。异常检测( Anomalydetection)的假 设是入侵者活动异常于正常主体的活动 常用的入侵检测统计模型为 操作模型 多元模型 马尔柯夫过程模型 专家系统 用专家系统对入侵进行检测,经常是针对有特征入侵行为
常用的检测方法 入侵检测系统常用的检测方法有: – 特征检测 • 对已知的攻击或入侵的方式作出确定性的描述,形成相应 的事件模式。 – 统计检测 • 统计模型常用异常检测。异常检测(Anomalydetection)的假 设是入侵者活动异常于正常主体的活动。 • 常用的入侵检测统计模型为: – 操作模型 – 多元模型 – 马尔柯夫过程模型 – 专家系统 • 用专家系统对入侵进行检测,经常是针对有特征入侵行为
Q拒绝服务攻击及防范 ◆拒绝服务攻击正在向分布式(DDos)方向发展, 分布式拒绝服务攻击采用了一种比较特别的体 系结构,从许多分布的主机同时攻击一个目标。 从而导致目标瘫痪。 攻击控制台 攻面控制台 攻击服务器 旦旦品具即熙 攻击器 目标主机 目标主机
拒绝服务攻击及防范 拒绝服务攻击正在向分布式(DDos)方向发展, 分布式拒绝服务攻击采用了一种比较特别的体 系结构,从许多分布的主机同时攻击一个目标。 从而导致目标瘫痪