入侵檢測(cè)技術(shù)課件:第2章 入侵檢測(cè)的相關(guān)概念_第1頁(yè)
入侵檢測(cè)技術(shù)課件:第2章 入侵檢測(cè)的相關(guān)概念_第2頁(yè)
入侵檢測(cè)技術(shù)課件:第2章 入侵檢測(cè)的相關(guān)概念_第3頁(yè)
入侵檢測(cè)技術(shù)課件:第2章 入侵檢測(cè)的相關(guān)概念_第4頁(yè)
入侵檢測(cè)技術(shù)課件:第2章 入侵檢測(cè)的相關(guān)概念_第5頁(yè)
已閱讀5頁(yè),還剩15頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

2.1入侵的定義2.2什么是入侵檢測(cè)2.3入侵檢測(cè)與P2DR模型第2章入侵檢測(cè)的相關(guān)概念通常,計(jì)算機(jī)安全的3個(gè)基本目標(biāo)是機(jī)密性、完整性和可用性。安全的計(jì)算機(jī)系統(tǒng)應(yīng)該實(shí)現(xiàn)上述3個(gè)目標(biāo),即保護(hù)自身的信息和資源不被非授權(quán)訪問(wèn)、修改和拒絕服務(wù)攻擊。2.1入侵的定義在入侵檢測(cè)中,術(shù)語(yǔ)“入侵”(intrusion)表示系統(tǒng)內(nèi)部發(fā)生的任何違反安全策略的事件,其中包括了Anderson模型中提到的所有威脅類型,同時(shí)還包括如下的威脅類型:●惡意程序的威脅,例如病毒、特洛伊木馬程序、惡意Java或ActiveX程序等;●探測(cè)和掃描系統(tǒng)配置信息和安全漏洞,為未來(lái)攻擊進(jìn)行準(zhǔn)備工作的活動(dòng)。美國(guó)國(guó)家安全通信委員會(huì)(NSTAC)下屬的入侵檢測(cè)小組(IDSG)在1997年給出的關(guān)于“入侵”的定義是:入侵是對(duì)信息系統(tǒng)的非授權(quán)訪問(wèn)以及(或者)未經(jīng)許可在信息系統(tǒng)中進(jìn)行的操作。美國(guó)國(guó)家安全通信委員會(huì)下屬的入侵檢測(cè)小組在1997年給出的關(guān)于“入侵檢測(cè)”的定義如下:入侵檢測(cè)是對(duì)企圖入侵、正在進(jìn)行的入侵或者已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過(guò)程。2.2什么是入侵檢測(cè)入侵檢測(cè)的概念內(nèi)網(wǎng)Internet入侵檢測(cè)即是對(duì)入侵行為的發(fā)覺(jué)

入侵檢測(cè)系統(tǒng)是入侵檢測(cè)的軟件與硬件的有機(jī)組合入侵檢測(cè)系統(tǒng)是處于防火墻之后對(duì)網(wǎng)絡(luò)活動(dòng)的實(shí)時(shí)監(jiān)控入侵檢測(cè)系統(tǒng)是不僅能檢測(cè)來(lái)自外部的入侵行為,同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)入侵檢測(cè)系統(tǒng)的定義IDS:IntrusionDetectionSystem

圖2-1通用入侵檢測(cè)系統(tǒng)模型常用術(shù)語(yǔ)Alert(警報(bào))當(dāng)一個(gè)入侵正在發(fā)生或者試圖發(fā)生時(shí),IDS將發(fā)布一個(gè)alert信息通知系統(tǒng)管理員如果控制臺(tái)與IDS同在一臺(tái)機(jī)器,alert信息將顯示在監(jiān)視器上,也可能伴隨著聲音提示如果是遠(yuǎn)程控制臺(tái),那么alert將通過(guò)IDS內(nèi)置方法(通常是加密的)、SNMP(簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議,通常不加密)、email、SMS(短信息)或者以上幾種方法的混合方式傳遞給管理員Anomaly(異常)一個(gè)基于anomaly(異常)的IDS會(huì)構(gòu)造一個(gè)當(dāng)時(shí)活動(dòng)的主機(jī)或網(wǎng)絡(luò)的大致輪廓,當(dāng)有一個(gè)在這個(gè)輪廓以外的事件發(fā)生時(shí),IDS就會(huì)告警有些IDS廠商將此方法看做啟發(fā)式功能,但一個(gè)啟發(fā)式的IDS應(yīng)該在其推理判斷方面具有更多的智能攻擊(Attacks)攻擊可以定義為試圖滲透系統(tǒng)或者繞過(guò)系統(tǒng)安全策略獲取信息,更改信息或者中斷目標(biāo)網(wǎng)絡(luò)或者系統(tǒng)的正常運(yùn)行的活動(dòng)。下面是一些IDS可以檢測(cè)的常見(jiàn)攻擊DOS、DDOS、Smurf、Trojans首先,可以通過(guò)重新配置路由器和防火墻,拒絕那些來(lái)自同一地址的信息流;其次,通過(guò)在網(wǎng)絡(luò)上發(fā)送reset包切斷連接但是這兩種方式都有問(wèn)題,攻擊者可以反過(guò)來(lái)利用重新配置的設(shè)備,其方法是:通過(guò)偽裝成一個(gè)友方的地址來(lái)發(fā)動(dòng)攻擊,然后IDS就會(huì)配置路由器和防火墻來(lái)拒絕這些地址,這樣實(shí)際上就是對(duì)“自己人”拒絕服務(wù)了AutomatedResponse(自動(dòng)響應(yīng))IDS的核心是攻擊特征,它使IDS在事件發(fā)生時(shí)觸發(fā)特征信息過(guò)短會(huì)經(jīng)常觸發(fā)IDS,導(dǎo)致誤報(bào)或錯(cuò)報(bào),過(guò)長(zhǎng)則會(huì)減慢IDS的工作速度有人將IDS所支持的特征數(shù)視為IDS好壞的標(biāo)準(zhǔn),但是有的產(chǎn)商用一個(gè)特征涵蓋許多攻擊,而有些產(chǎn)商則會(huì)將這些特征單獨(dú)列出,這就會(huì)給人一種印象,好像它包含了更多的特征,是更好的IDSSignatures(特征)漏報(bào)(FalseNegatives)

漏報(bào):攻擊事件沒(méi)有被IDS檢測(cè)到或者逃過(guò)分析員的眼睛。誤報(bào)(FalsePositives)

誤報(bào):IDS對(duì)正常事件識(shí)別為攻擊并進(jìn)行報(bào)警。Promiscuous(混雜模式)默認(rèn)狀態(tài)下,IDS網(wǎng)絡(luò)接口只能看到進(jìn)出主機(jī)的信息,也就是所謂的non-promiscuous(非混雜模式)如果網(wǎng)絡(luò)接口是混雜模式,就可以看到網(wǎng)段中所有的網(wǎng)絡(luò)通信量,不管其來(lái)源或目的地這對(duì)于網(wǎng)絡(luò)IDS是必要的,但同時(shí)可能被信息包嗅探器所利用來(lái)監(jiān)控網(wǎng)絡(luò)通信量評(píng)估IDS的性能指標(biāo)入侵檢測(cè)系統(tǒng)本身的抗攻擊能力延遲時(shí)間資源的占用情況系統(tǒng)的可用性。系統(tǒng)使用的友好程度。日志、報(bào)警、報(bào)告以及響應(yīng)能力性能指標(biāo)(ROC)曲線

誤報(bào)率ROC曲線是平面直角坐標(biāo)曲線,其縱軸表示IDS的檢測(cè)率,橫軸表示IDS的誤報(bào)率。通過(guò)改變算法的閾值,將檢測(cè)算法在同一數(shù)據(jù)集上多次運(yùn)行,就可以得到一系列(TP,F(xiàn)P)坐標(biāo)點(diǎn),將這些點(diǎn)連接成線,就得到ROC曲線。容易看出,ROC曲線越靠近坐標(biāo)平面的左上方的檢測(cè)方法,其準(zhǔn)確率越高,誤報(bào)率越低,性能越好。ROC曲線從DARPA1998離線檢測(cè)評(píng)估(1998年,在DARPA(美國(guó)國(guó)防部高級(jí)研究計(jì)劃署)資助下,麻省理工學(xué)院Lincoln實(shí)驗(yàn)室開(kāi)展了計(jì)算機(jī)入侵檢測(cè)系統(tǒng)評(píng)估的研究成果)被用來(lái)度量檢測(cè)能力,后來(lái)一直被研究者廣泛采用。

P2DR模型是一個(gè)動(dòng)態(tài)的計(jì)算機(jī)系統(tǒng)安全理論模型。P2DR特點(diǎn)是動(dòng)態(tài)性和基于時(shí)間的特性。圖2-2P2DR安全模型2.3入侵檢測(cè)與P2DR模型具體而言,P2DR模型的內(nèi)容包括如下。⑴策略:P2DR模型的核心內(nèi)容。具體實(shí)施過(guò)程中,策略規(guī)定了系統(tǒng)所要達(dá)到的安全目標(biāo)和為達(dá)到目標(biāo)所采取的各種具體安全措施及其實(shí)施強(qiáng)度等。⑵防護(hù):具體包括制定安全管理規(guī)則、進(jìn)行系統(tǒng)安全配置工作以及安裝各種安全防護(hù)設(shè)備。⑶檢測(cè):在采取各種安全措施后,根據(jù)系統(tǒng)運(yùn)行情況的變化,對(duì)系統(tǒng)安全狀態(tài)進(jìn)行實(shí)時(shí)的動(dòng)態(tài)監(jiān)控。⑷響應(yīng):當(dāng)發(fā)現(xiàn)了入侵活動(dòng)或入侵結(jié)果后,需要系統(tǒng)作出及時(shí)的反應(yīng)并采取措施,其中包括記錄入侵行為、通知管理員、阻斷進(jìn)一步的入侵活動(dòng)以及恢復(fù)系統(tǒng)正常運(yùn)行等。P2DR模型闡述了如下結(jié)論:安全的目標(biāo)實(shí)際上就是盡可能地增大保護(hù)時(shí)間,盡量減少檢測(cè)時(shí)間和響應(yīng)時(shí)間。入侵檢測(cè)技術(shù)(intrusiondetection)就是實(shí)現(xiàn)P2DR模型中“Detection”部分的主要技術(shù)手段。安全策略處于中心地位,但是從另一個(gè)角度來(lái)看,安全策略也是制定入侵檢測(cè)中檢測(cè)策略的一個(gè)重要信息來(lái)源

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論