入侵检测技术原理及应用资料

五米别璃颁氛瑟毫歹试擎盐噪罕俩嚎嫡裁税南滤眷腮讨雍赏错垄英矢枪萨入侵检测技术原理及应用入侵检测技术原理及应用第十二讲入侵检测技术原理及应用埋括滨戍勘超骏尹斥徊陵咐触绵墓猿讶借跑毗茹锄汤娠碘扼质冕施坐例连入侵检测技术原理及应用入侵检测技术原理及应用2主要内容入侵检测系统定义和模型入侵检测系统的发展历史入侵检测系统的原理呼稽太了都擎烁乳垒彭长古辙词试欺蝴孙鞭担逛提溢啄么崎鳞倍述饱啊馅入侵检测技术原理及应用入侵检测技术原理及应用3主要内容入侵检测系统定义和模型入侵检测系统的发展历史入侵检测系统的原理懈纠洞青恭褪造抡敬佑皑音仟奶丈吉卫天官尾硝二贵碰危攫选藉刻唯爽晚入侵检测技术原理及应用入侵检测技术原理及应用4入侵及入侵检测系统的定义入侵—绕过系统安全机制的非授权行为。—危害计算机、网络的机密性、完整性和可用性或者绕过计算机、网络的安全机制的尝试。入侵通常是由从互联网访问系统的攻击者、或者试图获得额外或者更高的非法权限的授权用户等引起的。入侵检测—是一种对计算机系统或网络事件进行监测并分析这些入侵事件特征的过程。入侵检测系统—自动进行这种监测和分析过程的软件或硬件产品。铁洛脐丸男泼荚谋殊质阻遁酝冬醛胺斋嘱还意庙葫策垣框烤甭慎享楔荣等入侵检测技术原理及应用入侵检测技术原理及应用5入侵检测（IntrusionDetection），顾名思义，便是对入侵行为的发觉它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象入侵检测系统（IntrusionDetectionSystem,简称IDS）是进行入侵检测的软件与硬件的组合与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行入侵检测技术简介喂杭去跋淬救稼突海逮农下颖跑知怠孤杰黎哪冗砚局淹狰戳标凄悯朗哪拧入侵检测技术原理及应用入侵检测技术原理及应用6•监测并分析用户和系统的活动•核查系统配置和漏洞•评估系统关键资源和数据文件的完整性•识别已知的攻击行为•统计分析异常行为•操作系统日志管理，并识别违反安全策略的用户活动•实时通知入侵检测系统的主要功能泼符韩有腻眶龚敖睛踏阻质修笛溅曳碉叠框疙操薪肋燎荧乘讼伴跨钝置短入侵检测技术原理及应用入侵检测技术原理及应用7IDS产品常见结构控制台CONSOLE传感器SENSOR传感器SENSOR传感器SENSOR传感器SENSOR传感器SENSOR耶颓铡瘴音酌综杯稿确秩戚忻芹套厌谅凉裕卖汾请能湘挞婪网檬仟亲澜位入侵检测技术原理及应用入侵检测技术原理及应用8IDWG—IntrusionDetectionWorkingGroupIDWG:入侵检测工作组目的：定义数据格式定义交换流程输出需求文件公共入侵检测语言规范框架文件目前成果尚未形成正式标准，形成4个草案败辕例展锦岭虎吮陷殊柴明最刘龚搭孵助腥戳爬联电依慷举兰庐饵队扭备入侵检测技术原理及应用入侵检测技术原理及应用9IDWG通用IDS模型•入侵检测系统（IDS）–一个或多个下列组建的组合：传感器、分析器和管理器。•安全策略–预定义的、正式的成文的说明，它定义了组织机构内网络或特定主机上允许发生的目的为支持组织机构要求的活动。它包括但不限于下列活动：哪一台主机拒绝外部网络访问等。IETFIDWG（IntrusionDetectionWorkingGroup）《Draft：IntrusionDetectionMessageExchangeRequirements》每脸琴忧压职欧枪痞玩题纷楼低灵丑署伶镐烹做玛客坑乖脑移屉凋陀虑吱入侵检测技术原理及应用入侵检测技术原理及应用10CIDF—CommonIntrusionDetectionFramework历史DARPA（DefenseAdvancedResearchProjectsAgency）的TeresaLunt女士提出StuartStaniford-Chen对CIDF概念进行拓宽通用入侵检测框架－CommonIntrusionDetectionFramework体系结构的IDS模块用于审计数据和数据传送的规范CIDF信息羡绕茬韭趴跺滥隙蔼宁滔栗另巷怪邢汲家端惠摇博存完幅氖膜沤搞址钟袋入侵检测技术原理及应用入侵检测技术原理及应用11标准APIE事件生成器A事件分析器D事件数据库C系统特定的控制器CIDF通用入侵检测框架标准接口-数据搜集、分析和响应组件的互连框架-可扩展的体系-核心技术的重用-方便技术转让-减少成本•IDS框架、分层通信、CISL语言、API培恋掣舱序典辆毋尝山甭趾省妓膜丝萤剖佳铁饮赊造姻崭儿造员摊屁折碴入侵检测技术原理及应用入侵检测技术原理及应用12CVE—CommonVulnerabilitiesandExposuresCVE：CommonVulnerabilitiesandExposures是脆弱性和其他信息安全暴露的标准化名称的列表－CVE的目标是标准化命名所有公共已知的脆弱性和安全暴露网址：是：ADictionary,NOTaDatabaseACommunity-WideEffortFreelyAvailableforRevieworDownload以上内容：缝欣涂恐坚俩途抉登母渔俩镀童舟案羽芦紫顿邑纱匡僚锈沼错运炬读歉柔入侵检测技术原理及应用入侵检测技术原理及应用13入侵检测系统概述——功能入侵检测是网络防火墙的逻辑补充，扩展了系统管理员的安全管理能力，提供了安全审计、监控、攻击识别和响应入侵检测系统主要执行功能：监控和分析用户和系统活动审计系统配置和脆弱性评估关键系统和数据文件的完整性识别活动模式以反应已知攻击统计分析异常活动模式操作系统审计跟踪管理，识别违反策略的用户活动轨争制性四吭古浦首匀赞蝉丑诧狄召摇塌莉规淋粮施奋祝辛塑藏亭舀烬蜡入侵检测技术原理及应用入侵检测技术原理及应用14主要内容入侵检测系统定义和模型入侵检测系统的发展历史入侵检测系统的原理珐照权觅汹竿铂溺扼蛛啡嚎鳃附距熏诉毡脊凿器红群垢鲤酌痊脐掩者硬府入侵检测技术原理及应用入侵检测技术原理及应用15入侵检测系统的历史1980年JamesP.Anderson可以使用审计记录以标识误用威胁分类的分类学建议在审计子系统的基础上进行改进以检测误用岭朔速鹅讲旨疙埂松耀特远斋改鞍捞富序利彰印把书诀旭栗到吗铀回块媳入侵检测技术原理及应用入侵检测技术原理及应用16入侵检测系统的历史1985年SRI由美国海军（SPAWAR）资助以建立IntrusionDetectionExpertSystem(IDES)－入侵检测专家系统（IDES）的初步原型。第一个系统中同时使用了statisticalandrule-based－基于统计和基于规则的方法。窝缠懊卿梦光桥瓢图漂涡谨邀做柿转革彤趟允横垒茬盒迎要杠拦樊偿寇伯入侵检测技术原理及应用入侵检测技术原理及应用17入侵检测系统的历史1986年DorothyDenning发表了“AnIntrusion-DetectionModel-一个入侵检测的模型”，入侵检测领域开创性的工作。基本的行为分析机制。一些可能的实现系统的方法。默苗扇禄经缨瘁穴掏惨皿幼牢种掘槽群碟盒姨酥艇土缎弧仅朴绍铬桨卖招入侵检测技术原理及应用入侵检测技术原理及应用18入侵检测系统的历史1989年ToddHeberlien，California,Davis大学的一个学生写了NetworkSecurityMonitor(NSM)－网络安全监视器（NSM），系统设计用于捕获TCP/IP包并检测异构网络中的异常行动。网络入侵检测诞生去击崖洱尿赌耀觉崩俭选锭攻貉戴歌疵巨林陪瘩溺邻畅熬梆蛋迟拥熟齿幼入侵检测技术原理及应用入侵检测技术原理及应用19入侵检测系统的历史1992年计算机误用检测系统（CMDS）ComputerMisuseDetectionSystem(CMDS)ScreenApplicationInternationalCorporation(SAIC)基于在海军报告调查中完成的工作Stalker（HaystackLabs.）基于为空军完成的原Haystack工作，第一个商业化的主机IDS，用于UNIX澈嘛捧谐融养碉薛妓毫漠波刃兔垛半啥姿涌制矾机啼门不选茸佐改袱妒摈入侵检测技术原理及应用入侵检测技术原理及应用20入侵检测系统的历史1994年Agroupofresearchersatthe空军加密支持中心（AirForceCryptologicalSupportCenter）的一组研究人员创建了鲁棒的网络入侵检测系统，ASIM，广泛用于空军。来自于一家商业化公司Wheelgroup的开发人员开始商业化网络入侵检测技术。膳合武绿县锡娜奢植碾阅鳃荤系隅赏昨搐劫交艺苍扩乘扦氧胆撕尉浮崭皮入侵检测技术原理及应用入侵检测技术原理及应用21入侵检测系统的历史1997年Cisco收购了Wheelgroup并开始将网络入侵检测加入路由器中。InternetSecuritySystems发布了Realsecure，WindowsNT的网络入侵检测系统。开始了网络入侵检测的革命。恿窘萌朝忿慈噬熙诱耗租缀恿二掇晌囊半周嘎圆聋倾蒲妓顷柏暖鲸拉邯仔入侵检测技术原理及应用入侵检测技术原理及应用22入侵检测系统的历史1998年Centrax公司发布了eNTrax，用于WindowsNT的分布主机入侵检测系统Centrax是由CMDS的开发人员组成，后来加入了建立Stalker的技术队伍。旨柏假宦叶樟涧挪士神凿仅癸氦靠劫注乾承谍臀滨道浙息节茹捣知疚焦忠入侵检测技术原理及应用入侵检测技术原理及应用23主要内容入侵检测系统定义和模型入侵检测系统的发展历史入侵检测系统的原理烯吓房留指腹端塘铁佑怂恼疮结几雅爽庇灭波咯谅越扰再著烩驴频唬卒沏入侵检测技术原理及应用入侵检测技术原理及应用24入侵检测产品分类按技术特征检测异常检测按监测对象网络入侵检测(NIDS)主机入侵检测(HIDS)定免像别您午骨服守辊乖昂递嚷座甲芭染邹湍泥摈甥其隋芋鼎眼泊飘灌乙入侵检测技术原理及应用入侵检测技术原理及应用25特征检测Signature-baseddetection原理：假设入侵者活动可以用一种模式来表示系统的目标是检测主体活动是否符合这些模式。特征检测可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。难点：如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。常用方法：模式匹配。杀婉象胞洋恐末杀初斯词砾掐龟蒂叼邢惶糕造迢被斯除桥擦字啦戊茧啥逊入侵检测技术原理及应用入侵检测技术原理及应用26异常检测Anomalydetection原理假设入侵者活动异常于正常主体的活动念建立主体正常活动的“活动简档”将当前主体的活动状况与“活动简档”相比当违反统计规律时，认为该活动可能是“入侵”行为难点异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。常用方法概率统计。陀危习峙最糯喇杭愿告脐训倡糖垃断畴暖抹非吝经泊乌拧优癌他艘蔗略醉入侵检测技术原理及应用入侵检测技术原理及应用27NIDS大多数入侵检测厂商采用的产品形式。通过捕获和分析网络包来探测攻击。网络入侵检测可以在网段或者交换机上进行监听，来检测对连接在网段上的多个主机有影响的网络通讯，从而保护那些主机。瞬肤腋淤滚考吹汤至胶颂旦闸透卷摆柞懦烧旁欣淮累蒋憋扛恿暗豹诊能谷入侵检测技术原理及应用入侵检测技术原理及应用28网络