資源描述:
《信息安全原理與應(yīng)用-入侵檢測(cè)技術(shù)》由會(huì)員上傳分享����,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)����。
1、1信息安全原理與應(yīng)用第十五章入侵檢測(cè)技術(shù)本章由王昭主寫(xiě)2討論議題入侵檢測(cè)概述入侵檢測(cè)系統(tǒng)的功能組成基于主機(jī)及基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)異常檢測(cè)和誤用檢測(cè)入侵檢測(cè)的響應(yīng)入侵檢測(cè)標(biāo)準(zhǔn)化工作3主要的傳統(tǒng)安全技術(shù)加密消息摘要����、數(shù)字簽名身份鑒別:口令、鑒別交換協(xié)議�����、生物特征訪問(wèn)控制安全協(xié)議:IPsec�����、SSL網(wǎng)絡(luò)安全產(chǎn)品與技術(shù):防火墻�、VPN內(nèi)容控制:防病毒�、內(nèi)容過(guò)濾等預(yù)防(prevention)、防護(hù)(protection)4預(yù)防措施的局限性預(yù)防性安全措施采用嚴(yán)格的訪問(wèn)控制和數(shù)據(jù)加密策略來(lái)防護(hù)��,但在復(fù)雜系統(tǒng)中
2����、���,這些策略是不充分的。這些措施都是以減慢交易為代價(jià)的���。大部分損失是由內(nèi)部引起的1999年CSI/FBI(Computersecurityinstitute/FederalBureauofInvestigation)指出���,82%的損失是內(nèi)部威脅造成的。5信息安全兩態(tài)論6P2DR安全的關(guān)鍵檢測(cè)檢測(cè)是靜態(tài)防護(hù)轉(zhuǎn)化為動(dòng)態(tài)的關(guān)鍵檢測(cè)是動(dòng)態(tài)響應(yīng)的依據(jù)檢測(cè)是落實(shí)/強(qiáng)制執(zhí)行安全策略的有力工具7入侵檢測(cè)的定義NSTAC(NationalSecurityTelecommunicationsAdvisoryBoard�,
3、國(guó)家安全通信委員會(huì))的IDSG(IntrusionDetectionSub-Group)是一個(gè)由美國(guó)總統(tǒng)特許的保護(hù)國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的小組�。IDSG1997年給出了如下定義:入侵(Intrusion):對(duì)信息系統(tǒng)的非授權(quán)訪問(wèn)及(或)未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作。入侵檢測(cè)(IntrusionDetection):對(duì)(網(wǎng)絡(luò))系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視�,對(duì)企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過(guò)程�����。8入侵檢測(cè)的起源和發(fā)展-11980年4月�����,JamesP.Anderson《ComputerSecur
4�、ityThreatMonitoringandSurveillance》(計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視)1980年Anderson提出:提出了精簡(jiǎn)審計(jì)的概念�����,風(fēng)險(xiǎn)和威脅分類(lèi)方法提出了利用審計(jì)跟蹤數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想這份報(bào)告被公認(rèn)為是入侵檢測(cè)的開(kāi)創(chuàng)性工作����。9入侵檢測(cè)的起源和發(fā)展-280年代�,基于主機(jī)的入侵檢測(cè)1990,加州大學(xué)戴維斯分校的L.T.Heberlein等人開(kāi)發(fā)出了NSM(NetworkSecurityMonitor)該系統(tǒng)第一次直接將網(wǎng)絡(luò)流作為審計(jì)數(shù)據(jù)來(lái)源��,因而可以在不將審計(jì)數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一格
5����、式的情況下監(jiān)控異種主機(jī)入侵檢測(cè)系統(tǒng)發(fā)展史翻開(kāi)了新的一頁(yè),兩大陣營(yíng)正式形成:基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS90年代��,基于主機(jī)和基于網(wǎng)絡(luò)入侵檢測(cè)的集成10討論議題入侵檢測(cè)概述入侵檢測(cè)系統(tǒng)的功能組成基于主機(jī)及基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)異常檢測(cè)和誤用檢測(cè)入侵檢測(cè)的響應(yīng)入侵檢測(cè)標(biāo)準(zhǔn)化工作11IDS基本結(jié)構(gòu)進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)(IDS��,IntrusionDetectionSystem)��。入侵檢測(cè)是監(jiān)測(cè)計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)違反安全策略事件的過(guò)程�。簡(jiǎn)單地說(shuō)���,入侵檢測(cè)系統(tǒng)包括三個(gè)功能部件
6�、:(1)信息收集(2)信息分析(3)結(jié)果處理12信息收集入侵檢測(cè)的第一步是信息收集,收集內(nèi)容包括系統(tǒng)���、網(wǎng)絡(luò)���、數(shù)據(jù)及用戶(hù)活動(dòng)的狀態(tài)和行為。需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息���,盡可能擴(kuò)大檢測(cè)范圍從一個(gè)源來(lái)的信息有可能看不出疑點(diǎn)13信息分析模式匹配(誤用檢測(cè)):模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較�,從而發(fā)現(xiàn)違背安全策略的行為�����。統(tǒng)計(jì)分析(異常檢測(cè)):統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象(如用戶(hù)�、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述��,統(tǒng)計(jì)正常使用時(shí)的
7�、一些測(cè)量屬性(如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等)�。完整性分析,往往用于事后分析����,主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓摹?4檢測(cè)目標(biāo)可說(shuō)明性是指從給定的活動(dòng)或事件中���,可以找到相關(guān)責(zé)任方的能力。建立可說(shuō)明性的目標(biāo)是獲得補(bǔ)償或針對(duì)責(zé)任方追究相關(guān)法律責(zé)任���。積極的反應(yīng)報(bào)告警報(bào)修改目標(biāo)機(jī)系統(tǒng)或入侵檢測(cè)系統(tǒng)15入侵檢測(cè)的分類(lèi)-1按照數(shù)據(jù)來(lái)源:基于主機(jī):系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)�,保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)�����?���;诰W(wǎng)絡(luò):系統(tǒng)獲取的數(shù)據(jù)是網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包,保護(hù)的是網(wǎng)絡(luò)的運(yùn)行���?��;旌闲停?6入侵檢測(cè)的分類(lèi)-
8����、2按照分析方法(檢測(cè)方法)異常檢測(cè)模型(AnomalyDetection):首先總結(jié)正常操作應(yīng)該具有的特征(用戶(hù)輪廓),當(dāng)用戶(hù)活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵����。誤用檢測(cè)模型(MisuseDetection):收集非正常操作的行為特征�,建立相關(guān)的特征庫(kù)����,當(dāng)監(jiān)測(cè)的用戶(hù)或系統(tǒng)行為與庫(kù)中的記錄相匹配時(shí),系統(tǒng)就認(rèn)為這種行為是入侵��。17入侵檢測(cè)的分類(lèi)-3根據(jù)時(shí)效性:脫機(jī)分析:行為發(fā)生后�,對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析。早期比較流行聯(lián)機(jī)分析:在數(shù)據(jù)產(chǎn)生的同時(shí)或者發(fā)生改變時(shí)進(jìn)行分析�。18入侵檢測(cè)的分
