文档介绍:第1章入侵检测概述
李剑
北京邮电大学信息安全中心
E-mail: ******@bupt.
电话:130-01936882
版权所有,盗版必纠
目录
入侵检测简介
入侵检测系统在信息安全中的地位
入侵检测系统的基本原理与工作模式
入侵检测的分类
常用入侵检测方法
版权所有,盗版必纠
入侵检测简介
因特网是全球信息共享的基础设施,是一种开放和面向所有用户的技术。一方面要保证信息方便、快捷的共享,另一方面要防止垃圾、恶意信息的传播。
NIC在2007年1月的第19次中国互联网络发展状况统计报告统计,中国网民总人数为13700万人。%的网民对于网络内容的建康性非常满意。%的中国网民(12550万人)都或多或少的对于网络的建康性不满意。网上的入侵事件时有发生。
版权所有,盗版必纠
入侵检测简介
统计到的近年来信息安全事件分析,1998年到2003年安全事件增加了23倍(1998年为3734次, 2003年为127 529次)。
版权所有,盗版必纠
入侵检测简介
Anderson在1980年给出了入侵的定义:入侵是指在非授权的情况下,试图存取信息、处理信息或破坏系统以使系统不可靠、不可用的故意行为。
本书中的入侵是个广义的概念,不仅包括被发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权,也包括收集漏洞信息,造成拒绝访问(Denial of Service)等对计算机系统造成危害的行为。
版权所有,盗版必纠
入侵检测的发展历史
1. 概念的诞生
1980年4月,James P. Anderson为美国空军做了一份题为《计算机安全威胁监控与监视》(Computer Security Threat Monitoring and Surveillance)的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为3种,还提出了利用审计跟踪数据监视入侵活动的思想。这份报告被公认为是入侵检测的开山之作。
版权所有,盗版必纠
入侵检测的发展历史
2. 模型的发展
1984-1986年,乔治敦大学的Dorothy Denning和SRI/CSL(SRI公司计算机科学实验室)的Peter Neumann研究出了一个实时入侵检测系统模型,取名为入侵检测专家系统(IDES)。该模型由6个部分组成:主体、对象、审计记录、轮廓特征、异常记录、活动规则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型,为构建入侵检测系统提供了一个通用的框架。
版权所有,盗版必纠
入侵检测的发展历史
1988年,SRI/CSL的Teresa Lunt等人改进了Denning的入侵检测模型,并开发出了一个IDES。
版权所有,盗版必纠
入侵检测的发展历史
3. 百花齐放的春天
1990年是入侵检测系统发展史上的一个分水岭。这一年,加州大学戴维斯分校的L. T. work Security Monitor)。该系统第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机。从此之后,入侵检测系统发展史翻开了新的一页,基于网络的IDS和基于主机的IDS两大阵营正式形成。
版权所有,盗版必纠