文档介绍:第二十三章入侵检测
入侵检测
入侵检测原理
入侵检测技术分析
入侵检测系统
LINUX下的入侵检测系统
基于用户特征分析的入侵检测系统
入侵检测发展方向
入侵检测原理
原则
基本入侵检测
入侵检测理论模型
原则
一个能够抵抗入侵的计算机系统将表现出以下特性:
用户以及应用的过程将被限制在一种可以预知的模式下。当用户运行了一个简单程序后不会使系统进入一种维护状态。
用户以及应用过程将不允许包含破坏系统安全的命令序列,理论上来说,所有这种序列都应该排除。实际上,只有被列入安全系统的序列才能被检测到。
所有的应用过程都必须遵守操作的具体规范,只有系统允许运行时才可以。
基本入侵检测
网络攻击变的越来越复杂而且自动化程度越来越高,一个复杂的进攻并不一定是由一个有经验的入侵者发动的
定义:一个入侵工具是一种用来破坏系统安全的自动化的脚本
入侵工具绝对不是更改入侵检测的本质。他们排除了许多由于不正确安装而造成的错误。并且以一种常规的步骤排除了一些零碎的攻击。但是他们不能完全排除系统隐患。
入侵检测系统拥有以下四重目的:
广泛的入侵检测。
时常进行入侵检测。
介绍一种简单,易于理解的格式。
正确性。
入侵检测理论模型
CIDF模型
异常模型
误用模型
规范模型
入侵检测技术分析
常用的检测方法
拒绝服务攻击及防范
常用的检测方法
入侵检测系统常用的检测方法有:
特征检测
对已知的攻击或入侵的方式作出确定性的描述,形成相应的事件模式。
统计检测
统计模型常用异常检测。异常检测(Anomalydetection)的假设是入侵者活动异常于正常主体的活动。
常用的入侵检测统计模型为:
操作模型
多元模型
马尔柯夫过程模型
专家系统
用专家系统对入侵进行检测,经常是针对有特征入侵行为。
拒绝服务攻击及防范
拒绝服务攻击正在向分布式(DDos)方向发展,分布式拒绝服务攻击采用了一种比较特别的体系结构,从许多分布的主机同时攻击一个目标。从而导致目标瘫痪。