文档介绍:入侵检测技术
胡建斌
北京大学网络与信息安全研究室
E-mail: ******@.
./~hjbin
概述
入侵检测方法
入侵检测系统的设计原理
入侵检测响应机制
入侵检测标准化工作
其它
展望
概述
入侵检测方法
入侵检测系统的设计原理
入侵检测响应机制
入侵检测标准化工作
其它
展望
Intrusion
Intrusion : Attempting to break into or misuse your system.
Intruders may be from outside work or legitimate users of work.
Intrusion can be a physical, system or remote intrusion.
传统的信息安全方法采用严格的访问控制和数据加密策略来防护,但在复杂系统中,这些策略是不充分的。它们是系统安全不可缺的部分但不能完全保证系统的安全
入侵检测(Intrusion Detection)是对入侵行为的发觉。它通过从计算机网络或计算机系统的关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象
Intrusion Detection
入侵检测的定义
对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性
进行入侵检测的软件与硬件的组合便是入侵检测系统
IDS : Intrusion Detection System
入侵检测的特点
一个完善的入侵检测系统的特点:
经济性
时效性
安全性
可扩展性
网络安全工具的特点
优点
局限性
防火墙
可简化网络管理,产品成熟
无法处理网络内部的攻击
IDS
实时监控网络安全状态
误报警,缓慢攻击,新的攻击模式
Scanner
简单可操作,帮助系统管理员和安全服务人员解决实际问题
并不能真正扫描漏洞
VPN
保护公网上的内部通信
可视为防火墙上的一个漏洞
防病毒
针对文件与邮件,产品成熟
功能单一
1980年 Anderson提出:入侵检测概念,分类方法
1987年 Denning提出了一种通用的入侵检测模型
独立性:系统、环境、脆弱性、入侵种类
系统框架:异常检测器,专家系统
90年初:CMDS™、NetProwler™、NetRanger™
ISS RealSecure™
入侵检测起源
入侵检测的起源(1)
审计技术:产生、记录并检查按时间顺序排列的系统事件记录的过程
审计的目标:
确定和保持系统活动中每个人的责任
重建事件
评估损失
监测系统的问题区
提供有效的灾难恢复
阻止系统的不正当使用