文档介绍:信息安全师高级安全体系架构课程入侵检测概述入侵定义:指任何企图破坏资源的完整性、保密性和有效性的行为入侵分为:企图进入、冒充其他合法用户、成功闯入、合法用户的泄漏、拒绝服务、恶意使用入侵检测:通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。入侵检测的功能监控、分析用户和系统的活动审计系统的配置和弱点评估关键系统和数据文件的完整性识别攻击的活动模式对异常活动进行统计分析操作系统审计跟踪管理,识别违反政策的用户活动入侵检测系统的模型入侵检测系统包括:事件记录流的信息源、分析引擎、monIntrusionDetectionFramework)入侵检测过程分析信息收集信息分析告警与响应入侵检测过程分析信息采集网络和系统日志文件目录和文件中的不期望的改变程序执行的不期望行为物理形式的入侵信息信息分析先建分析器,预处理信息,再建行为分析模型,然后植入时间数据,保存数据库告警与响应自动终止攻击;终止用户连接;禁止用户帐号重新配置防火墙阻塞攻击;向管理控制台发出警告向网络管理平台发出信息;记录日志向安全管理人员发提示邮件;执行一个用户自定义程序入侵检测技术-滥用入侵检测技术滥用检测又称基于知识的检测。(基于特征或模式匹配)前提:所有可能的入侵行为和手段都能够表达为一种模式或特征。原理:首先对已知的入侵行为和手段进行分析,提取检测特征,构建攻击签名。然后根据定义好的攻击签名来判断是否有入侵行为。关建问题:攻击签名的正确性。入侵检测技术-滥用入侵检测技术主要方法专家系统状态迁移分析模式匹配击键键控遗传算法其他缺点不能检测未知的入侵行为与系统相关性很强入侵检测技术-异常检测技术异常检测又称基于行为的检测。(识别主机或网络中异常或不寻常行为)前提:假定所有的入侵行为都是异常的。原理:首先收庥一段时期的正常活动行为,建立代表主机、用户的正常行为轮廓,然后收集时间数据并使用不同方法来判断检测到的事件活动是否偏离了正常行为,若是则入侵。它是一种间接的方法主要方法统计方法专家系统神经网络计算机免疫技术缺点误报、漏报率高入侵检测技术-异常检测技术关建问题:特征量选择;参考阈值的选定异常而非入侵的活动被标记为入侵,称为误报警入侵而非异常的活动未被识别,称为漏报警