第五章入侵检测技术 入侵检测系统( Intrusion Detection System, IDS)就是执行入侵检测任务的硬件或软件产品。 IDS通过实时的分析,检查特定的攻击模式、系 统配置、系统漏洞、存在缺陷的程序版本以及系 统或用户的行为模式,监控与安全有关的活动。 个基本的入侵检测系统需要解决两个问 题:一是如何充分并可靠地提取描述行为特征的 数据;二是如何根据特征数据,高效并准确地判 定行为的性质 :返回本章首页
第五章 入侵检测技术 入侵检测系统(Intrusion Detection System, IDS)就是执行入侵检测任务的硬件或软件产品。 IDS通过实时的分析,检查特定的攻击模式、系 统配置、系统漏洞、存在缺陷的程序版本以及系 统或用户的行为模式,监控与安全有关的活动。 一个基本的入侵检测系统需要解决两个问 题:一是如何充分并可靠地提取描述行为特征的 数据;二是如何根据特征数据,高效并准确地判 定行为的性质。 返回本章首页
第五章入侵检测技术 512系统结构 由于网络环境和系统安全策略的差异,入侵 检测系统在具体实现上也有所不同。从系统构成 上看,入侵检测系统应包括事件提取、入侵分析、 入侵响应和远程管理四大部分,另外还可能结合 安全知识库、数据存储等功能模块,提供更为完 善的安全检测及数据分析功能(如图5-3所示)。 :返回本章首页
第五章 入侵检测技术 5.1.2 系统结构 由于网络环境和系统安全策略的差异,入侵 检测系统在具体实现上也有所不同。从系统构成 上看,入侵检测系统应包括事件提取、入侵分析、 入侵响应和远程管理四大部分,另外还可能结合 安全知识库、数据存储等功能模块,提供更为完 善的安全检测及数据分析功能(如图5-3所示)。 返回本章首页
第五章入侵检测技术 响应处理 知识库 入侵分析 数据存储 数据提取 原始数据流 图5-3入侵检测系统结构 :返回本章首页
第五章 入侵检测技术 数据提取 入侵分析 数据存储 响应处理 原始数据流 知识库 图5-3 入侵检测系统结构 返回本章首页
第五章入侵检测技术 入侵检测的思想源于传统的系统审计,但拓 宽了传统审计的概念,它以近乎不间断的方式进 行安全检测,从而可形成一个连续的检测过程。 这通常是通过执行下列任务来实现的: √监视、分析用户及系统活动; 系统构造和弱点的审计; 识别分析知名攻击的行为特征并告警 异常行为特征的统计分析; 评估重要系统和数据文件的完整性; 操作系统的审计跟踪管理,并识别用户违反安全策略 的行为。 :返回本章首页
第五章 入侵检测技术 入侵检测的思想源于传统的系统审计,但拓 宽了传统审计的概念,它以近乎不间断的方式进 行安全检测,从而可形成一个连续的检测过程。 这通常是通过执行下列任务来实现的: ✓监视、分析用户及系统活动; ✓系统构造和弱点的审计; ✓识别分析知名攻击的行为特征并告警; ✓异常行为特征的统计分析; ✓评估重要系统和数据文件的完整性; ✓操作系统的审计跟踪管理,并识别用户违反安全策略 的行为。 返回本章首页
第五章入侵检测技术 513系统分类 由于功能和体系结构的复杂性,入侵检测按 照不同的标准有多种分类方法。可分别从数据源、 检测理论、检测时效三个方面来描述入侵检测系 统的类型。 1.基于数据源的分类 通常可以把入侵检测系统分为五类,即基于 主机、基于网络、混合入侵检测、基于网关的入 侵检测系统以及文件完整性检查系统。 :返回本章首页
第五章 入侵检测技术 5.1.3 系统分类 由于功能和体系结构的复杂性,入侵检测按 照不同的标准有多种分类方法。可分别从数据源、 检测理论、检测时效三个方面来描述入侵检测系 统的类型。 1.基于数据源的分类 通常可以把入侵检测系统分为五类,即基于 主机、基于网络、混合入侵检测、基于网关的入 侵检测系统以及文件完整性检查系统。 返回本章首页