计算机系统安全 第十一章 入侵检测系统
1 计算机系统安全 第十一章 入侵检测系统
什么是入侵检测 1、入侵检测的概念 入侵检测的内容:试图闯入、成功闯入、冒充 其他用户、违反安全策略、合法用户的泄漏 独占资源以及恶意使用。 入侵检测( Intrusion detection):通过从计算 机网络或计算机系统的关键点收集信息并进 分析,从中发现网络或系统中是否有违反安全 策略的行为和被攻击的迹象 入侵检测系统(IDS):入侵检测的软件与硬 件的组合,是防火墙的合理补充,是防火墙之 后的第二道安全闸门
2 1、入侵检测的概念 一、什么是入侵检测 入侵检测的内容:试图闯入、成功闯入、冒充 其他用户、违反安全策略、合法用户的泄漏、 独占资源以及恶意使用。 入侵检测(Intrusion Detection):通过从计算 机网络或计算机系统的关键点收集信息并进行 分析,从中发现网络或系统中是否有违反安全 策略的行为和被攻击的迹象。 入侵检测系统(IDS):入侵检测的软件与硬 件的组合,是防火墙的合理补充,是防火墙之 后的第二道安全闸门
什么是入侵检测 1、入侵检测的概念:模型 规则设计 时钟 与修改 创建 学习 主体活动 审计记录」规则集提取规则|异常记录 处理引擎 更 新/历史活动状况 活动简档新建活动状况 Denying的通用入侵检测模型。模型缺点是它没有包含已知 系统漏洞或攻击方法的知识
3 1、入侵检测的概念:模型 一、什么是入侵检测 Dennying的通用入侵检测模型。模型缺点是它没有包含已知 系统漏洞或攻击方法的知识
什么是入侵检测 1、入侵检测的概念:任务 监视、分析用户及系统活动,查找非法用户和合法 用户的越权操作; 系统构造和弱点的审计,并提示管理员修补漏洞; 识别反映已知进攻的活动模式并报警,能够实时对 检测到的入侵行为进行反应; 异常行为模式的统计分析,发现入侵行为的规律; 评估重要系统和数据文件的完整性; 操作系统的审计跟踪管理,并识别用户违反安全策 略的行为
4 1、入侵检测的概念:任务 一、什么是入侵检测 ·监视、分析用户及系统活动,查找非法用户和合法 用户的越权操作; ·系统构造和弱点的审计,并提示管理员修补漏洞; ·识别反映已知进攻的活动模式并报警,能够实时对 检测到的入侵行为进行反应; ·异常行为模式的统计分析,发现入侵行为的规律; ·评估重要系统和数据文件的完整性; ·操作系统的审计跟踪管理,并识别用户违反安全策 略的行为
什么是入侵检测 1、入侵检测的概念 传统安全防范技术的不足 传统的操作系统加固技术和防火墙隔离技术 等都是静态安全防御技术,对网络环境下日 新月异的攻击手段缺乏主动的反应 入侵检测技术通过对入侵行为的过程与特征 的研究使安全系统对入侵事件和入侵过程能 做出实时响应
5 1、入侵检测的概念 一、什么是入侵检测 传统安全防范技术的不足 传统的操作系统加固技术和防火墙隔离技术 等都是静态安全防御技术,对网络环境下日 新月异的攻击手段缺乏主动的反应。 入侵检测技术通过对入侵行为的过程与特征 的研究使安全系统对入侵事件和入侵过程能 做出实时响应