入检测专家系统IDEs 网络安金 NETWORK SECURIY 采用审计数据统计分析方法建立系统用户的行为 模式,当用户行为明显偏离系统所建立的行为模 式时,将产生报普信号。 采用基于规则匹配的专家系统机制来检测已知入 侵行为,当入侵特征与检测规则匹配时,系统产 生报警信号
入侵检测专家系统IDES • 采用审计数据统计分析方法建立系统用户的行为 模式,当用户行为明显偏离系统所建立的行为模 式时,将产生报警信号。 • 采用基于规则匹配的专家系统机制来检测已知入 侵行为,当入侵特征与检测规则匹配时,系统产 生报警信号
可信计算机系统评帖准则 TCSEC 网络安金 NETWORK SECURIY · TCSEC根据计算机系统硬件、软件和信息资源的不同安全保 护要求,将网络安全等级由高到低划分成A、B、C、D四大类 七个安全子级别A1、B3、B2、B1、C2、C1和D。其中, A1安全级别最高,D安全级别最低。 · TCSEC评估准则的颁布不仅推动了操作系统、数据库管理系 统及应用软件在安全方面的发展,也对入侵检测系统等安全 技术的发展起到了巨大的推动作用。 · TCSEC评估准则已成为评估各类网络安全产品的重要依据之 ,是计算机网络安全发展史上的一个重要里程碑
可信计算机系统评估准则TCSEC • TCSEC根据计算机系统硬件、软件和信息资源的不同安全保 护要求,将网络安全等级由高到低划分成A、B、C、D四大类 七个安全子级别A1、B3、B2、B1、C2、C1和D。其中, A1安全级别最高,D安全级别最低。 • TCSEC评估准则的颁布不仅推动了操作系统、数据库管理系 统及应用软件在安全方面的发展,也对入侵检测系统等安全 技术的发展起到了巨大的推动作用。 • TCSEC评估准则已成为评估各类网络安全产品的重要依据之 一,是计算机网络安全发展史上的一个重要里程碑
入检测模到 网络安金 NETWORK SECURIY 入侵检测模型的核心思想就是异常用户模式不同于正 常用户模式,因此,通过分析审计记录和网络数据包 能够识别违反系统安全策略的入侵行为。 ·通用入侵检测模型为以后研发入侵检测系统IDs ( intrusion detection system)产品奠定了坚实的 理论基础
入侵检测模型 • 入侵检测模型的核心思想就是异常用户模式不同于正 常用户模式,因此,通过分析审计记录和网络数据包 能够识别违反系统安全策略的入侵行为。 • 通用入侵检测模型为以后研发入侵检测系统IDS (intrusion detection system)产品奠定了坚实的 理论基础
入测的迅没展 网络安金 NETWORK SECURIY 1988年5月,加州大学戴维斯分校劳伦斯利弗莫尔 ( Lawrence livermore)国家实验室承接了为美国空军基地开发新型 IDS Haystack的科研课题 1989年创建了以科研课题名称 Haystack命名的商业公司,并将公司开 发的IDS产品称为 STALKER。 ·1990年5月是入侵检测发展史上的另一个里程碑,加州大学戴维斯分校 的 L,T Heberlein等研究人员首次利用网络数据包作为安全审计数据源, 通过监测网络流量来识别网络入侵行为。 1991年2月, Haystack公司与L.T. Heberlein等人共同展开了对分布式 入侵检测系统DIDs( distributed intrusion detection systen)的研 究 ·1992年,斯坦福研究所决定对早期的IDEs进行改进,开发下一代入侵 检测专家系统 NIDES(next- generation intrusion detection expert system)新产品
入侵检测的迅速发展 • 1988年5月,加州大学戴维斯分校劳伦斯利弗莫尔 (Lawrence Livermore)国家实验室承接了为美国空军基地开发新型 IDS Haystack的科研课题。 • 1989年创建了以科研课题名称Haystack命名的商业公司,并将公司开 发的IDS产品称为STALKER 。 • 1990年5月是入侵检测发展史上的另一个里程碑,加州大学戴维斯分校 的L. T. Heberlein等研究人员首次利用网络数据包作为安全审计数据源, 通过监测网络流量来识别网络入侵行为。 • 1991年2月,Haystack公司与L. T. Heberlein等人共同展开了对分布式 入侵检测系统DIDS(distributed intrusion detection system)的研 究。 • 1992年,斯坦福研究所决定对早期的IDES进行改进,开发下一代入侵 检测专家系统NIDES(next-generation intrusion detection expert system)新产品
5 TALKE系统 网络安金 NETWORK SECURIY · STALKER系统的分析引擎采用状态转移方法描述已知入侵 模式。 入侵特征包括初始状态、针对入侵模式的状态转移函数和 结束状态。 入侵行为一旦与分析引擎所保存的入侵特征匹配,系统将 根据预先定义的安全策略采取相应的响应措施。 STALKER系统是第一个采用误用检测技术的IDS,也是第 款在安全市场上销售成功的商业化产品
STALKER系统 • STALKER系统的分析引擎采用状态转移方法描述已知入侵 模式。 • 入侵特征包括初始状态、针对入侵模式的状态转移函数和 结束状态。 • 入侵行为一旦与分析引擎所保存的入侵特征匹配,系统将 根据预先定义的安全策略采取相应的响应措施。 • STALKER系统是第一个采用误用检测技术的IDS,也是第 一款在安全市场上销售成功的商业化产品