86检测技术 8.6.1检测技术概述 862入侵检测技术 8.6.3漏洞扫描技术 8.6.4入侵检测和漏洞扫描系统模型 8.6.5检测产品的布署 866入侵检测系统的新发展 ●四南大字画字
8.6 检测技术 8.6.1 检测技术概述 8.6.2 入侵检测技术 8.6.3 漏洞扫描技术 8.6.4 入侵检测和漏洞扫描系统模型 8.6.5 检测产品的布署 8.6.6 入侵检测系统的新发展
8.6.1检测技术概述 入侵检测 从计算机安全的目标来看,入侵指企图破坏资源的完整性、保 密性、可用性的任何行为,也指违背系统安全策略的任何事件。 从入侵策略的角度看,入侵可分为企图进入、冒充合法用户、成 功闯入等方面。入侵者一般称为黑客或解密高手。 Anderson把入 侵者分为伪装者、违法者和秘密用户3类。 入侵检测指对计算机和网络资源的恶意使用行为进行识别和响 应的处理过程。它不仅检测来自外部的入侵行为,同时也能检测 出内部用户的未授权活动,是一种增强系统安全的有效方法。入 侵检测从计算机网络或计算机系统中若干关键点收集信息并对其 进行分析,从中发现网络或系统中是否有违反安全策略的行为和 遭到攻击的迹象,同时做出响应。入侵检测的一般过程包括信息 收集、信息预处理、数据检测分析和响应等,如图8.18所示 第8章网络安全
第8章 网络安全 8.6.1 检测技术概述 1. 入侵检测 从计算机安全的目标来看,入侵指企图破坏资源的完整性、保 密性、可用性的任何行为,也指违背系统安全策略的任何事件。 从入侵策略的角度看,入侵可分为企图进入、冒充合法用户、成 功闯入等方面。入侵者一般称为黑客或解密高手。Anderson把入 侵者分为伪装者、违法者和秘密用户3类。 入侵检测指对计算机和网络资源的恶意使用行为进行识别和响 应的处理过程。它不仅检测来自外部的入侵行为,同时也能检测 出内部用户的未授权活动,是一种增强系统安全的有效方法。入 侵检测从计算机网络或计算机系统中若干关键点收集信息并对其 进行分析,从中发现网络或系统中是否有违反安全策略的行为和 遭到攻击的迹象,同时做出响应。入侵检测的一般过程包括信息 收集、信息预处理、数据检测分析和响应等,如图8.18所示
8.6.1检测技术概述 全策略 信信宫 处娌 数顸处理 响应处理 图818入侵检测的一般过程 入侵检测可分为实时入侵检测和事后入侵检测。实时入侵检测在 网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中 的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入 侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。事 后入侵检测由网络管理人员定期或不定期进行,根据计算机系统对用户 操作所做的历史审计记录判断用户是否具有入侵行为,如果有就断开连 接,并记录入侵证据和进行数据恢复。但是其入侵检测的能力不如实时 入侵检测系统 第8章网络安全
第8章 网络安全 8.6.1 检测技术概述 图8.18 入侵检测的一般过程 入侵检测可分为实时入侵检测和事后入侵检测。实时入侵检测在 网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中 的专家知识以及神经网络模型对用户当前的操作进行判断,一旦发现入 侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。事 后入侵检测由网络管理人员定期或不定期进行,根据计算机系统对用户 操作所做的历史审计记录判断用户是否具有入侵行为,如果有就断开连 接,并记录入侵证据和进行数据恢复。但是其入侵检测的能力不如实时 入侵检测系统
8.6.1检测技术概述 2漏洞检测 漏洞是由软件编写不当或软件配置不当造成的。漏洞扫描是网络 安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能 存在的、已知的安全漏洞进行逐项检查,根据检测结果向系统管理员提 供周密可靠的安全性分析报告,为提高网络安全整体水平提供了重要依 据。漏洞扫描也称为事前的检测系统、安全性评估或者脆弱性分析。其 作用是在发生网络攻击事件前,通过对整个网络扫描及时发现网络中存 在的漏洞隐患,及时给出漏洞相应的修补方案,网络人员根据方案可以 进行漏洞的修补。 漏泂检测技术通常采用两种策略,即被动式策略和主动式策略 被动式策略是基于主机的检测,对系统中不合适的设置、脆弱的口令以 及其他同安全规则相抵触的对象进行检查;而主动式策略是基于网络的 检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而 发现其中的漏洞。 第8章网络安全
第8章 网络安全 8.6.1 检测技术概述 2. 漏洞检测 漏洞是由软件编写不当或软件配置不当造成的。漏洞扫描是网络 安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能 存在的、已知的安全漏洞进行逐项检查,根据检测结果向系统管理员提 供周密可靠的安全性分析报告,为提高网络安全整体水平提供了重要依 据。漏洞扫描也称为事前的检测系统、安全性评估或者脆弱性分析。其 作用是在发生网络攻击事件前,通过对整个网络扫描及时发现网络中存 在的漏洞隐患,及时给出漏洞相应的修补方案,网络人员根据方案可以 进行漏洞的修补。 漏洞检测技术通常采用两种策略,即被动式策略和主动式策略。 被动式策略是基于主机的检测,对系统中不合适的设置、脆弱的口令以 及其他同安全规则相抵触的对象进行检查;而主动式策略是基于网络的 检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而 发现其中的漏洞
8.62入侵检测技术 1.常用的入侵检测技术 入侵检测技术可分为五种 基于应用的监控技术。主要使用监控传感器在应用层收集信息 基于主机的监控技术。主要使用主机传感器监控本系统的信息。 基于目标的监控技术。主要针对专有系统属性、文件属性、敏 感数据等进行监控。 基于网络的监控技术。主要利用网络监控传感器监控包监听器 收集的信息。 综合以上4种方法进行监控。其特点是提高了侦测性能,但会 第8章网络安全
第8章 网络安全 8.6.2 入侵检测技术 1. 常用的入侵检测技术 入侵检测技术可分为五种: ➢ 基于应用的监控技术。主要使用监控传感器在应用层收集信息。 ➢ 基于主机的监控技术。主要使用主机传感器监控本系统的信息。 ➢ 基于目标的监控技术。主要针对专有系统属性、文件属性、敏 感数据等进行监控。 ➢ 基于网络的监控技术。主要利用网络监控传感器监控包监听器 收集的信息。 ➢ 综合以上4种方法进行监控。其特点是提高了侦测性能,但会 产生非常复杂的网络安全方案