入侵检测概述.pptxVIP

网络安全技术入侵检测概述入侵检测概述1.1 入侵检测的概念入侵检测是指发现非授权用户企图使用计算机系统或合法用户滥用其特权的行为，这些行为破坏了系统的完整性、机密性及资源的可用性。为完成入侵检测任务而设计的计算机系统，是一套运用入侵检测技术对计算机或网络资源进行实时检测的系统工具。入侵检测的作用是检测对系统的入侵事件，一般不采取措施防止入侵行为。一个入侵检测系统应具有准确性、可靠性、可用性、适应性、实时性和安全性等特点。入侵检测提供了用于发现入侵攻击与合法用户滥用特权的方法，它基于的前提是：入侵行为和合法行为是可区分的。1.2 入侵检测系统组成1．探测器探测器主要负责收集数据。探测器的输入数据流包括任何可能包含入侵行为线索的系统数据，如网络数据包、日志文件和系统调用记录等。探测器将这些数据收集起来，然后发送到分析器进行处理。2．分析器分析器又可称为检测引擎，它负责从一个或多个探测器接收信息，并通过分析来确定是否发生了非法入侵活动。分析器的输出为标识入侵行为是否发生的指示信号（如一个警告信号），该指示信号中还可能包括相关的证据信息。另外，分析器还能够提供关于可能的反应措施的相关信息。3．用户接口用户接口使得用户易于观察系统的输出信号，并对系统行为进行控制。在某些系统中，用户接口又可以称为“管理器”、“控制器”或者“控制台”等。除了以上3个必要的组成部分之外，某些入侵检测系统可能还包括一个“蜜罐”诱饵机。该诱饵机的设计和配置具有明显的系统安全漏洞，并对攻击者明显可见。1.3 入侵检测功能入侵检测与传统的安全技术不同，它并不是设法建立安全、可靠的计算机系统或网络环境，而是通过对网络活动和系统用户信息进行分析处理来达到对非法行为的检测、报警和预警目的，进而由有关安全组件（如防火墙）对非法行为进行控制，来保障系统的安全。其功能为：（1）监控和分析用户以及系统的活动。（2）核查系统安全配置和漏洞。（3）评估关键系统和数据文件的完整性。（4）识别攻击的活动模式并向网络管理人员报警。（5）统计分析异常活动，识别违反安全策略的用户活动。1.4 入侵检测系统的评价指标评价不同种类入侵检测系统优劣的指标主要有以下几个方面：（1）准确性。准确性是指入侵检测系统不会标记环境中的一个合法行为为异常或入侵行为。（2）性能。入侵检测系统的性能是指处理审计事件的速度。对一个实时入侵检测系统来说，必须要求性能良好。（3）完整性。完整性是指入侵检测系统能检测出所有的攻击。（4）故障容错。故障容错是指当被保护系统遭到攻击和毁坏时，能迅速恢复系统原有的数据和功能。（5）自身抵抗攻击能力。这一点很重要，尤其是抵抗“拒绝服务”攻击。（6）及时性。一个入侵检测系统必须尽快地执行和传送它的分析结果，以便在系统造成严重危害之前能及时作出反应，阻止攻击者破坏审计数据或入侵检测系统本身。网络安全技术谢谢观看！