入侵检测与防护概述入侵检测与防护概述教案
生活随笔
收集整理的這篇文章主要介紹了
入侵检测与防护概述入侵检测与防护概述教案
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
入侵檢測與防護的技術主要有兩種:
- 入侵檢測系統(IntrusionDetectionSystem, IDS):注重的是網絡安全狀況的監管,通過監視網絡或系統資源,尋找違反安全策略的行為或攻擊跡象,并發出報警。因此絕大多數IDS系統都是被動的。
- 入侵防護系統(IntrusionPreventionSystem, IPS):傾向于提供主動防護,注重對入侵行為的控制,其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截,避免其造成損失。
入侵檢測概述
入侵包括
- 嘗試性闖入
- 偽裝攻擊
- 安全控制系統滲透、泄露、
- 拒絕服務
- 惡意使用
從入侵造成的嚴重程度看,入侵可以分為:
- 拒絕服務的攻擊,入侵者并沒有獲得系統的訪問權,而是利用一 些拒絕服務的攻擊程序,引起網絡掛起或重新啟動;
- 入侵者只獲得系統訪問權限,即獲得了普通級別的系統賬號和口令并登錄主機,不做破壞性的工作;
- 入侵者進入系統后,毀壞改變數據;
- 入侵得到部分或整個系統的控制權:修改系統賬戶、 口令、修改日志、安裝后門、木馬等。
- 入侵檢測是網絡安全態勢感知的關鍵核心技術
- 入侵檢測通過收集操作系統,系統程序,應用程序,網絡包等信息,發現系統中違背安全策略或危及系統統安全的行為。具有入侵檢測功能的系統稱為入侵檢測系統,簡稱為IDS ( intrusion detection system )
入侵的來源可分為外部入侵者(未授權的用戶)和內部入侵者(逾越了合法訪問權限的授權用戶)。
入侵檢測的基本模型是PDR模型,其思想是防護時間大于檢測時間和響應時間。
針對靜態的系統安全模型提出了“動態安全模型(P2DR)”。
P2DR模型包含4個主要部分:
- Policy (安全策略)
- Protection (防護)
- Detection (檢測)
- Response (響應)
入侵檢測的作用
直接目的不是阻止入侵事件的發生,而是通過檢測技術來發現系統中企圖或已經違背安全策略的行為。
- 發現受保護系統中的入侵行為或異常行為。
- 檢驗安全保護措施的有效性。
- 分析受保護系統所面臨的威脅。
- 有利于阻止安全事件擴大,及時報警觸發網絡安全應急響應。
- 可以為網絡安全策略的制定提供重要指導。
- 報警信息可用作網絡犯罪取證。
入侵檢測系統的主要功能
- 監視并分析用戶和系統的活動,查找非法用戶和合法用戶的越權操作;
- 檢測系統配置的正確性和安全漏洞,并提示管理員修補漏洞;
- 對用戶的非正常活動進行統計分析,發現入侵行為的規律;
- 檢查系統程序和數據的一致性與正確性,如計算和比較文件系統的校驗和;
- 能夠實時對檢測到的入侵行為作出反應;
- 操作系統的審計跟蹤管理。
入侵檢測系統的必需要素:
- 目標系統里需要保護的資源。例如:網絡服務,用戶賬號,系統核心等;
- 標記和這些資源相關的“正常”的和“合法”的行為的模型;
- 比較已經建立的模型和收集到的行為之.間差別的技術。那些和“正常"行為不同的行為則認為是“入侵”。
入侵檢測與防護的技術
- 基于誤用的入侵檢測技術
- 基于異常的入侵檢測技術
- 其他技術(基于規范的檢測方法; 基于生物免疫的檢測方法;基于攻擊誘騙的檢測方法;基于入侵報警的關聯檢測方法; 基于沙箱動態分析的檢測方法;基于大數據分析的檢測方法)
基于誤用的入侵檢測技術
誤用入侵檢測是指利用已知系統和應用軟件的弱點攻擊模式來檢測入侵。
- 誤用入侵檢測通常稱為基于特征的入侵檢測方法,是指根據已知的入侵模式檢測入侵行為。
- 攻擊者常常利用系統和應用軟件中的漏洞技術進行攻擊,而這些基于漏洞的攻擊方法具有某種特征模式。
- 誤用入侵檢測依賴于攻擊模式庫
基于誤用的入侵檢測技術分類
- 基于條件概率的誤用檢測方法
- 基于狀態遷移的誤用檢測方法
- 基于鍵盤監控的誤用檢測方法(別名、不能夠檢測惡意程序的自動攻擊)
- 基于規則的誤用檢測方法 ( Snort )
誤用檢測的優點和缺點
優點:
- 誤用檢測具有很強的可分割性、獨立性,可縮小模式數據庫規模
- 具有很強的針對性,對已知的入侵方法檢測效率很高
- 有能力提供模糊入侵檢測引擎
缺點:
- 可測量性和性能都與模式數據庫的大小及體系結構有關
- 可擴展性差
- 通常不具備自學習能力,對新攻擊的檢測分析必須補充模式數據庫
- 攻擊行為難以模式化
基于異常的入侵檢測技術
異常入侵檢測指能夠根據異常行為和使用計算機資源情況檢測出來的入侵。
異常檢測方法是指通過計算機或網絡資源統計分析,建立系統正常行為的“軌跡”,定義一組系統正常情況的數值,然后將系統運行時的數值與所定義的“正常”情況相比較,得出是否有被攻擊的跡象
注意四類行為
- 行為是入侵行為,但不表現異常;
- 行為不是入侵行為,卻表現異常;
- 行為既不是入侵行為,也不表現異常:
- 行為是入侵行為,且表現異常。
基于異常的入侵檢測技術分類
- 基于統計的異常檢測方法
- 基于模式預測的異常檢測方法
- 基于文本分類的異常檢測方法
- 基于貝葉斯推理的異常檢測方法
異常檢測的優點和缺點
優點:
- 符合數據的異常變化理論,適合事物的發展規律
- 檢查算法比較普適化,對變量的跟蹤不需要大量的內存
- 有能力檢測與響應某些新的攻擊
缺點:
- 數據假設可能不合理,加權算法在統計意義上可能不準確
- 對突發性正常事件容易引起誤判斷
- 對長期、穩定的攻擊方法的靈敏度低
學習參考資料:
信息安全工程師教程(第二版)
建群網培信息安全工程師系列視頻教程
信息安全工程師5天修煉
總結
以上是生活随笔為你收集整理的入侵检测与防护概述入侵检测与防护概述教案的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 中国大陆公民境外赌博违法吗?
- 下一篇: 我国有14个陆上邻国,6个海上邻国,是世