第四章入侵检测流程课件
53页1、第四章 入侵检测流程,4.1 入侵检测的过程,信息收集:从入侵检测系统的信息源中收集信息,内容包括系统、网络、数据以及用户活动的状态和行为等 信息分析:是入侵检测过程的核心环节 告警与响应:IDS根据攻击或事件的类型或性质,通知管理员或采取一定措施阻止入侵继续,信息收集,入侵检测利用的信息一般来自四个方面: 1.系统和网络日志 (重复登录失败,登录到不期望位置等),所有重要系统都应定期做日志 2.目录和文件中的不期望的改变 (修改,创建,删除等),特别是正常情况下限制访问的 3.程序执行中的不期望行为(一个进程出现了不期望的行为可能表明攻击者正在入侵系统 )一个进程的执行行为由它运行时执行的操作来表现,操作执行的方式不同,它利用的系统资源也就不同 4.物理形式的入侵信息.一是未授权的对网络硬件连接;二是对物理资源的未授权访问,信息分析,对上述四类信息收集到的有关系统、网络、数据及用户活动的状态和行为等信息,一般通过三种技术手段进行分析 1.模式匹配:模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为 2.统计分析:首先给系统对象创建一个统
2、计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生 3.完整性分析:主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性,它在发现被更改的、被特洛伊化的应用程序方面特别有效,告警与响应,分为主动响应和被动响应 被动响应型系统只会发出告警通知,将发生的不正常情况报告给管理员,本身并不试图降低所造成的破坏,更不会主动地对攻击者采取反击行动 主动响应系统可以分为对被攻击系统实施控制和对攻击系统实施控制的系统 对被攻击系统实施控制(防护):它通过调整被攻击系统的状态,阻止或减轻攻击影响,例如断开网络连接、增加安全日志、杀死可疑进程等 对攻击系统实施控制(反击):这种系统多被军方所重视和采用,4.2 入侵检测系统的数据源,基于主机的数据源 基于网络的数据源 应用程序日志文件 其他IDS的报警信息,基于主机的数据源,审计数据是收集一个给定机器用户活动信息的唯一方法 系统运行状态信息:通过系统命令来获取系统运行情况(如ps, pstat, vmstat, getrlimi
3、t等) 系统记账信息:一般只是作为审计数据的一个补充 系统日志:指syslog守护程序提供的信息 C2级安全性审计信息:记录系统中所有潜在的安全相关事件的信息,记账系统的优缺点,记账系统处理开销小,格式一致,能与OS很好的集成 用户填充存放记账文件分区,使其使用率达到90%以上,记账会停止 记账系统可打开或关闭,但不能只对指定用户记账 记账信息缺乏精确的时间戳 记账系统缺乏精确的命令识别 记账系统缺乏系统守护程序的活动记录 获取信息的时间太迟,C2级安全性审计信息的优点,优点: 1、可以对用户的登录身份、真实身份、有效身份及真实有效的所属组的标识进行强验证 2、可以很容易地通过配置审计系统实现审计事件的分类 3、审计系统遇到错误状态时机器会关闭 4、可获取详细的参数化信息 缺点 1、需要详细监控时会消耗大量系统资源 2、通过填充审计系统的磁盘空间可造成拒绝服务攻击 3、记录格式和系统接口存在异构性,3.4 基于网络的数据源,优势: 1、采用网络监听方式获取信息,受保护系统性能影响很小 2、对网络中的用户是透明的,降低了监视器本身遭受攻击的可能性 3、相对基于主机的IDS更容易检测到某些
4、基于网络协议的攻击方法 4、可针对网段的数据进行入侵分析,与受保护主机的操作系统无关,SNMP信息,简单网络管理协议:指一系列网络管理规范的集合,包括协议本身,数据结构的定义和一些相关概念 SNMP中的管理操作: 1、get操作用来提取特定的网络管理信息 2、get-next操作通过遍历活动来提供强大的管理信息提取能力 3、set操作用来对管理信息进行控制(修改、设置) 4、trap操作用来报告重要的事件,网络通信包,网络通信包可以解决的相关问题 1、能通过分析网络业务检测出网络攻击 2、不存在审计记录的格式异构性问题 3、不会影响整个网络的处理性能 4、可通过签名分析报文载荷内容来检测攻击 弱点 1、当检测出入侵时,很难确定入侵者 2、加密技术的应用使得不可能对报文载荷进行分析,从而失去大量有用的信息,应用程序日志文件,优势 1、精确性:不会造成入侵检测系统对安全信息的理解偏差 2、完整性:日志文件能包含所有相关信息 3、性能:信息收集机制的开销小于安全审计 缺点 1、只有系统能够正常写日志文件才能检测出攻击 2、针对系统软件低层协议的攻击不利用应用程序代码,则攻击情况在日志中看不出
《第四章入侵检测流程课件》由会员我***分享,可在线阅读,更多相关《第四章入侵检测流程课件》请在金锄头文库上搜索。
2020届中考英语备考复习-作文课件
2019年中考英语复习-专题十五-交际运用(试卷部分)课件
2019届二轮复习-高中英语-情态动词和虚拟语气课件
2019届一轮复习苏教版物质的跨膜运输课件
2019年北师大版英语单元复习课件::Unit17Laughter课件北师大版选修6
2021届新中考物理冲刺备考复习-力-弹力-重力课件
2019届一轮复习人教版种群的特征和数量变化课件
2020年高考地理一轮复习--等高线地形图-课件
2019版高考英语一轮复习-Unit-1-Living-well课件
2019届一轮复习人教版孟德尔的遗传定律——基因分离定律课件
2019届高三第二轮复习专题二万有引力定律及其应用课件
2020最新部编版语文五年级上册23-鸟的天堂课件含课后练习
2020版高考(浙江)一轮复习:第7讲-细胞呼吸课件
2020年新教材高中英语UNIT4HISTORYANDTRADITIONSSectionⅢDiscoveringUsefulStructures课件必修第二册
2019届高考历史二轮复习阶段三专题十三罗斯福新政与当代资本主义的新变化课件2
2019版高考生物二轮复习-专题三-细胞的生命历程-考点9-细胞分裂过程图像和坐标曲线的识别课件
(通史版)2021版高考历史一轮复习第4部分高考讲座(三)2高考非选择题(12分开放探究题)规范答题讲练课件
2019届高三地理复习第五讲--《区际联系与区域协调发展》课件
2021人教部编版历史九年级上册习题课件:第18课美国的独立
2020学年新教材高中英语Unit1FoodforthoughtPeriodTwoStartingout课件
2024-05-22 15页
2024-05-22 29页
2024-05-22 21页
2024-05-22 14页
2024-05-22 27页
2024-05-22 18页
2024-05-22 22页
2024-05-22 27页
2024-05-22 23页
2024-05-22 22页