第6章 入侵检测系统.ppt

入侵检测原理与结构 入侵检测发展历史 入侵检测原理与系统结构 入侵检测人类方法 入侵检测主要性能指标 入侵检测审计数据源 审计数据源 审计数据源质量分析 常用审计数据源采集工具第六章入侵检测系统第六章入侵检测系统?? 系统调用跟踪概念? 前看系统调用对模型? 每局序列匹配模型? 短序列频度分布向量模型? 数据挖掘分类规则模型? 隐含马尔科夫模型? 支持向量机模型? 网络连接记录入侵检测? 网络数据报协议解协? ? Snort 主要特点? Snort 系统组成? Snort检测规则? 本章知识点小结??传统的安全防御机制主要通过信息加密、身份认证、访问控制、安全路由、防火墙和虚拟专用网等安全措施来保护计算机系统及网络基础设施。入侵者一旦利用脆弱程序或系统漏洞绕过这些安全措施,就可以获得未经授权的资源访问,从而导致系统的巨大损失或完全崩溃。?网络除了要采取安全防御措施,还应该采取积极主动的入侵检测与响应措施。?入侵检测技术是近年发展起来的用于检测任何损害或企图损害系统保密性、完整性或可用性行为的一种新型安全防范技术。?入侵是指系统发生了违反安全策略的事件,包括对系统资源的非法访问、恶意攻击、探测系统漏洞和攻击准备等对网络造成危害的各种行为。?入侵检测作为一种积极主动的网络安全防御技术,通过监视系统的运行状态发现外部攻击、内部攻击和各种越权操作等威胁,并在网络受到危害之前拦截和阻断危害行为。,入侵检测的起源2,入侵检测的迅速发展3,商用入侵检测系统问世4,入侵检测的标准化?“计机安全威胁监测与监视”(computersecuritythreatmonitoringandsurveillance)。?1983年,斯坦福研究所SRI(Stanfordresearchinstitute)。研究成果命名为入侵检测专家系统IDES(intrusiondetectionexpertsystem)。?1985年,美国国防部所属的国家计算机安全中心正式颁布了网络安全标准,既可信计算机系统评估准则TCSEC(putersystemevalutioncriteria)。?1987年2月,,正式发表了入侵检测模型著名论文(anintrusion detectionmodel)。入侵检测的起源入侵检测的起源?入侵检测的核心思想起源与安全审计机制。?审计是基于系统安全的角度来记录和分析事件,通过风险评估制定可靠的安全策略并提出有效的安全解决方案。入侵检测的起源(续)入侵检测的起源(续)计算机安全威胁监测与监视计算机安全威胁监测与监视?在计算机系统遭受攻击时,审计机制应当给安全管理人员提供足够的信息识别系统的异常行为。?将计算机系统的威胁划分为外部渗透、内部渗透和不法行为三种类型。?,是公认的入侵检测技术创始人。