太原理工大学：《计算机网络安全技术与应用》PPT讲义课件_第6章 入侵检测系统

网络安金 NETWORK SECURIY 第六章 入检测系统

第六章 入侵检测系统

第六章入检测系统 网络安金 NETWORK SECURIY 61入侵检测原理与结构 61.1入侵检测发展历史 612入侵检测原理与系统结构 613入侵检测人类方法 6.1.4入侵检测主要性能指标 615入侵检测系统部署 62入侵检测审计数据源 621审计数据源 622审计数据源质量分析 623常用审计数据源采集工具

6.1 入侵检测原理与结构 6.1.1 入侵检测发展历史 6.1.2 入侵检测原理与系统结构 6.1.3 入侵检测人类方法 6.1.4 入侵检测主要性能指标 6.1.5 入侵检测系统部署 6.2 入侵检测审计数据源 6.2.1 审计数据源 6.2.2 审计数据源质量分析 6.2.3 常用审计数据源采集工具 第六章 入侵检测系统

网络安金 NETWORK SECURIY 63主机系统调用入侵检测 631系统调用跟踪概念 632前看系统调用对模型 633每局序列匹配模型 634短序列频度分布向量模型 635数据挖掘分类规则模型 636隐含马尔科夫模型 637支持向量机模型

• 6.3主机系统调用入侵检测 • 6.3.1 系统调用跟踪概念 • 6.3.2 前看系统调用对模型 • 6.3.3 每局序列匹配模型 • 6.3.4 短序列频度分布向量模型 • 6.3.5 数据挖掘分类规则模型 • 6.3.6 隐含马尔科夫模型 • 6.3.7 支持向量机模型

网络安金 NETWORK SECURIY 64网络连接记录入侵检测 64.1网络数据报协议解协 64.2连接记录属性选择 65 Snort主要特点 652 Snort系统组成 653Snor检测规则 66本章知识点小结

• 6.4 网络连接记录入侵检测 • 6.4.1 网络数据报协议解协 • 6.4.2连接记录属性选择 • 6.5 Snort 主要特点 • 6.5.2 Snort 系统组成 • 6.5.3 Snort检测规则 • 6.6 本章知识点小结 •

网络安金 NETWORK SECURIY 传统的安全防御机制主要通过信息加密、身份认证、访问 控制、安全路由、防火墙和虚拟专用网等安全措施来保护 计算机系统及网络基础设施。入侵者一旦利用脆弱程序或 系统漏洞绕过这些安全措施,就可以获得未经授权的资源 访问,从而导致系统的巨大损失或完全崩溃。 网络除了要采取安全防御措施,还应该采取积极主动的入 侵检测与响应措施。 入侵检测技术是近年发展起来的用于检测任何损害或企图 损害系统保密性、完整性或可用性行为的一种新型安全防 范技术

• 传统的安全防御机制主要通过信息加密、身份认证、访问 控制、安全路由、防火墙和虚拟专用网等安全措施来保护 计算机系统及网络基础设施。入侵者一旦利用脆弱程序或 系统漏洞绕过这些安全措施，就可以获得未经授权的资源 访问，从而导致系统的巨大损失或完全崩溃。 • 网络除了要采取安全防御措施，还应该采取积极主动的入 侵检测与响应措施。 • 入侵检测技术是近年发展起来的用于检测任何损害或企图 损害系统保密性、完整性或可用性行为的一种新型安全防 范技术

61入设检测原理与结构 网络安金 NETWORK SECURIY 入侵是指系统发生了违反安全策略的事件,包括 对系统资源的非法访问、恶意攻击、探测系统漏 洞和攻击准备等对网络造成危害的各种行为。 入侵检测作为一种积极主动的网络安全防御技术, 通过监视系统的运行状态发现外部攻击、内部攻 击和各种越权操作等威胁,并在网络受到危害之 前拦截和阻断危害行为

6.1 入侵检测原理与结构 • 入侵是指系统发生了违反安全策略的事件，包括 对系统资源的非法访问、恶意攻击、探测系统漏 洞和攻击准备等对网络造成危害的各种行为。 • 入侵检测作为一种积极主动的网络安全防御技术， 通过监视系统的运行状态发现外部攻击、内部攻 击和各种越权操作等威胁，并在网络受到危害之 前拦截和阻断危害行为

611入设拉测没昃历史 网络安金 NETWORK SECURIY 1,入侵检测的起源 2,入侵检测的迅速发展 3,商用入侵检测系统问世 4,入侵检测的标准化

6.1.1 入侵检测发展历史 1,入侵检测的起源 2,入侵检测的迅速发展 3,商用入侵检测系统问世 4,入侵检测的标准化

入检测的定源 网络安金 NETWORK SECURIY James p. Anderson早在1980年4月为美国空军所作的著名研究报告 “计机安全威胁监测与监视” computer security threat monitoring and surveillance ·1983年,斯坦福研究所SRI( Stanford research institute)的 Dorothy E. Denning和 Peter neumann承担了美国空海作战系统指挥 部资助的入侵检测系统研究课题。研究成果命名为入侵检测专家系统 IDES (intrusion detection expert system) 1985年,美国国防部所属的国家计算机安全中心正式颁布了网络安全标 准,既可信计算机系统评估准则 TCSEC (trusted computer system evalution criteria) 1987年2月, Dorothy E. Denning和 Peter neumann在总结几年研究 工作的基础上,正式发表了入侵检测模型著名论文( an intrusion detection mode)

• James P. Anderson早在1980年4月为美国空军所作的著名研究报告 “计机安全威胁监测与监视” （computer security threat monitoring and surveillance）。 • 1983年，斯坦福研究所SRI（Stanford research institute）的 Dorothy E. Denning和Peter Neumann承担了美国空海作战系统指挥 部资助的入侵检测系统研究课题。研究成果命名为入侵检测专家系统 IDES（intrusion detection expert system）。 • 1985年，美国国防部所属的国家计算机安全中心正式颁布了网络安全标 准，既可信计算机系统评估准则TCSEC （trusted computer system evalution criteria）。 • 1987年2月，Dorothy E. Denning和Peter Neumann在总结几年研究 工作的基础上，正式发表了入侵检测模型著名论文（an intrusion detection model）。 入侵检测的起源

入色检测的灏() 网络安金 NETWORK SECURIY 入侵检测的核心思想起源与安全审计机制。 审计是基于系统安全的角度来记录和分析 事件,通过风险评估制定可靠的安全策略 并提出有效的安全解决方案

• 入侵检测的核心思想起源与安全审计机制。 • 审计是基于系统安全的角度来记录和分析 事件，通过风险评估制定可靠的安全策略 并提出有效的安全解决方案 。 入侵检测的起源(续)

计算机安全崴胁监测与监视 网络安金 NETWORK SECURIY 在计算机系统遭受攻击时,审计机制应当给安全管理人 员提供足够的信息识别系统的异常行为。 将计算机系统的威胁划分为外部渗透、内部渗透和不法 行为三种类型。 James p. Anderson提出的利用安全审计监视入侵行为 的思想为开展入侵检测研究创建了思想方法,是公认的 入侵检测技术创始人

计算机安全威胁监测与监视 • 在计算机系统遭受攻击时，审计机制应当给安全管理人 员提供足够的信息识别系统的异常行为。 • 将计算机系统的威胁划分为外部渗透、内部渗透和不法 行为三种类型。 • James P. Anderson提出的利用安全审计监视入侵行为 的思想为开展入侵检测研究创建了思想方法，是公认的 入侵检测技术创始人