第1章入侵检测技术1.ppt
《第1章入侵检测技术1.ppt》由会员分享,可在线阅读,更多相关《第1章入侵检测技术1.ppt(15页珍藏版)》请在三一文库上搜索。
1、组长: 黄齐超 杨 光 罗 力 王昌益 吴 飞 朱日干 张云峰,入侵检测技术简介,总 目 录,第1章 入侵检测技术的历史 第2章 入侵检测的相关概念 第3章 入侵检测技术的分类 第4章 基于主机的入侵检测技术 第5章 基于网络的入侵检测技术 第6章 混合型的入侵检测技术 第7章 先进入侵检测技术 第8章 分布式的入侵检测架构 第9章 入侵检测系统的设计考虑 第10章 入侵检测的响应问题 第11章 相关的法律问题 第12章 未来需求与技术发展前景,第1章 入侵检测技术的历史,1.1 主机审计入侵检测的起点 1.2 入侵检测基本模型的建立 1.3 技术发展的历程,主机审计出现在入侵检测技术之前,其
2、定义为: 产生、记录并检查按照时间顺序排列的系统事件记录的过程。在早期的中央主机集中计算的环境之下,主机审计的主要目的是统计用户的上机时间,便于进行计费管理。不久,随着计算机的普及,审计的用途扩展到跟踪记录计算机系统的资源使用情况,经过进一步的发展,主机审计开始应用于追踪调查计算机系统中用户的不正当使用行为的目的。此时的主机审计,已经逐步开始引入了安全审计的概念。安全审计的主要需求来自于商业领域和军事、行政领域。,1.1 主机审计入侵检测的起点,20世纪70年代TCSEC(可信计算机系统评估准则)首次定义了计算机系统的安全等级评估标准,并且给出了满足各个安全等级的计算机系统所应满足的各方面的条
3、件。TCSEC准则规定,作为C2和C2等级以上的计算机系统必须包括审计机制,并给出满足要求的审计机制所应达到的诸多安全目标。在此之后,计算机安全问题得到了更多的注意和重视。 James-Anderson在1980年首次明确提出安全审计的目标,并强调应该对计算机审计机制做出若干修改,以便计算机安全人员能够方便地检查和分析审计数据。Anderson在报告中定义了3种类型的恶意用户。, 伪装者(masquerader): 此类用户试图绕过系统安全访问控制机制,利用合法用户的系统账户。 违法者(misfeasor): 在计算机系统上执行非法活动的合法用户。 秘密活动者(clandestined use
4、r): 此类用户在获取系统最高权限后,利用此种权限以一种审计机制难以发现的方式进行秘密活动,或者干脆关闭审计记录过程。 Anderson指出,可以通过观察在审计数据记录中的偏离历史正常行为模式的用户活动来检查和发现伪装者和一定程度上的违法者。Anderson对此问题的建议,实质上就是入侵检测中异常检测技术的基本假设和检测思路,为后来的入侵检测技术发展奠定了早期的思想基础。,1987年,Dorothy Denning发表了入侵检测领域内的经典论文入侵检测模型。这篇文献正式启动了入侵检测领域内的研究工作,被认为是入侵检测领域内的开创性成果。 Denning提出的统计分析模型在早期研发的入侵检测专家
5、系统(IDES)中得到较好的实现。IDES系统主要采纳了Anderson的技术报告中所给出的检测建议,但是,Denning的论文中还包括了其他检测模型。 Denning对入侵检测的基本模型给出了建议,如图1-1所示。,1.2 入侵检测基本模型的建立,图1-1 通用入侵检测模型,在图1-1所示的通用入侵检测模型中,事件生成器从给定的数据来源中,生成入侵检测事件,并分别送入到活动档案计算模块和规则库检测模块中。活动档案模块根据新生成的事件,自动更新系统行为的活动档案;规则库根据当前系统活动档案和当前事件的情况,发现异常活动情况,并可以按照一定的时间规则自动地删减规则库中的规则集合。 Denning
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 入侵 检测 技术
链接地址:https://www.31doc.com/p-2908429.html