入侵检测技术 //TODO

入侵检测技术 //TODO

整理from:  infosec.pku.edu.cn 
未完
--------------------------------------------

入侵检测系统(
IDSInstruction Detection System):进行入侵检测的软件和硬件的组合。

入侵检测的起源和分类

审计技术:产生、记录并检查按时间顺序排列的系统事件记录的过程。

审计的目标:

­            确定和保持系统活动中每个人的责任

­            重建事件

­            评估损失

­            检测系统的问题区

­            提供有效的灾难恢复

­            组织系统的不正当使用

审计的前提:有一个支配审计的规则集

 

规则集:通常以安全策略的形式明确表述。

精简审计,风险和威胁分类。

实时入侵检测系统,提出反常活动与计算机不正当使用之间的相关性。

基于主机的入侵检测

基于主机和基于网络入侵检测的集成

 

Computer Security Threat Monitoring and Surveillance, James P. Anderson

《计算机安全威胁监控与监视》

­            精简审计的目标在于从安全审计跟踪数据中消除冗余或无关的记录。

­            计算机系统威胁分类:外部渗透、内部渗透和不法行为。

­            提出了利用审计数据跟踪监视入侵活动的思想。

 

NSM(Network Security Minitor)

­            第一次将网络流作为审计数据的来源,因而可以在不将审计数据转换成统一格式的情况下监控异形主机

­            两大阵营正式成立:基于网络的IDS和基于主机的IDS

 

DIDS //???

最早试图把基于主机和网络监视的方法集成在一起。

 

IDS基本结构

三个功能部件:信息收集、信息分析、信息处理。

 

1.信息收集:

系统或网络的日志文件。日志中记录了行为类型及其信息。

如“用户活动”:

­            信息:登陆,用户ID改变,用户对文件的访问,授权,认证信息等。

­            不期望的行为:重复登陆失败,登录到不期望的位置,非授权的企图访问重要文件等。

 

2.信息分析:

模式匹配(误用检测)

­            将收集到的信息与已知网络入侵和系统误用模式的数据库进行比较,从而发现违背安全策略的行为。

­            一般一个进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。

统计分析(异常检测)

­            首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数、延时等)。

­            测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常范围之外时,就认为有入侵发生。

完整性分析(往往用于事后分析)

­            主要关注某个文件或对象是否被更改。经常包括文件和目录的内容和属性,它在发现被更改的、被安装木马的应用程序方面特别有效。

 

3.信息处理

 

入侵检测的分类

你可能感兴趣的:(入侵检测技术 //TODO)