2011年度福建高考数学答案〔理科〕.pptVIP

第14章 入侵检测技术 对付网络入侵，只有防火墙是不够的。 防火墙只是试图抵挡网络入侵者，很难去发现入侵的企图和成功的入侵。 这就需要一种新的技术—入侵检测技术。 入侵检测技术能发现网络入侵者的入侵行为和入侵企图，及时向用户发出警报，将入侵消灭在成功之前。 Web信息系统的登录日志, 成功和不成功的登录都包括在日志信息里. 通过分析不成功的原因作出判断. 14.1 入侵检测系统概述 安全技术有：身份认证与识别、访问控制机制、加密技术、防火墙技术等。 这些技术都把注意力集中在系统的自身加固和防护上，属于静态的安全防御技术，对于网络环境下日新月异的攻击手段缺乏主动的反应。 自适应网络安全技术（动态安全技术）和动态安全模型应运而生。 入侵检测作为动态安全技术的核心技术之一，是防火墙的合理补充. 入侵检测帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性，是安全防御体系的一个重要组成部分。 入侵检测（Intrusion Detection），顾名思义，即是发觉入侵行为。 它在计算机网络或计算机系统中的若干关键点收集信息，通过对这些信息的分析来发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System，简称IDS）。 入侵检测系统需要更多的智能，它必须能将得到的数据进行分析，并得出有用的结果。 早期的IDS模型设计用来监控单一服务器，是基于主机的入侵检测系统；近期的更多模型则集中用于监控通过网络互联的多个服务器。 IDS缺陷 IDS系统通过查找任何异常的通信发挥作用。当检测到异常的通信时，这种行动将被记录下来并且向管理员发出警报。 但存在误报 在过去的几年里，IDS系统已经有了很大的进步。目前，IDS系统的工作方式更像是一种杀毒软件。 IDS系统包含一个名为攻击签名的数据库。这个系统不断地把入网的通信与数据库中的信息进行比较。 如果检测到攻击行动，IDS系统就发出这个攻击的报告。 IPS与IDS类似，但是，IPS在设计上解决了IDS的一些缺陷。 入侵防御系统 “IPS（Intrusion Prevention System , 入侵防御系统）位于防火墙和网络设备之间。 这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。 IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。 IPS检测攻击的方法也与IDS不同。目前有很多种IPS系统，它们使用的技术都不相同。 但是，一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。 如果你要购买有效的安全设备，如果你使用IPS而不是使用IDS，你的网络通常会更安全。” 14.1 入侵检测系统概述 入侵检测系统的任务和作用是： (1)监视、分析用户及系统活动； (2)对系统弱点的审计； (3)识别和反应已知进攻的活动模式并向相关人士报警； (4)异常行为模式的统计分析； (5)评估重要系统和数据文件的完整性； (6)操作系统的审计跟踪管理，识别用户违反安全策略的行为。 入侵检测系统有两个指标。 一是漏报率，指攻击事件没有被IDS检测到，与其相对的是检出率； 二是误报率，指把正常事件识别为攻击并报警。 误报率与检出率成正比例关系。 14.2 入侵检测系统结构 14.2.1 入侵检测系统的CIDF模型 CIDF模型是由CIDF（Common Intrusion Detection Framework）工作组提出的。 CIDF专门从事对入侵检测系统（IDS）进行标准化的研究机构。 它主要研究的是入侵检测系统的通用结构、入侵检测系统各组件间的通信接口问题、通用入侵描述语言（Common Intrusion Specification Language，CISL）以及不同入侵检测系统间通信问题等关于入侵检测的规范化问题。 14.2 入侵检测系统结构 14.2.1 入侵检测系统的CIDF模型 IETF的入侵检测系统模型 14.2.2 Denning的通用入侵检测系统模型 14.3 入侵检测系统类型 14.3.1 按数据来源的分类 由于入侵检测是个典型的数据处理过程，因而数据采集是其首当其冲的第一步。 同时，针对不同的数据类型，所采用的分析机理也是不一样的。 根据入侵检测系统输入数据的来源来看，它可分为：基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统。 1.基于主机的(Host-Based)入侵检测系统 基于主机的入侵检测系统(HIDS)通常