02入侵檢測基礎知識

2022-12-17 03:39:03 字數 2393 閱讀 1932

第2週第1-2課時

2023年9月5日

課題名稱:入侵檢測簡介2課的型別:授新課

教學目標:學習入侵檢測的相關基本概念。教學重點:入侵檢測的相關基本概念教學難點:入侵檢測的相關基本概念課時安排:2課時

教學方法:多**原理分析、講授教學過程:一、基本概念

1.系統結構――檢測系統與被檢測系統的分離

為保證審計資訊的可信度,要求檢測系統與被檢測系統之間實行分離,考慮因素有三個:(1)即使者成功地侵入了受保護系統,也無法通過刪除審計記錄的方法來使入侵檢測系統

失效;(2)即使攻擊都侵入了受保護系統,也無法通過修改入侵探測器的檢測結果來隱藏攻擊行

為;(3)減少或避免受保護系統由於執行入侵檢測任務而造成的效能下降。2.監視策略

(1)基於主機部署在許可權被授予和跟蹤的主機上

模型如下:

系統配置

審計記錄輸出(報警、緊急措施等)

基於主機日誌的檢測

(2)基於網路部署在防火牆或閘道器之後

捕獲資料報乙太網internet

基於網路資料報的檢測

網路工程系內部教學檔案12023年下半年

入侵檢測系統

目標系統

日誌檔案

防火牆工作站

入侵檢測系統

工作站2

第2週第1-2課時

2023年9月5日

(3)基於核心從作業系統核心收集資料,作為檢測入侵或異常行為的根據。具有良好的

檢測效率和資料來源的可信度,如基於linux系統上的lids。(4)基於應用從執行的應用程式中收集資料。包括應用事件日誌和其他儲存於應用程式

內部的資料資訊。

(5)基於目標使用密碼雜湊hash演算法來檢測系統物件的更改,並將這種更改與系統的

安全策略進行對照,以判斷是否出現入侵或異常情況。3.檢測方法的型別

(1)基於行為的檢測(異常檢測)

指根據使用者的行為或資源使用狀況的正常程度來判斷是否入侵與系統相對無關,通用性強,可檢測未知的攻擊方法具體的方法包括概率統計方法,神經網路方法。

(2)基於知識的檢測(誤用檢測,違規檢測)

指運用已知攻擊方法,根據已定義好的入侵模式,通過判斷這些入侵模式是否出現來檢測。

對具體系統依賴性太強,系統移植性不好,維護工作量大,而且將具體入侵手段抽象成知識也很困難。

具體的方案包括專家系統、模型推理、狀態轉換分析

(3)混合型

檢測系統所分析的原始資料可分別來系統日誌和網路資料報。經常將誤用檢測用於網路資料報,將異常檢測用於系統日誌。實際系統中常將兩種方法互補使用

4.檢測的定時

(1)批處理實時檢測需要上用大量cpu資源,如採用實時分析的辦法分大大降低系統的

效率,另處當網路流量很大的時候,不能做到實時性的處理(2)實時處理批處理不能有效防範和響應5.檢測的目標

(1)追究責任(2)響應

二、功能模組

入侵檢測是監視計算機網路系統中系統安全策略行為的過程。資料來源提供用於系統監視的審計記錄流

分析引擎用於對審計資料進行分析,發現入侵或異常行為響應根據分析引擎的輸出結果,產生適當的反應

網路工程系內部教學檔案22023年下半年

第2週第1-2課時

2023年9月5日

三、系統要求

(1)可擴充套件性

所謂可擴充套件性,是指當問題的規模變大時,原來的解決方案是否能夠很快地適應新的環境,可以從時間和空間兩方面考慮這個問題。

(2)監測器的管理

一般的ids應用c/s體系結構,也有分布式的ids系統。

(3)對深入調查的支援

由於存在漏報與誤報,因此不可避免地有時需要人工的介入,這就需要ids能夠對這

樣的深入調查提供資料的支援。(4)系統負荷

ids占用30%的系統資源或造成網路效能明顯下降則認為系統不可接受有時降低系統開銷的措施與提高檢測的準確率相矛盾的。

(5)漏報和誤報100%

誤報率檢出率100%(6)使用者的參與程度

ids是一種不需要或者很少需要使用者參與的自動系統,還是系統管理員手中的一種工具?

(7)易用性

系統易用性包括以下幾點:

系統安裝是否簡單,是否需要特殊的硬體裝置或軟體環境,對目標系統有無特殊

要求;系統除錯是否方便,是否需要對目標系統進行結構上的修改;

系統的引數配置是否容易,針對檢測系統的分析規則、參考模型、執行引數的調

整是否提供方便的使用者介面;系統維護是否簡便,包括需要對入侵檢測系統結構本身進行調整,或對系統安全

策略進行修正時是否會耗費大量的時間和精力;系統執行過程中的報告資訊是否準確、清晰,是否具備良好的可讀性和可理解性;系統是否提供詳細、準確的說明文件。

網路工程系內部教學檔案32023年下半年

第2週第1-2課時

2023年9月5日

課堂總結

網路工程系內部教學檔案42023年下半年

無損檢測基礎知識

無損檢測 1,無損檢測有哪幾大類?各類方法包含那些內容?答 射線探傷法,超聲波探傷法,磁粉探傷法。射線探傷 radiographic testing 利用x射線或 射線在穿透被檢物各部分時強度衰減的不同,檢測被檢物的缺陷。若將受到不同程度吸收的射線投射到x射線膠片上 經顯影後可得到顯示物體厚度變化和...

質量檢測基礎知識一

一 判斷題。1 水利工程質量檢測員管理辦法 是由中國水利工程協會發布。對 2 申請質量檢測員資格考試者的年齡限制是小於65周歲。錯 3 保障人體健康,人身 財產安全的標準和法律 行政法規規定強制執行的標準是強制性標準。對 4 國家標準 行業標準分為強制性標準和非強制性標準。錯 5 取得乙級資質的檢測...

水利檢測員基礎知識

一 判斷題 1 水利工程質量檢測員管理辦法 是由中國水利工 2 申請質量檢測員資格考試者的年齡限制是小於65 3 保障人體健康,人身 財產安全的標準和法律 行 4 國家標準 行業標準分為強制性標準和非強制性標 5 取得乙級資質的檢測單位可以承擔各種堤防的質量 6 產品質量檢驗 認證須由各級質量行政主...