当前位置:首页 » 《随便一记》 » 正文

第10章 入侵检测技术原理与应用

1 人参与  2022年07月21日 13:53  分类 : 《随便一记》  评论

点击全文阅读


第10章 入侵检测技术原理与应用

10.1 入侵检测概述

10.1.1 入侵检测概念

入侵检测通过收集操作系统、应用程序、系统程序、网络包等信息发现系统中违背安全策略活危机系统安全的行为。IDS

10.1.2 入侵检测模型

CIDF模型:

事件产生器(Event generators)事件分析器响应单元事件数据库

10.1.3 入侵检测作用

发现受保护系统中的入侵行为或异常行为检验安全保护措施的有效性分析受保护系统所面临的威胁有利于组织安全事件扩大,及时报警出发网络安全应急响应可以为网络安全策略的制定提供重要指导报警信息可以用作网络犯罪取证

10.2 入侵检测技术

10.2.1 基于误用的入侵检测技术

基于特征的入侵检测方法,根据已知的入侵模式检测入侵行为。

基于条件概率的误用检测方法 全概率公式-知道原因推结果,条件概率

贝叶斯定理-已知结果-求原因的概率

假设完备,求假设A1…An完备,B,P(Ai)>0,P(B)>0求P(Ak∣B)=P(Ak∣B)=P(AK∣B)P(B)

令ES表示某个事件序列,发生入侵的先验概率为P(Intrusion)发生入侵时该事件序列ES出现的后验概率为P(ES∣Intrusion),该事件序列出现的概率为P(ES),则有:

P(Intrusion∣ES)=P(ES∣Intrusion)×P(Intrusion)P(ES)

通常网络安全员可以先给出先验概率P(Intrusion),对入侵报告进行数据统计处理可得P(ES∣¬Intrusion)和P(ES∣Intrusion),于是可以计算出:

P(ES)=[P(ES∣Intrusion)−P(ES∣¬Intrusion)]×P(Intrusion)+P(ES∣¬Intrusion)

因此,可以通过对事件序列的观摩推算出P(Intusion∣ES)。基于条件概率的误用检测方法是基于条件概率的一种通用方法。

基于状体迁移的误用检测方法

STAT、USTAT

基于键盘监控的误用检测方法

假设入侵行为对应特定的几件序列模式

基于规则的误用检测方法 Snort

基于规则的误用检测方法是将攻击行为或者入侵模式标识成一种规则,只要符合规则就认定他是一种入侵行为,

∑n→+∞n

条件概率

P(A) P(B)

Ω 样本空间中有A,B两个事件。P(B)>0 在B已经发生的条件下A发生的概率。A对B 的条件概率P(A|B)

P(A|B)=nABnB=nAB/nnB/n=P(AB)P(B)

P(A|B)=nABnB=nAB/nnB/n=P(AB)P(B)

10.2.2 基于异常的入侵检测技术

基于统计的异常检测方法基于模式预测的异常检测方法基于文本分类的异常检测方法基于贝叶斯推理的异常检测方法

10.2.3 其他

基于规范的检测方法基于生物免疫的检测方法基于攻击诱骗的检测方法基于入侵报警的关联检测方法基于沙箱动态分析的检测方法基于大数据分析的检测方法

10.3 入侵检测系统组成与分类

10.3.1 入侵检测系统组成

入侵检测系统主要由:数据采集模块、入侵分析引擎模块,应急处理模块,管理配置模块和相关的辅助模块。

IDS:HIDS、NIDS、DIDS

10.3.2 基于主机的入侵检测系统(HIDS)

主要入侵行为:

针对主机的端口或漏洞扫描重复失败的登入尝试远程口令破解主机系统的用户账号添加服务启动或停止系统重启动文件的完整性或许可权变化注册表修改重要系统启动文件变更程序的异常调用拒绝服务攻击

HIDS软件:

SWATCHTripwire网页防串改系统

10.3.3 基于网络的入侵检测系统(NIDS)

NIDS能够检测到如下行为: 同步风暴(SYN Flood)分布式拒绝服务攻击(DDos)网络扫描缓冲区溢出协议攻击流量异常非法网络访问

10.3.4 分布式入侵检测系统

基于主机的分布式入侵检测系统基于网络的分布式入侵检测系统

10.4 入侵检测系统主要产品与技术指标

10.4.1 入侵检测相关产品

主机入侵检测系统网络入侵检测系统统一威胁管理(UTM)高级持续威胁检测(APT)其他(Web IDS、数据库IDS、工控IDS等)

10.4.2 入侵检测相关指标

可靠性可用性可扩展性时效性准确性安全性

10.5 入侵检测系统应用

10.5.1 入侵检测应用场景类型

上网保护网站入侵检测与保护网络攻击阻断主机/终端恶意代码检测网络安全检测预警与应急处置网络安全等级保护

10.5.2 入侵检测系统部署方法

10.5.3 基于HIDS等主机威胁检测

单机应用分布式应用

10.5.4 基于NIDS的内网威胁检测

10.5.5 基于NIDS的网络边界威胁检测

10.5.6 网络安全态势感知应用参考

10.5.7 开源网络入侵检测系统

10.5.8 华为CIS网络安全智能系统应用


点击全文阅读


本文链接:http://zhangshiyu.com/post/43627.html

<< 上一篇 下一篇 >>

  • 评论(0)
  • 赞助本站

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

关于我们 | 我要投稿 | 免责申明

Copyright © 2020-2022 ZhangShiYu.com Rights Reserved.豫ICP备2022013469号-1