入侵检测技术第2章.ppt
单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式2.1入侵的定义2.2什么是入侵检测2.3入侵检测与P2DR模型第2章入侵检测的相关概念通常,计算机安全的3个基本目标是机密性、完整性和可用性。安全的计算机系统应该实现上述3个目标,即保护自身的信息和资源不被非授权访问、修改和拒绝服务攻击。安全策略用于将抽象的安全目标和概念映射为现实世界中的具体安全规则,通常定义为一组用于保护系统计算资源和信息资源的目标、过程和管理规则的集合。安全策略建立在所期望系统运行方式的基础上,并将这些期望值完整地记录下来,用于定义系统内所有可接受的操作类型。2.1入侵的定义任何潜在的危害系统安全状况的事件和情况都可称为“威胁”。Anderson在其1980年的技术报告中,建立了关于威胁的早期模型,并按照威胁的来源,分为如下3类。外部入侵者:系统的非授权用户。内部入侵者:超越合法权限的系统授权用户。其中,又可分为“伪装者”和“秘密活动者”。违法者:在计算机系统上执行非法活动的合法用户。在入侵检测中,术语“入侵”(intrusion)表示系统内部发生的任何违反安全策略的事件,其中包括了上面Anderson模型中提到的所有威胁类型,同时还包括如下的威胁类型:恶意程序的威胁,例如病毒、特洛伊木马程序、恶意Java或ActiveX程序等;探测和扫描系统配置信息和安全漏洞,为未来攻击进行准备工作的活动。美国国家安全通信委员会(NSTAC)下属的入侵检测小组(IDSG)在1997年给出的关于“入侵”的定义是:入侵是对信息系统的非授权访问以及(或者)未经许可在信息系统中进行的操作。美国国家安全通信委员会下属的入侵检测小组在1997年给出的关于“入侵检测”的定义如下:入侵检测是对企图入侵、正在进行的入侵或者已经发生的入侵进行识别的过程。01022.2什么是入侵检测图2-1通用入侵检测系统模型010203040506图2-1所示的通用入侵检测系统模型,主要由以下几大部分组成。数据收集器(又可称为探测器):主要负责收集数据。检测器(又可称为分析器或检测引擎):负责分析和检测入侵的任务,并发出警报信号。知识库:提供必要的数据信息支持。控制器:根据警报信号,人工或自动做出反应动作。另外,绝大多数的入侵检测系统都会包含一个用户接口组件,用于观察系统的运行状态和输出信号,并对系统行为进行控制。单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式*