2022计算机网络安全第五章入侵检测技术课件精选ppt.ppt

"2022计算机网络安全第五章入侵检测技术课件精选ppt" 本资源主要讲解了入侵检测技术的概述、技术实现、分布式入侵检测、入侵检测系统的标准、入侵检测系统示例等内容。入侵检测技术是指检测任何损害或企图损害系统的保密性、完整性或可用性的网络安全技术。它通过监视受保护系统的状态和活动，采用误用检测或异常检测的方式，发现非授权的或恶意的系统及网络行为，为防范入侵行为提供有效的手段。 入侵检测技术的发展可以追溯到1980年，James P. Anderson首先提出了入侵检测的概念。1987年，Dorothy Denning提出了入侵检测系统（IDS）的抽象模型，将入侵检测作为一种计算机系统安全防御措施的概念。1988年，Teresa Lunt等人进一步改进了Denning提出的入侵检测模型，并创建了IDES（Intrusion Detection Expert System），该系统用于检测单一主机的入侵尝试。1990年，Heberlein等人提出了基于网络的入侵检测——网络安全监视器（NSM）。1991年，NADIR（Network Anomaly Detection and Intrusion Reporter）与DIDS（Distribute Intrusion Detection System）提出了通过收集和合并处理来自多个主机的审计信息可以检测出一系列针对主机的协同攻击。 在1994年，Mark Crosbie和Gene Spafford建议使用自治代理（autonomous agents）以提高IDS的可伸缩性、可维护性、效率和容错性。1996年，GrIDS（Graph-based Intrusion Detection System）的设计和实现，能够方便地检测大规模自动或协同方式的网络攻击。近年来，入侵检测技术研究的主要创新包括Forrest等将免疫学原理运用于分布式入侵检测领域；Ross Anderson和Abida Khattak将信息检索技术引进入侵检测；以及采用状态转换分析、数据挖掘和遗传算法等进行误用和异常检测。 入侵检测系统是执行入侵检测任务的硬件或软件产品。入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法。其应用前提是入侵行为和合法行为是可区分的，也即可以通过提取行为的模式特征来判断该行为的性质。一般地，入侵检测系统需要解决两个问题：如何充分并可靠地提取描述行为特征的数据；如何根据特征数据，高效并准确地判定行为的性质。 入侵检测系统的结构通常包括事件提取、入侵分析、入侵响应和远程管理四大部分，另外还可能结合安全知识库、数据存储等功能模块，提供更为完善的安全检测及数据分析功能。入侵检测的思想源于传统的系统审计，但拓宽了传统审计的概念，它以近乎不间断的方式进行安全检测，从而可形成一个连续的检测过程。 入侵检测系统的分类可以按照不同的标准进行，包括按照数据源、检测理论、检测时效等进行分类。按照数据源分类，入侵检测系统可以分为基于网络流量的入侵检测、基于主机日志的入侵检测、基于系统调用日志的入侵检测等。按照检测理论分类，入侵检测系统可以分为基于规则的入侵检测、基于异常的入侵检测、基于机器学习的入侵检测等。按照检测时效分类，入侵检测系统可以分为实时入侵检测、近实时入侵检测、离线入侵检测等。 入侵检测技术是计算机网络安全中的一个重要组成部分，它可以帮助防范入侵行为，保护计算机系统和网络的安全。