《网络安全（第7讲）》.pdfVIP

上海交通大学网络教育学院 网络安全 主讲：马进 （2006年4月9 日，第七讲） 5 第五章入侵检测技术 5 5.1 概述 5.2 入侵检测技术 5.3 入侵检测体系 5.4 入侵检测发展 5.1 概述 5.1 1 入侵检测系统及起源 2 IDS基本结构 3 入侵检测的分类 4 基本术语 IDS存在与发展的必然性 网络安全本身的复杂性，被动式的防御方式显得力不从心。 有关防火墙：网络边界的设备；自身可以被攻破；对某些攻 击保护很弱；并非所有威胁均来自防火墙外部。 入侵很容易：入侵教程随处可见；各种工具唾手可得 入侵检测系统（IDS） 入侵检测（Intrusion Detection）的定义：通过从计算机 网络或计算机系统中的若干关键点收集信息并对其进行分 析，从中发现网络或系统中是否有违反安全策略的行为和遭 到袭击的迹象的一种安全技术。 入侵检测系统（IDS）：进行入侵检测的软件与硬件的组 合。 入侵检测的起源（1） 审计技术：产生、记录并检查按时间顺序排列的系统事 件记录的过程。 1980年，James P. Anderson的《计算机安全威胁监控与 监视》（《Computer Security Threat Monitoring and Surveillance》） － 第一次详细阐述了入侵检测的概念 － 计算机系统威胁分类: 外部渗透、内部渗透和不法行为 － 提出了利用审计跟踪数据监视入侵活动的思想 － 这份报告被公认为是入侵检测的开山之作 入侵检测的起源（2） 1984年到1986年，乔治敦大学的Dorothy Denning和 SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模 型——IDES（入侵检测专家系统） 1990年，加州大学戴维斯分校的L. T. Heberlein等人开发 出了NSM（Network Security Monitor） － 该系统第一次直接将网络流作为审计数据来源，因而可以 在不将审计数据转换成统一格式的情况下监控异种主机 － 入侵检测系统发展史翻开了新的一页，两大阵营正式形 成：基于网络的IDS和基于主机的IDS 入侵检测的起源（3） 1988年之后，美国开展对分布式入侵检测系统（DIDS）的 研究，将基于主机和基于网络的检测方法集成到一起。 DIDS是分布式入侵检测系统历史上的一个里程碑式的产 品。 从20世纪90年代到现在，入侵检测系统的研发呈现出百家 争鸣的繁荣局面，并在智能化和分布式两个方向取得了长 足的进展。 IDS基本结构 IDS通常包括以下功能部件：P182 事件产生器 事件分析器 事件数据库 响应单元 事件产生器（1） 负责原始数据采集，并将收集到的原始数据转换为事 件，向系统的其他部分提供此事件。 收集内容：系统、网络数据及用户活动的状态和行为 需要在计算机网络系统中的若干不同关键点（不同网段 和不同主机）收集信息 － 系统或网络的日志文件 － 网络流量 － 系统目录和文件的异常变化 － 程序执行中的异常行为 事件产