第9章网络攻防 入侵检测詳解.pptVIP

3. 协议分析技术 充分利用了网络协议的高度有序性，并结合了高速数据包捕捉、协议分析和命令解析，来快速检测某个攻击特征是否存在。可以大大减少模式匹配的计算量，提高匹配的精确度、检测效率，有效地控制漏报率和误报率。 * * 9.6.2 常用的检测技术介绍 1. 简单模式匹配 2. 专家系统 3. 状态转移分析 4. 统计分析 5. 遗传算法 6. 人工神经网络 7. 数据挖掘 8. 协议分析和状态协议分析 1.简单模式匹配 最简单、通用的入侵检测方法，将搜集到的数据与入侵规则库进行逐一匹配，即遍历事件流是否存在己定义模式(类似于杀毒程序的特征匹配)，从而发现违背安全策略的行为。当观察事件与该规则匹配时就认定为人侵。其特点是原理简单、扩展性好、检测效率高，可以实时检测，但只能适用于比较简单的攻击方式，并且误报率高。随着网络传输速度的提高，目前急需解决的是快速匹配的问题。 * 2. 专家系统 专家系统是最早的误用检测技术，是针对有特征入侵行为。所谓的规则，即是知识。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构，条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。 * 统计分析 入侵检测的统计分析是异常检测技术，首先统计分析技术对每一个系统用户建立历史统计模式，并定期更新。检测系统维护一个由行为模式组成的统计知识库。系统根据用户的历史行为来决定当前的行为是否合法。 统计方法的最大优点是它可以学习用户的使用习惯,从而具有较高检出率与可用性。但是它的学习能力也给入侵者以机会通过逐步训练使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。 * * 9.6.3 入侵检测系统主流产品 1. Cisco公司的Cisco Secure IDS 2. ISS RealSecure 3.“冰之眼”网络入侵检测系统 4. 开源入侵检测系统Snort 1) 数据包解码器 2) 检测引擎 3） 日志/报警子系统 * 9.6.4 入侵检测技术发展趋势 入侵检测技术在不断地发展更新，近年来入侵检测技术沿着以下几个方向发展。 (1) 分布式入侵检测。 (2) 智能化入侵检测。 (3) 应用层入侵检测。 (4) 全面的安全防御方案。 * 9.7 本 章 小 结 随着Internet的迅速发展，网络与信息安全问题日益突出。网络犯罪、黑客攻击等现象时有发生，严重危及人们的正常工作。全球因网络安全问题带来的损失已高达数百亿美元。 本章主要介绍了常见的黑客攻击的方法和手段，并给出了相应的攻击防范措施，还介绍了入侵检测相关技术及其主流产品，主要是为了方便用户了解黑客攻击的流程及如何防范攻击，采取有效的防御措施。 * 3. 网络欺骗 网络欺骗指向攻击目标发送冒充其信任的主机的网络数据包，达到获取访问权或执行命令的攻击方式。具体的网络欺骗有： 1)IP欺骗 2)会话劫持 3)ARP欺骗 4)RIP(路由信息协议)路由欺骗 5)DNS欺骗攻击 * 1)IP欺骗 向目标主机发送非本机IP地址的数据包，分为两种：一种是伪造的ip地址不存在或不可达，用来迷惑目标系统的入侵检测系统；另一种着眼于目标主机和其他主机之间的信任关系。 IP欺骗原理： A和B之间的信任关系是基于IP址而建立起来的，那么假如能够冒充B的IP，就可以和A建立连接，而不需任何口令验证。 * 2)会话劫持 会话劫持就是结合了嗅探以及欺骗技术在内的攻击手段。例如，在一次正常的会话过程当中，攻击者作为第三方参与到其中，他可以在正常数据包中插入恶意数据，也可以在双方的会话当中进行简听，甚至可以是代替某一方主机接管会话。 会话劫持攻击分为两种类型：1）中间人攻击2）注射式攻击;并且还可以把会话劫持攻击分为两种形式：1）被动劫持，2）主动劫持；被动劫持实际上就是在后台监视双方会话的数据流，从中获得敏感数据；而主动劫持则是将会话当中的某一台主机“踢”下线，然后由攻击者取代并接管会话，这种攻击方法危害非常大 * 会话劫持原理： 使用TCP协议进行通讯需要提供两段序列号，TCP协议使用这两段序列号确保连接同步以及安全通讯，在通讯过程中，双方的序列号是相互依赖的，这也就是为什么称TCP协议是可靠的传输协议。如果攻击者在这个时候进行会话劫持，结果肯定是失败，因为会话双方“不认识”攻击者，攻击者不能提供合法的序列号；所以，会话劫持的关键是预测正确的序列号，攻击者可以采取嗅探技术获得这些信息。 这样，在该合法主机收到另一台合法主机发