第07章入侵检测(免费阅读).pptVIP

第07章 入侵检测 目录 6.1、入侵检测概述 6.2、入侵检测的一般过程和模型 6.3、入侵检测的分类 6.4、入侵检测关键技术 6.5、入侵检测标准框架草案 6.6、Snort入侵检测系统简介 6.1 入侵检测概述 1、入侵检测系统存在与发展的必然性 （1）网络攻击的破坏性、损失的严重性 （2）日益增长的网络安全威胁 （3）单纯的防火墙无法防范复杂多变的攻击 2、传统安全技术是否足够？ （1）每一种安全机制都有一定的应用范围和应用环境 1) 网络边界的设备 可以隐蔽内部网络结构,限制外部网络到内部网络的访问,但是对于内部网络之间的访问，防火墙往往是无能为力的 2) 自身可以被攻破 3) 对某些攻击保护很弱 4) 不是所有的威胁来自防火墙外部 50%---85％以上的攻击事件来自于内部的攻击 防火墙放外不防内 (3)系统的后门是传统安全工具难于考虑到的地方 防火墙很难考虑到这类安全问题，多数情况下，这类入侵行为可以堂而皇之经过防火墙而很难被察觉。 例如，众所周知的ASP源码问题，这个问题在IIS服务器4.0以前一直存在，它是IIS服务的设计者留下的一个后门，任何人都可以使用浏览器从网络上方便地调出ASP程序的源码，从而可以收集系统信息，进而对系统进行攻击。 对于这类入侵行为，防火墙是无法发觉的，因为对于防火墙来说，该入侵行为的访问过程和正常的WEB访问是相似的，唯一区别是入侵访问在请求链接中多加了一个后缀 (4) 只要有程序，就可能存在BUG 甚至连安全工具本身也可能存在安全的漏洞。 几乎每天都有新的BUG被发现和公布出来，程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。 系统的BUG经常被黑客利用，而且这种攻击通常不会产生日志，几乎无据可查。比如说现在很多程序都存在内存溢出的BUG，现有的安全工具对于利用这些BUG的攻击几乎无法防范 (5) 黑客攻击手段在不断更新,几乎每天都有不同安全问题出现 然而安全工具的更新速度太慢，绝大多数情况需要人为的参与才能发现以前未知的安全问题，这就使得它们对新出现的安全问题总是反应太慢。 当安全工具刚发现并努力更正某方面的安全问题时，其他的安全问题又出现了。 因此，黑客总是可以使用先进的、安全工具不知道的手段进行攻击 解决办法：主动防御策略与措施 入侵检测就是这样一种措施 网络安全工具的特点 3、入侵检测的定义 (1) 入侵检测 对（网络）系统的运行状态进行监视，以发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性与可用性。这种行为就称为入侵检测 (2)入侵检测系统IDS 进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS : Intrusion Detection System) (4) 入侵检测系统的功能：主要功能---检测 ◆ 监视、分析用户及系统活动； 　 ◆ 系统构造和弱点的审计； 　 ◆ 识别反映已知进攻的活动模式并向相关人士报警； 　 ◆ 异常行为模式的统计分析； 　 ◆ 评估重要系统和数据文件的完整性； 　 ◆ 操作系统的审计跟踪管； 识别用户违反安全策略的行为 (1) 入侵检测概念的提出 1980年4月，James P. Anderson. 《Computer Security Threat Monitoring and Surveillance》 （计算机安全威胁监控与监视） 第一次详细阐述了入侵检测的概念 计算机系统威胁分类: 外部渗透、内部渗透和不法行为 提出了利用审计跟踪数据监视入侵活动的思想 这份报告被公认为是入侵检测的开山之作 (2) 入侵检测的发展（20世纪80年代） 1）1987年 D．E．Denning首次给出了一个入侵检测的抽象模型，并将入侵检测作为一种新的安全防御措施提出。 2）1988年 Morris蠕虫事件直接刺激了IDS的研究 3）1988年 创建了基于主机的系统,有IDES、Haystack等 4）1989年，提出基于网络的IDS系统,有NSM、NADIR