{新}网络入侵技术.ppt

入侵检测技术 主讲教师: 赵 玲 zhaoling9543@163.com 本课程需具备的基础知识 TCP/IP协议原理 对防火墙有初步认识 对局域网和广域网有初步认识 Unix简单操作 课程目标 了解入侵检测的概念、术语 掌握网络入侵技术和黑客惯用的各种手段 掌握入侵检测系统防范入侵原理 了解入侵检测产品部署方案 了解入侵检测产品选型原则 了解入侵检测技术发展方向 课程内容 入侵知识简介 入侵检测技术 入侵检测系统的选择和使用 §1. 入侵检测系统概述 §1.1 背景介绍 §1.2 入侵检测的提出 §1.3 入侵检测相关术语 §1.4 入侵检测系统分类 §1.5 入侵检测系统构件 §1.6 入侵检测系统部署方式 §1.7 动态安全模型P2DR §1.1 背景介绍 § 1.1.1 信息社会出现的新问题 信息时代到来，电子商务、电子政务，网络改变人们的生活，人类进入信息化社会 计算机系统与网络的广泛应用，商业和国家机密信息的保护以及信息时代电子、信息对抗的需求 存储信息的系统面临的极大的安全威胁 潜在的网络、系统缺陷危及系统的安全 传统的安全保密技术都有各自的局限性，不能够确保系统的安全 §1.1 背景介绍 § 1.1.2 信息系统的安全问题 操作系统的脆弱性 计算机网络的资源开放、信息共享以及网络复杂性增大了系统的不安全性 数据库管理系统等应用系统设计中存在的安全性缺陷 缺乏有效的安全管理 § 1.1.3 黑客攻击猖獗 §1.1 背景介绍 §1.1.4 我国安全形势非常严峻 1999年4月16日：黑客入侵中亚信托投资公司上海某证券营业部，造成340万元损失。 1999年11月14日至17日：新疆乌鲁木齐市发生首起针对银行自动提款机的黑客案件，用户的信用卡被盗1.799万元。 1999年11月23日：银行内部人员通过更改程序，用虚假信息从本溪某银行提取出86万元。 §1.1 背景介绍 §1.1.4 我国安全形势非常严峻（续） 2000年2月1日：黑客攻击了大连市赛伯网络服务有限公司，造成经济损失20多万元。 2000年2月1日至2日：中国公共多媒体信息网兰州节点 ——“飞天网景信息港”遭到黑客攻击。 2000年3月2日：黑客攻击世纪龙公司21CN。 §1.1 背景介绍 §1.1.4 我国安全形势非常严峻（续） 2000年3月6日至8日：黑客攻击实华开EC123网站达16次，同一时期，号称全球最大的中文网上书店“当当书店”也遭到多次黑客攻击。 2000年3月8日：山西日报国际互联网站遭到黑客数次攻击，被迫关机，这是国内首例黑客攻击省级党报网站事件。 2000年3月8日：黑客攻击国内最大的电子邮局--拥有200万用户的广州163，系统无法正常登录。 §1.1 背景介绍 §1.1.4 我国安全形势非常严峻（续） 2001年3月9日: IT163.com-全国网上连锁商城遭到黑客袭击，网站页面文件全部被删除，各种数据库遭到不同程度破坏，网站无法运行，15日才恢复正常，损失巨大。 2001年3月25日：重庆某银行储户的个人帐户被非法提走5万余元。 2001年6月11、12日：中国香港特区政府互联网服务指南主页遭到黑客入侵，服务被迫暂停。 §1.2 入侵检测的提出 §1.2.1 什么是入侵检测系统 入侵检测系统(IDS)是一套监控计算机系统或网络系统中发生的事件，根据规则进行安全审计的软件或硬件系统。 §1.2 入侵检测的提出 §1.2.2 为什么需要IDS？ 入侵很容易 入侵教程随处可见，各种工具唾手可得 防火墙不能保证绝对的安全 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 防火墙是锁，入侵检测系统是监视器 §1.2.2 为什么需要IDS?（续） 网络中有可被入侵者利用的资源 在一些大型的网络中，管理员没有时间跟踪系统漏洞并且安装相应的系统补丁程序。 用户和管理员在配置和使用系统中的失误。 对于一些存在安全漏洞的服务、协议和软件，用户有时候不得不使用。 §1.2 入侵检测的提出 §1.2.3 入侵检测的任务 （1）检测来自内部的攻击事件和越权访问 a. 85％以上的攻击事件来自于内部的攻击 b. 防火墙只能防外，难于防内 （2）入侵检测系统作为防火墙系统的一个有效的补充 a. 入侵检测系统可以有效的防范防火墙开放的服务入侵 §1.2.3 入侵检测的任务（续） （3）通过事先发现风险来阻止入侵事件的 发生，提前发现试图攻击或滥用网络系统的人员。 （4）检测其它安全工具没有发现的网络安全事件。 （5）提供有效的审计信息，详细记录黑客的入侵过程，从而帮助管理员发现网络的脆弱性。 §1.2 入侵检测的提出 §1.2.4 入侵检测的发展历史 198