第11讲 IDS技术(一).pptVIP

第11讲 IDS技术（一） 一、入侵知识简介 1、入侵 (Intrusion) 2、漏洞 3、主要漏洞 4、入侵者 5、侵入系统的主要途径 1、入侵 (Intrusion) 入侵是指未经授权蓄意尝试访问信息、窜改信息， 使系统不可靠或不能使用的行为。它企图破坏计算 机资源的： 完整性(Integrity)：指数据未经授权不能被改变。 机密性（Confidentiality）：指只有合法的授权用户才能对机密的或受限的数据进行存取。 可用性（Availability）：是指计算机资源在系统合法用户需要使用时必须是可用的。 可控性（Controliability）：是指可以控制授权范围内的信息流向及行为方式。有的也称不可否认性(Non-repudiation)。 2、漏洞 入侵要利用漏洞，漏洞是指系统硬件、操 作系统、软件、网络协议等在设计上、实 现上出现的可以被攻击者利用的错误、缺 陷和疏漏。 3、主要漏洞 按照漏洞的性质，现有的漏洞主要有： l??缓冲区溢出 l??拒绝服务攻击漏洞 l??代码泄漏、信息泄漏漏洞 l? 配置修改、系统修改漏洞 l? 脚本执行漏洞 l??远程命令执行漏洞 l??其它类型的漏洞 4、入侵者 入侵者可以是一个手工发出命令的人，也可是一个基于入侵脚本或程序的自动发布命令的计算机。 入侵者一般可以分为两类：内部的（一般指系统中的合法用户但违规或者越权操作）和外部的（一般指系统中的非法用户） 。 5、侵入系统的主要途径 入侵者进入系统的主要途径有： l?物理侵入：指一个入侵者对主机有物理进入权限，比如他们能使用键盘，有权移走硬盘等。 l?本地侵入: 这类侵入表现为入侵者已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。 l??远程侵入: 这类入侵指入侵者通过网络远程进入系统。比如通过植入木马实现对目标主机的控制，从远程发起对目标主机的攻击等。 6、攻击的一般步骤 进行网络攻击是一件系统性很强的工 作，其主要工作流程是：收集情报，远 程攻击，清除日志，留下后门。 6、攻击一般步骤总览 二、入侵检测系统基本知识 1、入侵检测与入侵检测系统 2、入侵检测系统在系统安全中的地位 3、IDS能做什么？ 4、为什么需要IDS？ 5、IDS的优点 6、IDS的缺点 7、入侵检测的发展历史 1、入侵检测与入侵检测系统 入侵检测，顾名思义，是指对入侵行为的发觉。它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测系统(Intrusion Detection System)，是完成入侵检测功能的软件、硬件及其组合它试图检测、识别和隔离“入侵”企图或计算机的不恰当未授权使用。 2、入侵检测系统在系统安全中的地位 3、IDS能做什么？ 监控、分析用户和系统的活动 发现入侵企图或异常现象 审计系统的配置和弱点 评估关键系统和数据文件的完整性 对异常活动的统计分析 识别攻击的活动模式 实时报警和主动响应 4、为什么需要IDS？ 入侵很容易 入侵教程随处可见 各种工具唾手可得 防火墙不能保证绝对的安全 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 防火墙是锁，入侵检测系统是监视器 5、IDS的优点 提高信息安全构造的其他部分的完整性 提高系统的监控能力 从入口点到出口点跟踪用户的活动 识别和汇报数据文件的变化 侦测系统配置错误并纠正 识别特殊攻击类型，并向管理人员发出警报 6、IDS的缺点 不能弥补差的认证机制 需要过多的人为干预 不知道安全策略的内容 不能弥补网络协议上的弱点 不能分析一个堵塞的网络 不能分析加密的数据 7、入侵检测的发展历史（1） 1980年，James Anderson最早提出入侵检测概念 1987年，D．E．Denning首次给出了一个入侵检测的抽象模型，并将入侵检测作为一种新的安全防御措施提出。 1988年，Morris蠕虫事件直接刺激了IDS的研究 1988年，创建了基于主机的系统； 有：IDES，Haystack等等 1989年，提出基于网络的IDS系统； 有：NSM，NADIR，DIDS等等 7、入侵检测的发展历史（2） 90年代，不断有新的思想提出，如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统 2000年2月，对Yahoo！、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮 2001年～今，RedCode、求职信等新型病毒的不断出现，进一步促进了IDS的发展。 三、入侵