保密安全和密码技术-8IDS课件.ppt

保密安全与密码技术 第八讲 入侵检测系统IDS 入侵知识简介 入侵检测技术 入侵检测系统的选择和使用 课程目标 了解入侵检测的概念、术语 了解入侵检测产品部署方案 了解入侵检测产品选型原则 了解入侵检测技术发展方向 入侵知识简介 入侵 (Intrusion) 入侵是指未经授权蓄意尝试访问信息、窜改信息，使系统不可靠或不能使用的行为。 入侵企图破坏计算机资源的完整性、机密性、可用性、可控性 入侵知识简介 目前主要漏洞： 缓冲区溢出 拒绝服务攻击漏洞 代码泄漏、信息泄漏漏洞 配置修改、系统修改漏洞 脚本执行漏洞 远程命令执行漏洞 其它类型的漏洞 网络入侵的一般步骤 进行网络攻击是一件系统性很强的工 作，其主要工作流程是： 目标探测和信息收集 自身隐藏 利用漏洞侵入主机 稳固和扩大战果 清除日志 网络入侵步骤总览 入侵检测系统概述 概要 背景介绍 入侵检测的提出 入侵检测相关术语 入侵检测系统分类 入侵检测系统构件 入侵检测系统部署方式 背景介绍 信息社会出现的新问题 信息时代到来，电子商务、电子政务，网络改变人们的生活，人类进入信息化社会 计算机系统与网络的广泛应用，商业和国家机密信息的保护以及信息时代电子、信息对抗的需求 存储信息的系统面临的极大的安全威胁 潜在的网络、系统缺陷危及系统的安全 传统的安全保密技术都有各自的局限性，不能够确保系统的安全 信息系统的安全问题 操作系统的脆弱性 计算机网络的资源开放、信息共享以及网络复杂性增大了系统的不安全性 数据库管理系统等应用系统设计中存在的安全性缺陷 缺乏有效的安全管理 黑客攻击猖獗 背景介绍 我国安全形势非常严峻 1998年2月25日：黑客入侵中国公众多媒体通信网广州蓝天BBS系统并得到系统的最高权限，系统失控长达15小时。为国内首例网上黑客案件。 1998年9月22日，黑客入侵扬州工商银行电脑系统，将72万元注入其户头，提出26万元。为国内首例利用计算机盗窃银行巨款案件。 1999年4月16日：黑客入侵中亚信托投资公司上海某证券营业部，造成340万元损失。 1999年11月23日：银行内部人员通过更改程序，用虚假信息从本溪某银行提取出86万元。 背景介绍 我国安全形势非常严峻（续） 2000年2月1日：黑客攻击了大连市赛伯网络服务有限公司，造成经济损失20多万元。 2000年2月1日至2日：中国公共多媒体信息网兰州节点 ——“飞天网景信息港”遭到黑客攻击。 2000年3月2日：黑客攻击世纪龙公司21CN。 2000年3月6日至8日：黑客攻击实华开EC123网站达16次，同一时期，号称全球最大的中文网上书店“当当书店”也遭到多次黑客攻击。 2000年3月8日：山西日报国际互联网站遭到黑客数次攻击，被迫关机，这是国内首例黑客攻击省级党报网站事件。 2000年3月8日：黑客攻击国内最大的电子邮局--拥有200万用户的广州163，系统无法正常登录。 入侵检测系统概述 概要 背景介绍 入侵检测的提出 入侵检测相关术语 入侵检测系统分类 入侵检测系统构件 入侵检测系统部署方式 入侵检测的提出 什么是入侵检测系统 入侵检测系统是一套监控计算机系统或网络系统中发生的事件，根据规则进行安全审计的软件或硬件系统。 入侵检测的提出 为什么需要IDS？ 入侵很容易 入侵教程随处可见 各种工具唾手可得 防火墙不能保证绝对的安全 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 防火墙是锁，入侵检测系统是监视器 入侵检测的提出 入侵检测的任务 通过事先发现风险来阻止入侵事件的发生，提前发现试图攻击或滥用网络系统的人员 检测其它安全工具没有发现的网络工具事件。 提供有效的审计信息，详细记录黑客的入侵过程，从而帮助管理员发现网络的脆弱性。 检测来自内部的攻击事件和越权访问 85％以上的攻击事件来自于内部的攻击 防火墙只能防外，难于防内 入侵检测系统作为防火墙系统的一个有效的补充。 入侵检测系统可以有效的防范防火墙开放的服务入侵 入侵检测的提出 入侵检测的发展历史 1980年，James Anderson最早提出入侵检测概念 1987年，D．E．Denning首次给出了一个入侵检测的抽象模型，并将入侵检测作为一种新的安全防御措施提出。 1988年，Morris蠕虫事件直接刺激了IDS的研究 1988年，创建了基于主机的系统,有IDES，Haystack等 1989年，提出基于网络的IDS系统,有NSM，NADIR， DIDS等 90年代，不断有新的思想提出，如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统 2000年2月，对Yahoo！、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮 2001年～今，Red