23入侵检测技术.doc

课题名称： 入侵检测技术 课的类型： 授新课 教学目标： 掌握入侵检测的有关概念，了解常用的入侵检测技术以及IDS的工作原理和组成。 教学重点： 常用的入侵检测技术以及IDS的工作原理和组成 教学难点： 常用的入侵检测技术以及IDS的工作原理和组成 课时安排：2课时 教学方法：多媒体分析、讲解 教学过程： 一、入侵检测系统入侵检测系统Intrusion Detection Systems — IDS）就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。·监测并分析用户和系统的活动； ·核查系统配置和漏洞； ·评估系统关键资源和数据文件的完整性； ·识别已知的攻击行为； ·统计分析异常行为； ·操作系统日志管理，识别违反安全策略的用户活动。 IDS是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。因此，IDS在交换式网络中的位置一般选择在：·服务器区域的交换机上·Internet接入路由器之后的第一台交换机上·重点保护网段的局域网交换机上 二、IDS名词解释 1．Alerts（警报）当一个入侵正在发生或者试图发生时，IDS将发布一个alert信息通知系统管理员。Anomaly（异常）一个基于anomaly的IDS会构造一个活动主机或网络的当有一个在这个轮廓以外的事件发生时，IDS就会告警Appliance（IDS硬件）安装到现有系统上去的IDS软件IDS硬件，只需将它们接入网络中就可以应用。Attacks（攻击）试图渗透系统或绕过系统的安全策略，获取修改信息以及破坏目标网络或系统功能的行为。IDS能够检测出的攻击类型：DoS（Denial of Service attack，拒绝服务攻击）：DOS攻击不是通过黑客手段破坏一个系统的安全，它只是通过洪流（flooding）耗尽系统资源使系统拒绝向其用户提供服务。DDoS（Distributed Denial of Service，分布式拒绝服务攻击）：从多个分散的主机一个目标发动攻击，耗尽系统的资源，或者使其连接失效。Smurf：攻击者使用一个伪装目标源地址smurf放大器广播执行ping操作，然后所有活动主机都会向该目标应答，从而中断目标网络连接。Trojans（特洛伊木马）：原本是指那些以合法程序的形式出现，其实包藏了恶意的那些软件多数以这种形式安装的恶意程序都是远程控制工具。Automated Response（自动响应）除了对攻击发出警报，有些IDS还能自动抵御这些攻击。CERT（Computer Emergency Response Team，计算机应急响应小组）由于emergency这个词有些不够明确，因此许多组织都用Incident这个词来取代它，产生了新词Computer Incident Response Team（CIRT），即计算机事件反应团队。CIDF（Common Intrusion Detection Framework - 通用入侵检测框架）CIDF力图在某种程度上将入侵检测标准化，开发一些协议和应用程序接口，以使入侵检测的研究项目之间能够共享信息和资源，入侵检测组件也能够在其它系统中。CVE（Common Vulnerabilities and Exposures，通用漏洞披露）MITRE创建了CVE，将漏洞名称进行标准化，参与的厂商也就顺理成章按照这个标准开发IDS产品。CVE的URL地址是：/。Evasion（躲避）成功地发动一次不被IDS检测到攻击。Zero Day Exploit（零时间漏洞利用）未被了解且仍在肆意横行的漏洞利用，也就是说这种类型的漏洞利用当前还没有被网络安全界发现。False Negatives（漏报）一个攻击事件未被IDS检测到或被分析人员认为是无害的False Positives（误报）实际无害却被IDS检测为攻击事件。Fragmentation（分片）如果一个信息包太大而无法装载，它就不得不被分成片断。分片的依据是网络的MTU（Maximum Transmission Units，最大传输单元）。Heuristics（启发）在入侵检测中使用AI（artificial intelligence，人工智能）思想真正应用AI技术对数据进行分析的IDS还很少。Honeypot（蜜罐）一个包含漏洞的系统，没有任务需要完成，攻击者在蜜罐上浪费时间保护有价值的目标不受侵犯。Islanding（孤岛）就是把网络从Internet上完全切断Signatures（特征）IDS的核心是攻击特征，它使IDS在事件发生时触发。ID