网络入侵检测术.ppt

入侵检测技术 课程内容 入侵检测概述 入侵检测工作原理 入侵检测缺陷 入侵检测选型原则 入侵检测产品及发展方向 第一章：入侵检测系统概述 引言 入侵检测系统基本概念 入侵检测系统分类 入侵检测系统构件 入侵检测系统部署方式 动态安全模型P2DR 第一节：什么叫网络入侵 网络攻击的定义 对网络安全管理员来说，可能导致一个网络受到破坏、网络服务受到影响的所有行为都应称为攻击。 网络入侵的特点 网络入侵的特点 没有地域和时间的限制； 通过网络的攻击往往混杂在大量正常的网络活动之间，隐蔽性强； 入侵手段更加隐蔽和复杂。 网络安全目前存在的威胁 黑客入侵动机 攻击的动机 出于政治目的、商业目的 员工内部破坏 出于好奇或者满足虚荣心 单从技术上说，黑客入侵的动机是成为目标主机的主人。只要他们获得了一台网络主机的超级用户权限后他们就有可能在该主机上修改资源配置、安置“特洛伊”程序、隐藏行踪、执行任意进程等等。我们谁又愿意别人在我们的机器上肆无忌惮地拥有这些特权呢？ 什么导致黑客入侵 服务(service)导致黑客入侵 没有开启任何服务的主机绝对是安全的主机 信息安全的隐患存在于信息的共享和传递过程中 小 结 网络入侵概念的广泛性 服务导致黑客的入侵 网络安全的核心就是信息的安全 第二节：攻击的一般步骤 恶意用户为什么总是能成功入侵系统？前提条件就是系统的安全问题有漏洞，没有百分百的安全。任何系统都会有这样那样的弱点，即时使用了最新的技术，但由于系统的用户的错误操作也会使系统产生漏洞。 收集信息 恶意用户再开始攻击之前首先要收集大量的信息，以确定可以攻击的目标。这些信息包括了目标主机的硬件、软件、操作系统、应用程序等等。一般这些信息的收集通过扫描工具完成。 第二节：攻击的一般步骤 考虑攻击方法 在确定了攻击目标后，恶意用户会根据所获得的信息考虑攻击方法。比如是利用系统现有的漏洞还是猜解口令的方式入侵系统，具体的方式根据目标主机环境的不同而不同。 入侵系统 成功入侵系统后，恶意用户就可以进行各种各样的活动了，既可以删除文件、读取敏感信息也可以利用它入侵其它的机器。 安放后门、删除记录 一般入侵者在从他所入侵的主机上撤出时都会安装上后门程序，以方便下次进入。之后入侵者要在入侵主机上清理他所留下的痕迹，以避免被管理员发现。 DDOS攻击示意图 DDOS攻击（步骤1） DDOS攻击（步骤2） DDOS攻击（步骤3） DDOS攻击（步骤4） DDOS攻击（步骤5） DDOS攻击（步骤6） DDOS攻击效果 DDOS攻击的效果 由于整个过程是自动化的，攻击者能够在5秒钟内入侵一台主机并安装攻击工具。也就是说，在短短的一小时内可以入侵数千台主机。并使某一台主机可能要遭受1000MB/S数据量的猛烈攻击，这一数据量相当于1.04亿人同时拨打某公司的一部电话号码。 DDOS攻击的预防 预防DDOS攻击的措施 确保主机不被入侵且是安全的； 周期性审核系统； 检查文件完整性； 优化路由和网络结构； 优化对外开放访问的主机； 在网络上建立一个过滤器（filter）或侦测器（sniffer），在攻击信息到达网站服务器之前阻挡攻击信息。 IDS是对防火墙的必要补充 传统的操作系统加固技术和防火墙隔离技术等都是静态安全防御技术，它们主要是基于各种形式的静态禁止策略，对网络环境下日新月异的攻击手段缺乏主动的反应。 入侵检测是最近发展起来的一种动态的监控、预防或抵御系统入侵行为的安全机制，主要通过实时监控网络和系统的状态、行为以及系统的使用情况，来检测系统用户的越权使用以及系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图。 小 结 黑客攻击日益猖獗，防范问题日趋严峻 网络入侵具有较复杂的特点 需要采用入侵检测技术保障网络安全 第一章：入侵检测系统概述 引言 入侵检测系统基本概念 入侵检测系统分类 入侵检测系统构件 入侵检测系统部署方式 动态安全模型P2DR 什么是入侵检测系统 入侵检测产品的起源 为什么需要安装入侵检测系统 网络中已经安装了防火墙系统，为什么还需要安装入侵检测系统？ 安装入侵检测系统的必要性 网络中可被入侵者钻的空子较多 在一些大型的网络中，存在大量的操作系统类型和应用。而网管人员少，没有时间跟踪系统的安全漏洞，并及时的安装相应的系统补丁程序。 用户和管理员在配置和使用系统中的失误。 对于一些存在安全漏洞的服务、协议和软件（比如snmp服务和IIS等等） ，用户有时候不得不使用。 安装入侵检测系统的必要性(续) 入侵检测系统还可有效的防范防火墙开放的服务入侵 可检测来自内部的攻击事件和越权访问 85％以上的攻击事