新世纪全套信息安全应用教程PPT电子课件教案-第5章 常见入侵类型及检测.pptVIP

第5章 常见入侵类型及检测 重点内容 入侵检测系统的特点 网络入侵的方法和手段 攻击的过程 入侵检测的过程 入侵检测系统的模型 ;第5章 常见入侵类型及检测 重点内容 入侵检测系统在网络中的部署 入侵检测产品的选择方法 构建基本的入侵检测系统的方法;一、 概述（1） 1.1 入侵检测系统定义 入侵检测（Intrusion Detection），顾名思义，是指“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统（Intrusion Detection System，简称IDS）。 ;一、 概述（2） 常见的检测方法 ： 网络流量管理 系统扫描 追踪 ;一、 概述（3） 1.2 入侵检测系统的特点 精确地判断入侵事件 可判断应用层的入侵事件 对入侵可以立即进行反应 全方位的监控与保护 针对不同操作系统特点 ;二、网络入侵（1） 2.1 入侵检测过程 入侵检测过程分为3部分：信息收集、信息分析和结果处理。 信息收集：入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息，包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。 ;二、网络入侵（2） 2.1 入侵检测过程 信息分析：收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过3种技术手段进行分析：模式匹配、统计分析和完整性分析。当检测到某种误用模式时，产生一个告警并发送给控制台。 结果处理：控制台按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。 ;二、网络入侵（3） 2.2 入侵方式与手段 方式： 物理入侵: 指入侵者以物理方式访问一个机器进行破坏活动，例如趁人不备遛进机房重地赶紧敲打两下键盘试图闯入操作系统、拿着钳子改锥卸掉机器外壳“借”走硬盘装在另一台机器上进行深入研究。 ;二、网络入侵（4） 2.2 入侵方式与手段 系统入侵: 指入侵者在拥有系统的一个低级账号权限下进行的破坏活动。通常，如果系统没有及时“打”最近的补丁程序，那么拥有低级权限的用户就可能利用系统漏洞获取更高的管理特权。 远程入侵: 指入侵者通过网络渗透到一个系统中。这种情况下，入侵者通常不具备任何特殊权限，他们要通过漏洞扫描或端口扫描等技术发现攻击目标，再利用相关技术执行破坏活动。NIDS主要针对的就是这种入侵。 ;二、网络入侵（5） 2.2 入侵方式与手段 手段： 软件编写存在bug 、漏洞利用、系统配置不当、口令失窃、嗅探未加密通信数据、TCP/IP初始设计存在缺陷、探测、DoS或DDoS ;二、网络入侵（6） 2.3 攻击的过程 外部调研 内部分析 漏洞利用 站稳脚跟 享受成果;三、入侵检测系统 入侵检测系统的部署位置 与其他安全措施的配合 ;四、入侵检测的分类 4.1 分类 按照检测类型划分 ： 异常检测模型、误用检测模型 按照检测对象划分 ： 主机型、网络型、混合型 4.2 入侵检测方法 4.3 文件完整性检查;五、入侵检测技术及发展 5.1 入侵检测技术及方法 信息收集：系统和网络日志文件、非正常的目录和文件改变、非正常的程序执行 数据分析：模式匹配、统计分析、完整性分析 入侵检测技术分析 5.2 入侵检测技术发展方向 ;六、典型入侵检测系统介绍 七、入侵检测产品介绍及选择方法 7.1 常见产品介绍分类 7.2 购买IDS注意事项 ;八、构建基本的入侵检测系统 九、应用实例一 9.1 提高Windows操作系统的入侵保护程度 9.2 实现木马探测及常规扫描进行监听的简单程序 十、应用实例二——实现基于内核的入侵检测