chap12：入侵检测技术-wc.pptVIP

入侵检测 Intrusion Detection 入侵检测（Intrusion Detection）技术是一种主动保护自己免受攻击的一种网络安全技术。 入侵检测系统（Intrusion Detection System ，简称IDS）在识别入侵和攻击时具有一定的智能，体现在入侵特征的提取和汇总、响应的合并与融合、在检测到入侵后能够主动采取响应措施等方面 。 主要内容 入侵检测技术概述 入侵检测的预备知识 入侵检测的基础知识 入侵检测的关键技术 入侵检测的描述、评测与部署 入侵检测的发展方向 1 入侵检测技术概述 1.1 研究入侵检测技术的起因 1.2 入侵检测的安全任务 1.3 入侵检测系统的历史 1.1 研究入侵检测技术的起因 计算机技术的不断发展和网络规模的不断扩大 原有的安全手段（数据加密、信息隐藏、身份识别和验证、防火墙、物理隔离等）不能解决问题 几个定义： 入侵：指任何企图危及资源的完整性、机密性和可用性的活动。 入侵检测：是指对入侵行为的发现，它通过在计算机网络或计算机系统中的若干关键点收集信息，通过对这些信息进行提取、分析，对网络进行监测，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象，并对入侵或攻击做出响应，达到防止或减轻网络威胁的目的。 入侵检测系统（IDS）：完成入侵检测功能的软、硬件组合。 1.2 入侵检测的安全任务 机密性（Confidentiality） 机密性要求只有合法的授权用户才能对机密或受限的数据进行访问，未被授权的用户则无法访问数据。 完整性（Integrity） 完整性要求保持系统内数据的正确性和一致性。也就是说，在任何情况下都要保护数据不受破坏或篡改。 可用性（Availability） 计算机资源和系统中的数据信息在系统合法用户需要使用时必须是可用的，即对授权用户系统应该尽量避免系统资源被耗尽或服务被拒绝的情况出现。 1.3 入侵检测系统的历史 1980年4月，James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告，第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据，监视入侵活动的思想。 从1984年到1986年，Georgetown大学的Dorothy Denning和SRI/CSL（SRI公司计算机科学实验室）的Peter Neumann研究出了一个实时入侵检测系统模型，取名为IDES（入侵检测专家系统）。该模型由六个部分组成：主体、对象、审计记录、轮廓特征、异常记录和活动规则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个通用的框架。 1987年，Denning提出了一个经典的异常检测抽象模型，首次将入侵检测作为一种计算机系统安全的防御措施提出。她的论文《An intrusion-detection model》被认为是另一篇入侵检测的奠基之作。 1988年Morris蠕虫事件导致了许多IDS系统的开发研究。 1988年SRI/CSL的Teresa Lunt等人改进了Denning的入侵检测模型，并开发出一个IDES，该系统包括一个异常检测器和一个专家系统，分别用于统计异常模型的建立和基于规则的特征分析检测。 1990年是入侵检测系统发展史上的一个分水岭，这一年，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM (Network Security Monitor)，该系统第一次直接将网络数据流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机。从此之后，入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的入侵检测系统和基于主机的入侵检测系统。 1991年，美国空军等多部门进行联合，开展对分布式入侵检测系统(DIDS)的研究，首次将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。 1994年，Mark Crosbie和Gene Spafford建议使用自治代理(autonomous agents）以便提高入侵检测系统的可伸缩性、可维护性、效率和容错性。 1996年开始提出的GrIDS(Graph-based Intrusion Detection System)的设计和实现，解决了入侵检测系统伸缩性不足的问题，该系统使得对大规模自动或协同攻击的检测更为便利。 1997年Mark Crosbie和Gene Spafford将遗传算法运用到入侵检测中，学者们陆续将神经网络、模糊识