chap12：入侵检测技术 知识-B 西安电子科技大学计算机安全基础课件.pptVIP

入侵检测 Intrusion Detection;入侵检测（Intrusion Detection）技术是一种主动保护自己免受攻击的一种网络安全技术。 入侵检测系统（Intrusion Detection System ，简称IDS）在识别入侵和攻击时具有一定的智能，体现在入侵特征的提取和汇总、响应的合并与融合、在检测到入侵后能够主动采取响应措施等方面 。;主要内容 入侵检测技术概述 入侵检测的预备知识 入侵检测的基础知识 入侵检测的关键技术 入侵检测的描述、评测与部署 入侵检测的发展方向 ;1 入侵检测技术概述 ;1.1 研究入侵检测技术的起因 ;1.3 入侵检测系统的历史 ;从1984年到1986年，Georgetown大学的Dorothy Denning和SRI/CSL（SRI公司计算机科学实验室）的Peter Neumann研究出了一个实时入侵检测系统模型，取名为IDES（入侵检测专家系统）。该模型由六个部分组成：主体、对象、审计记录、轮廓特征、异常记录和活动规则。它独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵检测系统提供了一个通用的框架。 1987年，Denning提出了一个经典的异常检测抽象模型，首次将入侵检测作为一种计算机系统安全的防御措施提出。她的论文《An intrusion-detection model》被认为是另一篇入侵检测的奠基之作。 ;1988年Morris蠕虫事件导致了许多IDS系统的开发研究。 1988年SRI/CSL的Teresa Lunt等人改进了Denning的入侵检测模型，并开发出一个IDES，该系统包括一个异常检测器和一个专家系统，分别用于统计异常模型的建立和基于规则的特征分析检测。 1990年是入侵检测系统发展史上的一个分水岭，这一年，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM (Network Security Monitor)，该系统第一次直接将网络数据流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机。从此之后，入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基于网络的入侵检测系统和基于主机的入侵检测系统。 ;1991年，美国空军等多部门进行联合，开展对分布式入侵检测系统(DIDS)的研究，首次将基于主机和基于网络的检测方法集成到一起。DIDS是分布式入侵检测系统历史上的一个里程碑式的产品。 1994年，Mark Crosbie和Gene Spafford建议使用自治代理(autonomous agents）以便提高入侵检测系统的可伸缩性、可维护性、效率和容错性。;1996年开始提出的GrIDS(Graph-based Intrusion Detection System)的设计和实现，解决了入侵检测系统伸缩性不足的问题，该系统使得对大规模自动或协同攻击的检测更为便利。 1997年Mark Crosbie和Gene Spafford将遗传算法运用到入侵检测中，学者们陆续将神经网络、模糊识别、免疫系统、数据挖掘和协议分析等方法应用到入侵检测中，目前这些方法多数都处在理论研究阶段。;2 入侵的主要方法和手段 ;2.1 主要漏洞 ;2.2 入侵系统的主要途径 ;2.3 主要的攻击方法 ;;4. WEB攻击 WEB攻击是利用CGI、Web服务器、Web浏览器等中存在的安全漏洞，通过一些攻击手段，达到损害系统安全而使系统崩溃的目的。 5. 使用木马 6. 计算机病毒攻击 7. 对邮件系统攻击 这种攻击方法专门针对邮件系统，主要通过邮件群发软件，大量地向一个邮箱或一个邮件系统发送邮件，从而占满邮箱的使用空间，耗尽邮件系统的资源，导致邮件系统崩溃。 8. 其他攻击方法（口令窃取、逻辑炸弹等 ）;3 入侵检测技术的基础知识 ;3.1 入侵检测系统要实现的功能 ;3.2 入侵检测系统的基本构成 ;3.2 入侵检测系统的基本构成;3.3 入侵检测系统的体系结构 ;数据收集模块完成系统所需数据的所有收集工作，根据所要检测的对象，设置网络包截取或收集主机状态日志信息。由于数据量大，该模块往往具有数据过滤、数据分类、数据简化等预处理功能。该模块是系统的最底层部分，一般安装在主机驱动程序一级，可以固化到硬件里。 通信模块保证了数据在各模块之间通信的完整性和安全性。该模块规定了模块之间通信的形式和协议（如是基于RPC远程调用还是基于消息传递等），以及数据传输的格式（包括检测数据、状态信息和控制信息等的数据格式）。 检测模块完成具体的检测任务，也是该系统的核心部分。目前常用的检测方法是异常检测法和误用检测法，也可以是两者的结合。 数据库模块用于保留的日志数据、检测的结果等需要长久保留的数据，以便将来进行查询和分析。