网络攻防原理与技术第14章 入侵检测技术.pptxVIP

第 十四 章 入侵检测技术内容提纲Why: 为什么需要入侵检测 ?1What: 什么是入侵检测 ?2How: 如何进行入侵检测 ?3State: 研究现状？4Products: 如何选择入侵检测产品？5（一）Why? 防火墙：根据规则对进出网络的信息进行过滤本身问题：可能存在安全漏洞成为被攻击的对象配置不当：起不到作用网络边界：有缺口（如 Modem，无线）不是万能：入侵教程、工具随处可见，攻击模式的多样性，并不能阻止所有攻击 内部攻击(Abuse)：并不是所有攻击均来自外部 误用(Misuse)起源 1980年4月，James P. Anderson:《Computer Security Threat Monitoring and Surveillance》: 入侵检测开山之作第一次详细阐述了入侵检测的概念对计算机系统威胁进行分类: 外部渗透、内部渗透和不法行为提出了利用审计跟踪数据监视入侵活动的思想从1984年到1986年：乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann：研究出了一个实时入侵检测系统模型—IDES（入侵检测专家系统）1990，加州大学戴维斯分校的L. T. Heberlein等人开发出了NSM（Network Security Monitor）：第一次直接将网络流作为审计数据来源：新的一页(HIDS, NIDS)内容提纲Why: 为什么需要入侵检测 ?1What: 什么是入侵检测 ?2How: 如何进行入侵检测 ?3State: 研究现状 ？4Products: 如何选择入侵检测产品 ？5（一）定义一：入侵检测 1987, Denning： Intrusion Detection (ID) is to detect a wide range of security violations from attempted break-ins by outsiders to systems penetration and abuses by insiders 定义一：入侵检测（续）2000, AllenIntrusion Detection (ID) is to monitor and collect system and network information and analyzes it to determine if an attack or an intrusion has occurred.入侵检测：通过从计算机系统或网络的关键点收集信息并进行分析，从中发现系统或网络中是否有违反安全策略的行为和被攻击的迹象定义一：入侵检测(续) 被入侵的对象： 网络计算机应用（控制了计算机不一定能控制应用） 几个英文泀汇：Attack vs. IntrusionAttack vs. IntrudeAttacker vs. Intruder (successful attacker)Victim (the target of an attack) vs. Compromised HostVulnerability定义二：入侵检测系统(IDS) IDS：Intrusion Detection System A combination of hardware and software that monitors and collects system and network information and analyzes it to determine if an attack or an intrusion has occurred. Some ID systems can automatically respond to an intrusion.入侵检测系统：是指实施入侵检测的软件与硬件的组合。定义三：入侵防御系统(IPS) IPS: Intrusion Protection System 入侵检测 ＋ 主动防御主动防御：预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出警报 发现攻击作出响应存在问题：由于增加了主动阻断能力，检测准确程度的高低对于IPS来说十分关键存在问题：多种技术融合误报导致合法数据被阻塞 分类根据检测方法来分：基于特征的入侵检测基于异常的入侵检测混合的入侵检测根据数据源来分：基于应用的入侵检测系统(Application-based IDS)基于主机的入侵检测系统(Host-based IDS)基于网络的入侵检测系统(Network-based IDS)混合的入侵检测系统(Hybrid IDS)分类（续）按系统各模块的运行方式来分：集中式：系统各个模块包括数据的收集分析集中在一台主机上运行分布式