信息安全工程：第九章 网络攻防与防御.pdf

网络攻击与防御 1 主要内容  入侵检测的概述和历史  入侵检测系统的结构及实现方式  误用检测和异常检测  入侵检测系统举例和发展 2 入侵检测  入侵检测（ Intrusion Detection ）- 防患于未然  入侵检测是对传统安全产品的合理补充，帮助系统 对付网络攻击，扩展了系统管理员的安全管理能力 （包括安全审计、监视、进攻识别和响应），提高 了信息安全基础结构的完整性。它从计算机网络系 统中的若干关键点收集信息，并分析这些信息，看 看网络中是否有违反安全策略的行为和遭到袭击的 迹象。 3 入侵检测  举例：  垃圾邮件  伪造原地址的数据包  子网内（外）部  连接“已知恶意服务”的计算机  入侵检测系统实质是告诉管理员某台特定计 算机需净化处理，重装软件 4 起源  审计技术：产生、记录并检查按时间顺序排列的系统事 件记录的过程。  1980年，James P. Anderson的 《计算机安全威胁监 控与监视》 （《Computer Security Threat Monitoring and Surveillance》）  第一次详细阐述了入侵检测的概念：潜在的有预谋 未经授权访问信息、操作信息、致使系统不可靠或 无法使用的企图。  计算机系统威胁分类: 外部渗透、内部渗透和不法 行为  提出了利用审计跟踪数据监视入侵活动的思想  这份报告被公认为是入侵检测的开山之作 5 起源  1986年，为检测用户对数据库异常访问，W.T.Tener 在IBM主机上用COBOL开发的Discovery系统，成为 最早的基于主机的IDS雏形之一。  1987年，IDES （入侵检测专家系统）  乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究出了一个实时入侵检测系统模型，首次将入侵 检测的概念作为一种解决计算机系统安全防御问题的措施提出。  1990年，NSM （Network Security Monitor）  加州大学戴维斯分校的L. T. Heberlein  该系统第一次直接将网络流作为审计数据来源，因而可以在不 将审计数据转换成统一格式的情况下监控异种主机  入侵检测系统发展史翻开了新的一页，两大阵营正式形成：基 于网络的IDS和基于主机的IDS 6 起源  1988年之后，美国开展对分布式入侵检测系统 （DIDS）的研究，将基于主机和基于网络的检测方法 集成到一起。DIDS是分布式入侵检测系统历史上的一 个里程碑式的产品。  从20世纪90年代到现在，入侵检测系统的研发呈现出 百家争鸣的繁荣局面，并在智能化和分布式两个方向取 得了长足的进展。 7 IDS系统结构 远程管理