保密安全与密码技术8IDS.pptxVIP

保密安全与密码技术第八讲 入侵检测系统IDS课程内容入侵知识简介入侵检测技术入侵检测系统的选择和使用课程目标了解入侵检测的概念、术语了解入侵检测产品部署方案了解入侵检测产品选型原则了解入侵检测技术发展方向入侵知识简介入侵 (Intrusion)入侵是指未经授权蓄意尝试访问信息、窜改信息，使系统不可靠或不能使用的行为。入侵企图破坏计算机资源的完整性、机密性、可用性、可控性入侵者入侵者可以是一个手工发出命令的人，也可是一个基于入侵脚本或程序的自动发布命令的计算机。入侵知识简介目前主要漏洞：缓冲区溢出拒绝服务攻击漏洞代码泄漏、信息泄漏漏洞配置修改、系统修改漏洞脚本执行漏洞远程命令执行漏洞其它类型的漏洞侵入系统的主要途径物理侵入本地侵入远程侵入网络入侵的一般步骤进行网络攻击是一件系统性很强的工 作，其主要工作流程是：目标探测和信息收集自身隐藏利用漏洞侵入主机稳固和扩大战果清除日志利用系统已知的漏洞、通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令，从而发现突破口。攻击其它主机获取普通用户权限获取或修改信息选中攻击目标擦除入侵痕迹安装后门新建帐号扫描网络获取超级用户权限从事其它非法活动网络入侵步骤总览入侵检测系统概述概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式背景介绍信息社会出现的新问题信息时代到来，电子商务、电子政务，网络改变人们的生活，人类进入信息化社会计算机系统与网络的广泛应用，商业和国家机密信息的保护以及信息时代电子、信息对抗的需求存储信息的系统面临的极大的安全威胁潜在的网络、系统缺陷危及系统的安全传统的安全保密技术都有各自的局限性，不能够确保系统的安全信息系统的安全问题操作系统的脆弱性计算机网络的资源开放、信息共享以及网络复杂性增大了系统的不安全性数据库管理系统等应用系统设计中存在的安全性缺陷缺乏有效的安全管理黑客攻击猖獗黑客攻击后门、隐蔽通道特洛伊木马计算机病毒网络拒绝服务攻击逻辑炸弹蠕虫内部、外部泄密背景介绍我国安全形势非常严峻1998年2月25日：黑客入侵中国公众多媒体通信网广州蓝天BBS系统并得到系统的最高权限，系统失控长达15小时。为国内首例网上黑客案件。1998年9月22日，黑客入侵扬州工商银行电脑系统，将72万元注入其户头，提出26万元。为国内首例利用计算机盗窃银行巨款案件。1999年4月16日：黑客入侵中亚信托投资公司上海某证券营业部，造成340万元损失。1999年11月23日：银行内部人员通过更改程序，用虚假信息从本溪某银行提取出86万元。背景介绍我国安全形势非常严峻（续）2000年2月1日：黑客攻击了大连市赛伯网络服务有限公司，造成经济损失20多万元。2000年2月1日至2日：中国公共多媒体信息网兰州节点 ——“飞天网景信息港”遭到黑客攻击。2000年3月2日：黑客攻击世纪龙公司21CN。 2000年3月6日至8日：黑客攻击实华开EC123网站达16次，同一时期，号称全球最大的中文网上书店“当当书店”也遭到多次黑客攻击。 2000年3月8日：山西日报国际互联网站遭到黑客数次攻击，被迫关机，这是国内首例黑客攻击省级党报网站事件。2000年3月8日：黑客攻击国内最大的电子邮局--拥有200万用户的广州163，系统无法正常登录。入侵检测系统概述概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式入侵检测的提出什么是入侵检测系统入侵检测系统是一套监控计算机系统或网络系统中发生的事件，根据规则进行安全审计的软件或硬件系统。入侵检测的提出为什么需要IDS？入侵很容易入侵教程随处可见各种工具唾手可得防火墙不能保证绝对的安全网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部防火墙是锁，入侵检测系统是监视器入侵检测的提出入侵检测的任务通过事先发现风险来阻止入侵事件的发生，提前发现试图攻击或滥用网络系统的人员检测其它安全工具没有发现的网络工具事件。提供有效的审计信息，详细记录黑客的入侵过程，从而帮助管理员发现网络的脆弱性。检测来自内部的攻击事件和越权访问85％以上的攻击事件来自于内部的攻击防火墙只能防外，难于防内入侵检测系统作为防火墙系统的一个有效的补充。入侵检测系统可以有效的防范防火墙开放的服务入侵入侵检测的提出入侵检测的发展历史1980年，James Anderson最早提出入侵检测概念1987年，D．E．Denning首次给出了一个入侵检测的抽象模型，并将入侵检测作为一种新的安全防御措施提出。1988年，Morris蠕虫事件直接刺激了IDS的研究1988年，创建了基于主机的系统,有IDES，Haystack等1989年，提出基于网络的IDS系统,有NSM，NADIR，