网络攻防原理与技术 第3版 教案 第13讲 入侵检测与网络欺骗.docx

内容

备注

《网络攻防原理与技术》课程教案

讲课题目：第十三讲入侵检测与网络欺骗

目的要求：入侵检测的基本概念；了解基本的入侵检测模型；掌握主要的入侵检测方法；了解入侵检测技术存在的问题；了解网络欺骗的基本概念；掌握网络欺骗的主要技术。

重点难点：主要的入侵检测方法；网络欺骗的主要技术。

方法步骤：理论讲授。

器材保障：电脑、投影仪。

主要教学内容:

一、入侵检测概述

(一)入侵检测的相关概念

美国国家安全通信委员会下属的入侵检测小组给出的定义：入侵是对信息系统的非授权访问以及未经许可在信息系统中进行的操作。如果从信息系统安全属性的角度看，入侵可以概括为试图破坏信息系统保密性、完整性、可用性、可控性的各类活动。

入侵检测指的是从计算机系统或网络的若干关键点收集信息并进行分析，从中发现系统或网络中是否有违反安全策略的行为和被攻击迹象的安全技术。实施入侵检测的是入侵检测系统（IntrusionDetectionSystem，IDS）。除了检测入侵外，一些入侵检测系统还具备自动响应的功能。这些入侵检测系统往往与防火墙、事件处理与应急响应系统等安全产品联动，在检测到入侵活动时采取措施。

入侵检测系统对防火墙的安全弥补作用主要体现在以下几方面。

1）入侵检测可以发现内部的攻击事件以及合法用户的越权访问行为，而位于网络边界的防火墙对于这些类型的攻击活动无能为力。

2）如果防火墙开放的网络服务存在安全漏洞，那么入侵检测系统可以在网络攻击发生时及时发现并进行告警。

3）在防火墙配置不完善的条件下，攻击者可能利用配置漏洞穿越防火墙，入侵检测系统能够发现此类攻击行为。

4）对于加密的网络通信，防火墙无法检测，但是监视主机活动的入侵检测系统能够发现入侵。

5）入侵检测系统能够有效发现入侵企图。

6）入侵检测系统可以提供丰富的审计信息，详细记录网络攻击过程，帮助管理员发现网络中的脆弱点。

(二)通用入侵检测模型

1987年，Denning在其经典论文《入侵检测模型（AnIntrusion-DetectionModel）》中提出了一种通用的入侵检测模型IDES(IntrusionDetectionExpertSystem)。

IDES由6部分组成：主体（Subjects）、客体（Objects）、审计记录（AuditRecords）、活动概图（ActivityProfile）、异常记录（AnomalyRecords）和规则集（RuleSets）。其中，主体是指活动的发起者，如用户、进程等；客体是指系统中管理的资源，如文件、设备、命令等；审计记录是指系统记录的主体对客体的访问信息，如用户登录、执行命令、访问文件等；活动概图描述主体访问客体时的行为特点，可用作活动的签名（signature）或正常行为的描述；异常记录是指当系统检测到异常活动时产生的日志记录；规则集中的活动规则定义了审计记录产生或异常记录产生或超时发生时系统所应执行的操作，包括审计记录规则、异常记录规则、定期异常分析规则三类。模型中的规则集处理引擎相当于入侵检测引擎，它根据定义的活动规则和活动概图对收到的审计记录进行处理，发现可能的入侵行为，或定期对指定的活动概图进行更新、对一段时间内的异常记录进行综合分析等。

另一个著名的通用入侵检测模型是由美国加州大学戴维斯分校（UniversityofCaliforniaatDavis）的安全实验室于1998年提出的通用入侵检测框架（CommonIntrusionDetectionFramework，CIDF）。CIDF定义了入侵检测系统逻辑组成，表达检测信息的标准语言以及入侵检测系统组件之间的通信协议。

CIDF将IDS需要分析的数据统称为事件（Events），定义了四类入侵检测系统组件：事件产生器（EventGenerators）、事件分析器（EventAnalyzers）、事件数据库（EventDatabase）和响应单元（ResponseUnits），组件之间通过通用入侵检测对象（GeneralizedIntrusionDetectionObjects，GIDO）的形式交换数据，而GIDO由CIDF定义的公共入侵规范语言(CommonIntrusionSpecificationLanguage,CISL)来描述。

所有符合CIDF规范的入侵检测系统都可以共享信息，相互通信，协同工作。这些入侵检测系统还可以与其他安全系统相互配合，实施统一的响应和恢复策略。

二、入侵检测系统的信息源

对于入侵检测系统而言，信息源的选择非常关键。信息源提供的数据必须具有较好的区分度，在系统正