网络入侵检测技术.pptxVIP

入侵检测技术202X信息安全

课程内容入侵检测概述入侵检测工作原理入侵检测缺陷入侵检测选型原则入侵检测产品及发展方向

第一章：入侵检测系统概述引言入侵检测系统基本概念入侵检测系统分类入侵检测系统构件入侵检测系统部署方式动态安全模型P2DR

第一节：什么叫网络入侵网络攻击的定义对网络安全管理员来说，可能导致一个网络受到破坏、网络服务受到影响的所有行为都应称为攻击。

网络入侵的特点网络入侵的特点没有地域和时间的限制；通过网络的攻击往往混杂在大量正常的网络活动之间，隐蔽性强；入侵手段更加隐蔽和复杂。

网络安全目前存在的威胁01020304050607080910网络内部、外部泄密拒绝服务攻击逻辑炸弹计算机病毒特洛伊木马黑客攻击信息丢失、篡改、销毁后门、隐蔽通道蠕虫

黑客入侵动机攻击的动机出于政治目的、商业目的员工内部破坏出于好奇或者满足虚荣心单击此处添加小标题1单击此处添加小标题单从技术上说，黑客入侵的动机是成为目标主机的主人。只要他们获得了一台网络主机的超级用户权限后他们就有可能在该主机上修改资源配置、安置“特洛伊”程序、隐藏行踪、执行任意进程等等。我们谁又愿意别人在我们的机器上肆无忌惮地拥有这些特权呢？2

什么导致黑客入侵服务(service)导致黑客入侵没有开启任何服务的主机绝对是安全的主机信息安全的隐患存在于信息的共享和传递过程中

网络入侵概念的广泛性服务导致黑客的入侵网络安全的核心就是信息的安全小结

第二节：攻击的一般步骤恶意用户为什么总是能成功入侵系统？前提条件就是系统的安全问题有漏洞，没有百分百的安全。任何系统都会有这样那样的弱点，即时使用了最新的技术，但由于系统的用户的错误操作也会使系统产生漏洞。收集信息恶意用户再开始攻击之前首先要收集大量的信息，以确定可以攻击的目标。这些信息包括了目标主机的硬件、软件、操作系统、应用程序等等。一般这些信息的收集通过扫描工具完成。

第二节：攻击的一般步骤考虑攻击方法在确定了攻击目标后，恶意用户会根据所获得的信息考虑攻击方法。比如是利用系统现有的漏洞还是猜解口令的方式入侵系统，具体的方式根据目标主机环境的不同而不同。入侵系统成功入侵系统后，恶意用户就可以进行各种各样的活动了，既可以删除文件、读取敏感信息也可以利用它入侵其它的机器。安放后门、删除记录一般入侵者在从他所入侵的主机上撤出时都会安装上后门程序，以方便下次进入。之后入侵者要在入侵主机上清理他所留下的痕迹，以避免被管理员发现。

繁多的黑客攻击手段口令攻击CrackIP地址欺骗缓冲区溢出拒绝服务特洛伊木马社交欺骗监听

繁多的黑客攻击手段口令攻击CrackIP地址欺骗拒绝服务特洛伊木马缓冲区溢出社交欺骗监听

口令攻击Crack口令攻击Crack是使用一种软件对口令进行破解尝试，通常情况下该软件依次列举可能的口令进行试验，知道找出口令为止。

繁多的黑客攻击手段口令攻击CrackIP地址欺骗拒绝服务缓冲区溢出特洛伊木马社交欺骗监听

IP地址欺骗IP地址欺骗指的是向受害主机发送一个将源IP地址设置为其它计算机或不存在的计算机的IP地址的数据包，这样使得该数据包看起来像是来自别的其它主机地址，而不是实际的源地址。

繁多的黑客攻击手段口令攻击CrackIP地址欺骗拒绝服务特洛伊木马缓冲区溢出社交欺骗监听

拒绝服务攻击拒绝服务攻击的主要目的是使被攻击的网络或服务器不能提供正常的服务。例如，WWW服务器一般在一定时间内只能处理一定量的通信，如果通信量超过了它所能承受的限度，服务器将会瘫痪。例如，如果使用某种ping工具软件（一种可以向主机发送数据包，以验证主机是否处在激活状态，并观察返回的响应需要多长时间的程序）向某台主机发送大量的重复的数据包（称为湮没），这台主机在处理接收到的海量的ping请求时，就很可能太忙以致于不能响应任何正常合法的数据请求。这和人一样，如果有太多的事情在同一时刻交给一个人处理的话，那么他肯定只能响应某几个事务，忽略其它的事务。这时可以说这个人被“拒绝服务”了。

拒绝服务攻击方式有很多种，最基本的DoS攻击就是利用合理的连接服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。连接请求响应信息连接请求ACK响应信息等待

分布式拒绝服务攻击DDoSDDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了。被攻击目标对恶意攻击包的“消化能力”加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻