9入侵检测系统-课件（PPT-精）.pptVIP

第9章入侵检测技术 入侵检测技术是近20年来出现的一种主动保护自己免受黑客攻击的新型网络安全技术。什么是入侵检测呢？简单地说，从系统运行过程中产生的或系统所处理的各种数据中查找出威胁系统安全的因素，并对威胁做出相应的处理，就是入侵检测。相应的软件或硬件称为入侵检测系统。入侵检测被认为是防火墙之后的第二道安全闸门，它在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。 本课知识点 入侵检测系统的发展历史、作用及功能。 入侵检测系统的分类。 入侵检测原理及系统通用模型。 入侵检测系统的局限及面临的挑战。 入侵检测系统的发展趋势及产品。 提问 什么是入侵检测系统？ 入侵检测原理是什么？ 入侵检测系统的局限？ …… 第1小节入侵检测技术概述 入侵检测系统的发展历史 入侵检测的作用和功能 入侵检测系统分类 入侵检测系统的发展历史 “入侵”（Intrusion）是个广义的概念，不仅包括发起攻击的人（如恶意的黑客）取得超出合法范围的系统控制权，也包括收集漏洞信息，造成拒绝访问（DoS）等对计算机系统造成危害的行为。从入侵策略的角度可将入侵检测的内容分为：试图闯入、成功闯入、冒充其他用户、违反安全策略、合法用户的泄漏、独占资源以及恶意使用。 入侵尝试（intrusion attempt）或威胁（threat）定义为：潜在的有预谋未经授权访问信息、操作信息、致使系统不可靠或无法使用的企图。在报告中，Anderson还提出审计跟踪可应用于监视入侵活动的思想。但由于当时所有已有的系统安全程序都着重于拒绝未经认证主体对重要数据的访问，这一设想的重要性当时并未被理解。 入侵检测系统的发展历史 1987年，乔治敦大学的Dorothy E. Denning提出了一个实时的入侵检测系统抽象模型——IDES（Intrusion Detection Expert System，入侵检测专家系统），首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出。 1988年的Morris Internet蠕虫事件使得Internet近5天无法使用，该事件促进了人们投入更多的精力于IDS的研究。 1990年加州大学戴维斯分校的L. T. Heberlein等人提出了一个新的概念：基于网络的入侵检测——NSM（Network Security Monitor） 1991年，NADIR（Network Anomaly Detection and Intrusion Reporter）与DIDS（Distribute Intrusion Detection System）提出了收集和合并处理来自多个主机的审计信息以检测一系列主机的协同攻击。 入侵检测系统的发展历史 1994年，Mark Crosbie和Gene Spafford建议使用自治代理（autonomous agents）以便提高IDS的可伸缩性、可维护性、效率和容错性 1995年开发了IDES完善后的版本——NIDES（Next-Generation Intrusion Detection System）可以检测多个主机上的入侵。 1998年Ross Anderson和 Abida Khattak将信息检索技术引进到入侵检测。 2000年2月，对Yahoo！、Amazon、CNN等大型网站的DDOS（分布式拒绝服务）攻击引发了对IDS系统的新一轮研究热潮。 入侵检测的作用和功能 入侵检测的作用主要有如下几个方面。 若能迅速检测到入侵，则有可能在造成系统损坏或数据丢失之前识别并驱除入侵者。 若能迅速检测到入侵，可以减少损失，使系统迅速恢复正常工作，对入侵者造成威胁，阻止其进一步的行动。 通过入侵检测可以收集关于入侵的技术资料，可用于改进和增强系统抵抗入侵的能力。 入侵检测的功能有如下几个方面。 监控、分析用户和系统的活动。 核查系统配置和漏洞。 评估关键系统和数据文件的完整性。 识别攻击的活动模式并向网管人员报警。 对异常活动的统计分析。 操作系统审计跟踪管理，识别违反政策的用户活动。 评估重要系统和数据文件的完整性。 入侵检测系统分类 根据原始数据的来源分类 基于主机的入侵检测系统（HIDS） 基于网络的入侵检测系统（NIDS） 基于应用（application）的入侵检测系统 根据检测原理分类 异常检测 误用检测 根据体系结构分类 集中式 等级式 协作式 本小节总结： 了解入侵检测系统的发展历史、作用及功能。 了解入侵检测系统的分类。 第2小节入侵检测技术 入侵检测原理 入侵检测系统通用模型外围设备 入侵检测原理 入侵检测系统通用模型 目前所有的入侵检测系统都根据以上原理，实现一个通用模型。