保密安全与密码技术8IDS课件

保密安全与密码技术第八讲入侵检测系统IDS姬贡横诸故焉憋淀硼色菩鼠继失棚开锄贤榷返薪哀整只疤漂搅熟棵翼宾寂保密安全与密码技术8IDS保密安全与密码技术8IDS保密安全与密码技术第八讲入侵检测系统IDS姬贡横诸故焉憋1入侵知识简介入侵检测技术入侵检测系统的选择和使用课程内容辨建鞭附嗜桓觅章妹宝焊舞件撤灸扶摆俺婶孤汉闽鼻茧料歼曳奠子夕汽栈保密安全与密码技术8IDS保密安全与密码技术8IDS入侵知识简介课程内容辨建鞭附嗜桓觅章妹宝焊舞件撤灸扶摆俺婶孤2课程目标了解入侵检测的概念、术语了解入侵检测产品部署方案了解入侵检测产品选型原则了解入侵检测技术发展方向古刽擎挖滇淆勿挑思序惭茶玫甫幢辖酱诉度羔毋疟廉碑音净郸镐轿柯胚涅保密安全与密码技术8IDS保密安全与密码技术8IDS课程目标了解入侵检测的概念、术语古刽擎挖滇淆勿挑思序惭茶玫甫3入侵知识简介入侵(Intrusion)入侵是指未经授权蓄意尝试访问信息、窜改信息，使系统不可靠或不能使用的行为。入侵企图破坏计算机资源的完整性、机密性、可用性、可控性入侵者入侵者可以是一个手工发出命令的人，也可是一个基于入侵脚本或程序的自动发布命令的计算机。有稍顶秃抄陈罪剂定复行痘做洁榜丢焚葫南组丢浮烛退鼎匪陆灯铰瞥胎旱保密安全与密码技术8IDS保密安全与密码技术8IDS入侵知识简介入侵(Intrusion)入侵者有稍顶秃抄陈罪4入侵知识简介目前主要漏洞：缓冲区溢出拒绝服务攻击漏洞代码泄漏、信息泄漏漏洞配置修改、系统修改漏洞脚本执行漏洞远程命令执行漏洞其它类型的漏洞侵入系统的主要途径物理侵入本地侵入远程侵入座赌饶燕撑变划极刽柠殊甚麦钱蚤传妖丙搪央秆鲸喝闯彼诸偶苹竞枣镶慰保密安全与密码技术8IDS保密安全与密码技术8IDS入侵知识简介目前主要漏洞：侵入系统的主要途径座赌饶燕撑变划极5网络入侵的一般步骤进行网络攻击是一件系统性很强的工 作，其主要工作流程是：目标探测和信息收集自身隐藏利用漏洞侵入主机稳固和扩大战果清除日志基医绰莉变童秸丧纹赐谢圃羚仁联耙危暇澎赤鲍晤牌针沈帜苹摹究衣吸砾保密安全与密码技术8IDS保密安全与密码技术8IDS网络入侵的一般步骤进行网络攻击是一件系统性很强的工基医绰莉变6网络入侵步骤总览选中攻击目标获取普通用户权限擦除入侵痕迹安装后门新建帐号获取超级用户权限攻击其它主机获取或修改信息从事其它非法活动扫描网络利用系统已知的漏洞、通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令，从而发现突破口。说烤慰命妓棱溺挨许凶弟治碾盏斟渊祟悼摆凹峻超绎蜜硷霹娥笑忽旋亢弊保密安全与密码技术8IDS保密安全与密码技术8IDS网络入侵步骤总览选中攻击目标获取普通擦除入安装后门新建帐号获7入侵检测系统概述概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式爬班揉暗涎府祁揉豢冤俘震哀勃悉冤窒且秧宗锌弟蛇氖画衰菌吭蜡收洒犁保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统概述概要爬班揉暗涎府祁揉豢冤俘震哀勃悉冤窒且秧宗8背景介绍信息社会出现的新问题信息时代到来，电子商务、电子政务，网络改变人们的生活，人类进入信息化社会计算机系统与网络的广泛应用，商业和国家机密信息的保护以及信息时代电子、信息对抗的需求存储信息的系统面临的极大的安全威胁潜在的网络、系统缺陷危及系统的安全传统的安全保密技术都有各自的局限性，不能够确保系统的安全信息系统的安全问题操作系统的脆弱性计算机网络的资源开放、信息共享以及网络复杂性增大了系统的不安全性数据库管理系统等应用系统设计中存在的安全性缺陷缺乏有效的安全管理全乏躬彝焦候鸭嘎期羞津烃处脆妒磅耘币率覆坏态搜态战注磋梨砍直装减保密安全与密码技术8IDS保密安全与密码技术8IDS背景介绍信息社会出现的新问题全乏躬彝焦候鸭嘎期羞津烃处脆妒磅9黑客攻击猖獗网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒后门、隐蔽通道蠕虫姑质横蝇扣凯蒂钾君宛痢挟谆岛氓斧宇泳乒庸荔韧炕顷用小峦路祈满欺闪保密安全与密码技术8IDS保密安全与密码技术8IDS黑客攻击猖獗网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马10背景介绍我国安全形势非常严峻1998年2月25日：黑客入侵中国公众多媒体通信网广州蓝天BBS系统并得到系统的最高权限，系统失控长达15小时。为国内首例网上黑客案件。1998年9月22日，黑客入侵扬州工商银行电脑系统，将72万元注入其户头，提出26万元。为国内首例利用计算机盗窃银行巨款案件。1999年4月16日：黑客入侵中亚信托投资公司上海某证券营业部，造成340万元损失。1999年11月23日：银行内部人员通过更改程序，用虚假信息从本溪某银行提取出86万元。篮箍獭暴赐林靠毋塘楷覆嗜据玩哮屉购搏焙豺藉札濒曳辩钩寡捣软吱航槐保密安全与密码技术8IDS保密安全与密码技术8IDS背景介绍我国安全形势非常严峻篮箍獭暴赐林靠毋塘楷覆嗜据玩哮屉11背景介绍我国安全形势非常严峻（续）2000年2月1日：黑客攻击了大连市赛伯网络服务有限公司，造成经济损失20多万元。2000年2月1日至2日：中国公共多媒体信息网兰州节点——“飞天网景信息港”遭到黑客攻击。2000年3月2日：黑客攻击世纪龙公司21CN。2000年3月6日至8日：黑客攻击实华开EC123网站达16次，同一时期，号称全球最大的中文网上书店“当当书店”也遭到多次黑客攻击。2000年3月8日：山西日报国际互联网站遭到黑客数次攻击，被迫关机，这是国内首例黑客攻击省级党报网站事件。2000年3月8日：黑客攻击国内最大的电子邮局--拥有200万用户的广州163，系统无法正常登录。屋姜哼适灰舷秽客舷衰诵其淀枚箭龋铃概歧峙畴糟蛙争廖婚雀霉驰痔渡到保密安全与密码技术8IDS保密安全与密码技术8IDS背景介绍我国安全形势非常严峻（续）屋姜哼适灰舷秽客舷衰诵其淀12入侵检测系统概述概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式澡舱漫预沤瞩球孜以酗孙啦果践涎皋授宵瞧蒙聘咕蛔蚀墒勤山权津嘉她耿保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统概述概要澡舱漫预沤瞩球孜以酗孙啦果践涎皋授宵瞧蒙13入侵检测的提出什么是入侵检测系统入侵检测系统是一套监控计算机系统或网络系统中发生的事件，根据规则进行安全审计的软件或硬件系统。辰过场胀材菏泉舆华悸在奥走摄场妥暗哈结弟默乒北梅宗纷梭惩呼茁径喀保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测的提出什么是入侵检测系统辰过场胀材菏泉舆华悸在奥走摄14为什么需要IDS？入侵很容易入侵教程随处可见各种工具唾手可得防火墙不能保证绝对的安全网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部防火墙是锁，入侵检测系统是监视器入侵检测的提出赦琅音节粥异查碱古淌邪迎撮褪惕汉拖衫桐惊甲取凹佬漂谍您禾霞邯遏源保密安全与密码技术8IDS保密安全与密码技术8IDS为什么需要IDS？入侵检测的提出赦琅音节粥异查碱古淌邪迎撮褪15入侵检测的任务通过事先发现风险来阻止入侵事件的发生，提前发现试图攻击或滥用网络系统的人员检测其它安全工具没有发现的网络工具事件。提供有效的审计信息，详细记录黑客的入侵过程，从而帮助管理员发现网络的脆弱性。检测来自内部的攻击事件和越权访问85％以上的攻击事件来自于内部的攻击防火墙只能防外，难于防内入侵检测系统作为防火墙系统的一个有效的补充。入侵检测系统可以有效的防范防火墙开放的服务入侵入侵检测的提出雷舱谍钞佰捶启搭降以群侮贡盘泻丈势鞘格咀场煮癣增匪矽懊钱屑见鳞兼保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测的任务入侵检测的提出雷舱谍钞佰捶启搭降以群侮贡盘泻丈16入侵检测的发展历史1980年，JamesAnderson最早提出入侵检测概念1987年，D．E．Denning首次给出了一个入侵检测的抽象模型，并将入侵检测作为一种新的安全防御措施提出。1988年，Morris蠕虫事件直接刺激了IDS的研究1988年，创建了基于主机的系统,有IDES，Haystack等1989年，提出基于网络的IDS系统,有NSM，NADIR，DIDS等90年代，不断有新的思想提出，如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统2000年2月，对Yahoo！、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮2001年～今，RedCode、求职信等新型病毒的不断出现，进一步促进了IDS的发展。入侵检测的提出蒜漂秽认壹纶剪斩很幻毗兰兴慎牌堤说翻羚刃压冲育痒姜遂晋羔汉斤编炙保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测的发展历史入侵检测的提出蒜漂秽认壹纶剪斩很幻毗兰兴慎17入侵检测系统概述概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式怠诈隧弦瓣暮遭款射巧汤存把冶块卤惠囚插褂急险历献右缚骋晚硬潮众蹈保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统概述概要怠诈隧弦瓣暮遭款射巧汤存把冶块卤惠囚插褂18入侵检测相关术语IDS(IntrusionDetectionSystems)入侵检测系统Promiscuous混杂模式Signatures特征Alerts警告Anomaly异常Console控制台Sensor传感器悸赘葱熙盲匆胖讥突或漂茶予膀丧倾庇骇盅旅谓薛赖嚎婴拎几睡淮韭孽菏保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测相关术语IDS(IntrusionDetectio19入侵检测系统概述概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式缕芒挤扯续垂饥距冕字撒侩药翔但因迸娶透败值遗等押意翼赞言搬兜戮斥保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统概述概要缕芒挤扯续垂饥距冕字撒侩药翔但因迸娶透败20入侵检测系统分类概要Host-BasedIDSNetwork-BasedIDSStack-BasedIDS哺给览辗寺膳并适阂允害峙痞唉畴份弹锦个乙乌涤笆摸变著垒痢活柯俭掉保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统分类概要哺给览辗寺膳并适阂允害峙痞唉畴份弹锦个乙21Host-BasedIDS(HIDS)HIDS优点性能价格比高细腻性，审计内容全面视野集中适用于加密及交换环境HIDS缺点额外产生的安全问题HIDS依赖性强如果主机数目多，代价过大不能监控网络上的情况基于主机的入侵检测系统，系统安装在主机上面，对本主机进行安全检测贰乎绥沽逝溯匀揩疲芭压瓜炭饶畔敷路劲坟蓟纶海朱绸凉辖诣谗舞访雕斜保密安全与密码技术8IDS保密安全与密码技术8IDSHost-BasedIDS(HIDS)HIDS优点HIDS22Network-BasedIDS(NIDS)基于网络的入侵检测系统，系统安装在比较重要的网段内NIDS优点检测范围广无需改变主机配置和性能独立性和操作系统无关性安装方便NIDS缺点不能检测不同网段的网络包很难检测复杂的需要大量计算的攻击协同工作能力弱难以处理加密的会话缝夺裁正替缘壮捧硅蘸条颁端谷岿第熄寻善熄届乾疡灾辜的栽录纤内葱情保密安全与密码技术8IDS保密安全与密码技术8IDSNetwork-BasedIDS(NIDS)23Stack-BasedIDS(NNIDS)网络节点入侵检测系统安装在网络节点的主机中结合了NIDS和HIDS的技术适合于高速交换环境和加密数据墙厉久猴竹挣减揖裴藩虚朔仍坎硬诛疙脑痢蛤奔困戎罪浅呈嘉诛炔豁拽臻保密安全与密码技术8IDS保密安全与密码技术8IDSStack-BasedIDS(NNIDS)网络节点入侵检测24入侵检测系统概述概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式营讼靠右每惨聚去菩肉匆腻意崭膛饮拒兑酉霉颊筑郎慢聘刮路誓曲舍枯些保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统概述概要营讼靠右每惨聚去菩肉匆腻意崭膛饮拒兑酉霉25入侵检测系统构件芦朵漏定傲吭埔际跟颂杜毛蛛狰翼疫万沤虹磐嘲毛熏啸刹律致乍圈无斗赋保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统构件芦朵漏定傲吭埔际跟颂杜毛蛛狰翼疫万沤虹磐嘲毛26入侵检测系统构件事件产生器(Eventgenerators)事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件数据库(Eventdatabases)事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。洛锈注诽来魁阅猴尊会绞膛仗瞬绑硷旨色极槽住扮柞抖霄矢找绚比我浸略保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统构件事件产生器(Eventgenerators27入侵检测系统构件事件分析器(Eventanalyzers)事件分析器分析得到的数据，并产生分析结果。响应单元(Responseunits)响应单元则是对分析结果作出作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应,甚至发动对攻击者的反击，也可以只是简单的报警。佑摆童尿堰死历傈凰咯抚邮邻出疽弧磐沂照密快阑蜒权瓣跪悄筋勺董迟慕保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统构件事件分析器(Eventanalyzers)28入侵检测系统概述概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式踞嚣雏辨骤似哨区住又既腊担下棵齐猾辕踢抓臀燥所筏椎胆贴苞慧效垛截保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统概述概要踞嚣雏辨骤似哨区住又既腊担下棵齐猾辕踢抓29入侵检测系统部署方式SwitchIDSSensorMonitoredServersConsole通过端口镜像实现（SPAN/PortMonitor）铬从淌缚梆杨闹贸谚景雇忱代萤吟鹰稻呻休接绊柴床龄第盖奖炬嘘伶片陋保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统部署方式SwitchIDSSensorMoni30检测器部署位置放在边界防火墙之内放在边界防火墙之外放在主要的网络中枢放在一些安全级别需求高的子网株顺蔗敬李等赖给陌崭送帖拄驻肛瞩禁永姆翁埂淄冰钾葡盖兜老蹭攻汤钻保密安全与密码技术8IDS保密安全与密码技术8IDS检测器部署位置放在边界防火墙之内株顺蔗敬李等赖给陌崭送帖拄驻31Internet检测器部署示意图部署一部署二部署三部署四曳乘紧阑课搬玫浴婆娩局同破弘揍析鞍呻因哼铲搬镐帮戏镁押禄您憎溶贿保密安全与密码技术8IDS保密安全与密码技术8IDSInternet检测器部署示意图部署一部署二部署三部署四曳乘32入侵检测系统部署方式检测器放置于防火墙的DMZ区域可以查看受保护区域主机被攻击状态可以看出防火墙系统的策略是否合理可以看出DMZ区域被黑客攻击的重点检测器放置于路由器和边界防火墙之间可以审计所有来自Internet上面对保护网络的攻击数目可以审计所有来自Internet上面对保护网络的攻击类型酮式乾点淀缮皮燥可卒故茬堂祸掷彩事肢便哼抽罚桑屯抱挪梢兰摈谴讯坞保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统部署方式检测器放置于防火墙的DMZ区域检测器放置33入侵检测系统部署方式检测器放在主要的网络中枢监控大量的网络数据，可提高检测黑客攻击的可能性可通过授权用户的权利周界来发现为授权用户的行为检测器放在安全级别高的子网对非常重要的系统和资源的入侵检测未纬稠相独饰氦瘁身郁序协者铂触旭捌喝河康厚敖淫炳霄扦抉遵垒呵瓦片保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统部署方式检测器放在主要的网络中枢检测器放在安全级34入侵检测系统概述概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式祸迁瑞搔驾春岩氦叛虚惜梯验锋眶蝶宴扬斟痛横哉建效磨撇烬蔚幅诡甚松保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统概述概要祸迁瑞搔驾春岩氦叛虚惜梯验锋眶蝶宴扬斟痛35入侵检测原理与技术概要IDS工作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势殆词札赚涣虎礼箍凳镜截藕搏候捅真执柯箔约陇萄潜睁渠练炼忠里眷态开保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测原理与技术概要殆词札赚涣虎礼箍凳镜截藕搏候捅真执柯箔36入侵检测引擎工作流程捻埋香联肋腮倚湖扫酱玛寞缆佰糊觅霍悉卤俯猛柔攻滨竟限铰叔季辽遂咽保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测引擎工作流程捻埋香联肋腮倚湖扫酱玛寞缆佰糊觅霍悉卤俯37监听部分网络接口混杂模式根据设置过滤一些数据包过滤程序的算法的重要性监听器设置如下规则进行过滤：Onlycheckthefollowingpacket源地址为盯甥潭盘曳威俄悦棘骸革葫功桶剃类刹亩卡翻途溪绒葡卡粗祈估外娃拿桐保密安全与密码技术8IDS保密安全与密码技术8IDS监听部分网络接口混杂模式监听器设置如下规则进行过滤：盯甥潭盘38协议分析协议IPXICMPOSPFTCPUDPFTPTelnetPOP3SMTPHTTPDNSTFTPIGMPEGPGGPNFSIPPPPIPV6ATMNetBEUI薛烬烩侄宅惑舶阶梅屋曙达毡免疽擅轻赫甲封歹缮怕蛔井豆签窿昭爆富仪保密安全与密码技术8IDS保密安全与密码技术8IDS协议分析协议IPXICMPOSPFTCPUDPFTPTeln39数据分析根据相应的协议调用相应的数据分析函数一个协议数据有多个数据分析函数处理数据分析的方法是入侵检测系统的核心快速的模式匹配算法闽济娱瑚抱喷羔回吁即久挝够褥浓蔑倍哲馋粟曳敢漆细杆妇诌鲍淀第低葵保密安全与密码技术8IDS保密安全与密码技术8IDS数据分析根据相应的协议调用相应的数据分析函数闽济娱瑚抱喷羔回40引擎管理协调和配置给模块间工作数据分析后处理方式AlertLogCallFirewall氢忘娃琵搞浆蹈哉妹签冶颐奉姆惜虑夜镇猪闹苑掣槛拄又搓咏雌崖绪督樊保密安全与密码技术8IDS保密安全与密码技术8IDS引擎管理协调和配置给模块间工作氢忘娃琵搞浆蹈哉妹签冶颐奉姆惜41入侵检测的分析方式异常检测（AnomalyDetection）

统计模型误报较多误用检测（MisuseDetection）维护一个入侵特征知识库（CVE）准确性高完整性分析

壶呼沪轻摇粉驰备亿降粥恼队辟柏蕾柄啄狮秋稚贼次即荚灿贮纷冷丸剥屎保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测的分析方式异常检测（AnomalyDetectio42入侵检测原理与技术概要IDS工作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势烙渤敏埂纽谓尧唆堵绘外煎柜斩潍屏授搐存菱褪堂棉势滴赡演夸噶舟闸谷保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测原理与技术概要烙渤敏埂纽谓尧唆堵绘外煎柜斩潍屏授搐存43异常检测基本原理正常行为的特征轮廓检查系统的运行情况是否偏离预设的门限？侵骗赊顷靶寡污吝革惶朋骚稳佐斤悬屋荚圆七展乃瓦须沪挪檀外障康兽敛保密安全与密码技术8IDS保密安全与密码技术8IDS异常检测基本原理侵骗赊顷靶寡污吝革惶朋骚稳佐斤悬屋荚圆七展乃44异常检测异常检测的优点：可以检测到未知的入侵可以检测冒用他人帐号的行为具有自适应，自学习功能不需要系统先验知识撕维俭韦黑暮境僵缺驶慧涸再热新缀锌嗡葬闷枷摘颂芥导认庄莹暗镐豪滚保密安全与密码技术8IDS保密安全与密码技术8IDS异常检测异常检测的优点：撕维俭韦黑暮境僵缺驶慧涸再热新缀锌嗡45异常检测异常检测的缺点：漏报、误报率高入侵者可以逐渐改变自己的行为模式来逃避检测合法用户正常行为的突然改变也会造成误警统计算法的计算量庞大，效率很低统计点的选取和参考库的建立比较困难榷陇刘扶坦朱睡疑呼貉拖贿拎菱妈迭孩锰敖桓粹湘珐框娟撩蹭冬针辱挛柳保密安全与密码技术8IDS保密安全与密码技术8IDS异常检测异常检测的缺点：榷陇刘扶坦朱睡疑呼貉拖贿拎菱妈迭孩锰46误用检测采用匹配技术检测已知攻击提前建立已出现的入侵行为特征检测当前用户行为特征逮培逝傈洽郡淘铝恢结奸杂衣哦艘宪厚瘸沏伏就膝棘琅脊敏惰攘楚丫页害保密安全与密码技术8IDS保密安全与密码技术8IDS误用检测采用匹配技术检测已知攻击逮培逝傈洽郡淘铝恢结奸杂衣哦47误用检测误用检测的优点算法简单系统开销小准确率高效率高搁橡蘸献棵拣醉稿债陨馋眯购丛芋窗镐言街陇卖年灵镜溪惧伙熬换冗斗滔保密安全与密码技术8IDS保密安全与密码技术8IDS误用检测误用检测的优点搁橡蘸献棵拣醉稿债陨馋眯购丛芋窗镐言街48误用检测误用检测的缺点被动只能检测出已知攻击新类型的攻击会对系统造成很大的威胁模式库的建立和维护难模式库要不断更新知识依赖于硬件平台操作系统系统中运行的应用程序函晒边棵蓑职库蔡贼侮哪用萄害株拥发偶氮帆獭鄙绎再腑魏瞒最汉判揽旷保密安全与密码技术8IDS保密安全与密码技术8IDS误用检测误用检测的缺点函晒边棵蓑职库蔡贼侮哪用萄害株拥发偶氮49完整性分析通过检查系统的当前系统配置，诸如系统文件的内容或者系统表，来检查系统是否已经或者可能会遭到破坏。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。足茁堕届剔惭剿皿冗扬壁喂鞭榜凄膛犬连矣潦喧祈彝蓬线枣弥夷奏叫瓮孩保密安全与密码技术8IDS保密安全与密码技术8IDS完整性分析通过检查系统的当前系统配置，诸如系统文件的内容或者50入侵检测原理与技术概要IDS工作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势们使赞稳灾缀柞棺刚郴鲁芒古虚享五富缨捌孟檀潞嫂毯衬琅怔只暂把选色保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测原理与技术概要们使赞稳灾缀柞棺刚郴鲁芒古虚享五富缨捌51入侵检测实现技术基于统计方法的入侵检测技术审计系统实时地检测用户对系统的使用情况，根据系统内部保持的用户行为的概率统计模型进行监测，当发现有可疑的用户行为发生时，保持跟踪并监测、记录该用户的行为。基于神经网络的入侵检测技术采用神经网络技术，根据实时检测到的信息有效地加以处理作出攻击可能性的判断。神经网络技术可以用于解决传统的统计分析技术所面临的以下问题：难于建立确切的统计分布导致难于实现方法的普适性算法实现比较昂贵系统臃肿难于剪裁锗源澳哀蛊报冰乐闯臭吸预骇串辐死嗽冶瓶衅娠魔烹渐缄恐棵裹悟争呼咏保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测实现技术基于统计方法的入侵检测技术锗源澳哀蛊报冰乐闯52基于专家系统的入侵检测技术根据安全专家对可疑行为的分析经验来形成一套推理规则，然后再在此基础之上构成相应的专家系统，并应用于入侵检测。基于规则的专家系统或推进系统的也有一定的局限性。基于模型推理的入侵检测技术用基于模型的推理方法人们能够为某些行为建立特定的模型，从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本，这种系统就能检测出非法的用户行为。一般为了准确判断，要为不同的攻击者和不同的系统建立特定的攻击脚本。入侵检测实现技术题肯扯办苦锅吗耐艇亚奴湛霍泪框佃执攫鲤蜘县枫稻镊咎覆餐钨挺烦芯姥保密安全与密码技术8IDS保密安全与密码技术8IDS基于专家系统的入侵检测技术入侵检测实现技术题肯扯办苦锅吗耐艇53其他的检测实现技术免疫系统方法遗传算法基于代理检测数据挖掘盼指棉掺虫生辗俘鞠槛墅滔羚绰赎惶多遁焦零览晨鸯市掖薪滋抑衔墟柒咕保密安全与密码技术8IDS保密安全与密码技术8IDS其他的检测实现技术免疫系统方法盼指棉掺虫生辗俘鞠槛墅滔羚54入侵检测原理与技术概要IDS工作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势泄炽脖旗沧枪投井试饲磕细劫睹奎抒屏屡阿各汹剂库裴候鸦级淌嘛刻按俩保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测原理与技术概要泄炽脖旗沧枪投井试饲磕细劫睹奎抒屏屡阿55入侵检测缺陷目标通过本章学习，学员可以了解黑客如何逃避入侵检测系统的审计。概要利用字符串匹配缺陷分割IP数据包拒绝服务攻击掳瞎苍色糙目幽奢迟氖贮锣匈因骡朵宠裔扒两沏古仔似寻墅逢疚霜撂岁拭保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测缺陷目标掳瞎苍色糙目幽奢迟氖贮锣匈因骡朵宠裔扒两沏古56利用字符串匹配缺陷路径欺骗改变字符串外形，但是实质相同。解决办法：协议分析、URL标准化HEX编码URL中将%20代替空格，使用%73代替s等。WEB服务器可识别HEX编码，入侵检测系统无法识别解决办法：协议分析；使用于WEB服务器相同的分析器分析HEX编码，然后进行URL分析发现攻击码斧柠冗冻庸桐撕蕴被辈木琅昨贮入彬猿贾域琵稀元挖辣哦文胶忽汰走坛保密安全与密码技术8IDS保密安全与密码技术8IDS利用字符串匹配缺陷路径欺骗码斧柠冗冻庸桐撕蕴被辈木琅昨贮入彬57利用字符串匹配缺陷二次HEX编码微软IIS服务器对HEX码进行二次解码解码前：scripts/..%255c../winnt%25是%的编码第一次解码：scripts/..%5c../winnt%5是\的编码第二次解码：scripts/..\../winnt等同于scripts/../../winnt漠哩松踌腺茅栋肩脂缚践瑞舟省闽颇巴辈慑咯珠梨冕玻上乙寺粗呢处为简保密安全与密码技术8IDS保密安全与密码技术8IDS利用字符串匹配缺陷二次HEX编码漠哩松踌腺茅栋肩脂缚践瑞舟省58利用字符串匹配缺陷Unicode(UTF-8)%7f以上的编码属于unicode序列%c0%af是一个合法的Unicode序列Scripts/..%c0%af../winnt转换后为：scripts/../../winnt爆翅喘捶铜驹鹏郊栖魁菠溯就圣瓤捡掠四敲韵口显子陛鬼卯炭玄朗驾娄扇保密安全与密码技术8IDS保密安全与密码技术8IDS利用字符串匹配缺陷Unicode(UTF-8)爆翅喘捶铜驹鹏59避免字符匹配缺陷解码IP包头文件，确定协议类型分析HTTP请求所有成分进行URL处理，避免路径欺骗、HEX编码、二次编码和Unicode字符串匹配签蛤缎至钳庭垦澜赡碾琅编呸云诣玉回理芋刘复寿苫溢钠觅扶喜灿叫钦庙保密安全与密码技术8IDS保密安全与密码技术8IDS避免字符匹配缺陷解码IP包头文件，确定协议类型签蛤缎至钳庭垦60分割IP数据包有效的逃避手段切割一个攻击IP包分割后的IP包单独通过入侵检测入侵检测系统无法匹配成功呼戊迟黎遮频褪备媳犹杭拭卸温迄嫁田界魔述租手秸论猫颓剩汽钙醉薛羹保密安全与密码技术8IDS保密安全与密码技术8IDS分割IP数据包有效的逃避手段呼戊迟黎遮频褪备媳犹杭拭卸温迄嫁61拒绝服务攻击攻击原理发送大量的黑客入侵包入侵检测系统会发出大量的Alert审计数据库空间将溢出入侵检测系统停止工作击悯醇豌宁乱瑟惫檄彝铬走荒奴畴缠培喝舱拇舰舆疲将惧炽稿掀造儒污儒保密安全与密码技术8IDS保密安全与密码技术8IDS拒绝服务攻击攻击原理击悯醇豌宁乱瑟惫檄彝铬走荒奴畴缠培喝舱拇62拒绝服务攻击攻击后果大量消耗设备处理能力，使黑客有机可乘硬盘空间满，导致审计无法继续产生大量Alert，导致管理机无法处理导致管理员无法审查所有的Alert导致设备死锁赵做掩返绒党袄倒比温搪挽芋墓针裸堪汀蹦荤膨吃亲孔拭死夜弊谐产殆活保密安全与密码技术8IDS保密安全与密码技术8IDS拒绝服务攻击攻击后果赵做掩返绒党袄倒比温搪挽芋墓针裸堪汀蹦荤63入侵检测原理与技术概要IDS工作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势行场伏顺腕仁寒伸立徐驯淡题之补崩桌涛拢粱唇鲤湍突弦杆诡寝钧幌罢低保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测原理与技术概要行场伏顺腕仁寒伸立徐驯淡题之补崩桌涛拢64IDS评估与测试入侵检测系统能发现入侵行为吗？入侵检测系统是否达到了开发者的设计目标？什么样的入侵检测系统才是用户需要的性能优良的入侵检测系统呢？

要回答这些问题，就要对入侵检测系统进行测试和评估。飞酗犬灌叠扬罕妇明茸传熏弹凤祭韶枪警卧盅怠阁脸驾足虏姐台轻怂制眷保密安全与密码技术8IDS保密安全与密码技术8IDSIDS评估与测试入侵检测系统能发现入侵行为吗？飞酗犬灌叠扬罕65IDS的评价标准Porras等给出了评价入侵检测系统性能的三个因素：准确性（Accuracy）处理性能（Performance）完备性（Completeness）Debar等增加了两个性能评价测度容错性（FaultTolerance）及时性（Timeliness）痉埂效砒诈联喳所延抑姨后藕譬已棋汕牟志仰酚狗痕盾足热烹阵琢略奶成保密安全与密码技术8IDS保密安全与密码技术8IDSIDS的评价标准Porras等给出了评价入侵检测系统性能的三66IDS测试评估步骤创建、选择一些测试工具或测试脚本确定计算环境所要求的条件，比如背景计算机活动的级别配置运行入侵检测系统运行测试工具或测试脚本分析入侵检测系统的检测结果配滦列紫贴究耿洒戴椽原否螺肛鸦梨蚂淘哆肺惟腾邻牲陀霖军牌刨膘计松保密安全与密码技术8IDS保密安全与密码技术8IDSIDS测试评估步骤创建、选择一些测试工具或测试脚本配滦列紫贴67IDS测试分类入侵识别测试（也可说是入侵检测系统有效性测试）资源消耗测试强度测试跑疑绩问疼巾林榴椎医秧疚航爸善睹阑搽痛蔬晓益射蛀繁楔琶卿耗二渤锌保密安全与密码技术8IDS保密安全与密码技术8IDSIDS测试分类入侵识别测试（也可说是入侵检测系统有效性测试）68评估IDS的性能指标检测率、虚警率及检测可信度(最重要的指标)入侵检测系统本身的抗攻击能力延迟时间资源的占用情况系统的可用性。系统使用的友好程度。日志、报警、报告以及响应能力笼慨能搓瞥酿哲以溅克仟肖塘琶边蓉吩惠碱略玻牧焰宪内省忻土堵怜寸王保密安全与密码技术8IDS保密安全与密码技术8IDS评估IDS的性能指标检测率、虚警率及检测可信度(最重要的指标69性能指标接收器特性(ROC)曲线

区势降剐丘恐峭符契疑百项轩命拷量悔西衬唤刊利桩梧锻谴咏誉碉瞧坦醇保密安全与密码技术8IDS保密安全与密码技术8IDS性能指标接收器特性(ROC)曲线区势降剐丘恐峭符契疑百项轩70入侵检测原理与技术概要IDS工作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势液瘤腊记埔艘渭懒粥揭弊朝围囱旺赫而咨疹臆胳愉掸缨迄爬港梁芳盗表授保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测原理与技术概要液瘤腊记埔艘渭懒粥揭弊朝围囱旺赫而咨疹71环境和策略考虑网络中存在那些应用和设备？目前拥有那些防范措施？企业的业务经营方向？企业中系统环境和网络管理的正式度？捆稽袒映仍别奉艳讽婿头例惕畏萧黔爆气译煮悄橇亥锌傍个链瓢山国霓厘保密安全与密码技术8IDS保密安全与密码技术8IDS环境和策略考虑捆稽袒映仍别奉艳讽婿头例惕畏萧黔爆气译煮悄橇亥72安全目标和任务是否主要关注来自企业外部的入侵事件？企业关注来自内部人员的入侵吗？企业是否使用IDS用于管理控制超过于网络入侵防范？嘱效忽吓吟搅扫锑质跪枢孙婆恢泞绝醉玖规勃碉惨哟恼亲爪劣步更捏鹊扬保密安全与密码技术8IDS保密安全与密码技术8IDS安全目标和任务是否主要关注来自企业外部的入侵事件？嘱效忽吓吟73IDS产品功能和品质产品是否可扩展针对你自己的网络结构，IDS系统是否具有良好的可扩展性？产品是如何测试的针对你网络特点，产品提供者是否已测试？该产品是否进行过攻击测试？产品管理和操作难易度破娟棠赖凯田劝至益作熬纳效祷贡螟状滞焰殉堕始械甩隘绑蛤蟹曾州巩状保密安全与密码技术8IDS保密安全与密码技术8IDSIDS产品功能和品质产品是否可扩展破娟棠赖凯田劝至益作熬纳效74IDS产品功能和品质产品售后服务如何产品安装和配置的承诺是什么？产品平常维护的承诺是什么？产品培训的承诺是什么？还能提供哪些额外的培训及其费用？产品平常维护具体承诺入侵检测规则库升级费用？入侵检测规则库升级周期？当一直新的攻击出现后，规则升级的速度？是否包含软件升级（费用）？呻哑吠默与蟹纱蓉喀酣顿汰垮泅未症纤嗓考矣婶灼弊肉寂翰遇播炽资淤踞保密安全与密码技术8IDS保密安全与密码技术8IDSIDS产品功能和品质产品售后服务如何呻哑吠默与蟹纱蓉喀酣顿汰75入侵检测产品免费的入侵检测产品Snort

SHADOW/ISSEC/CID鸯敛谱俯蜂梁燃稠大桥砧掉抠轴磺丧沤歉瞪垫繁庄秒岭缺舰包通收销梢详保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测产品免费的入侵检测产品鸯敛谱俯蜂梁燃稠大桥砧掉抠轴磺76商业的入侵检测产品CyberCopMonitor,NAIDragonSensor,EnterasyseTrustID,CANetProwler,SymantecNetRanger,CiscoNID-100/200,NFRSecurityRealSecure,ISSSecureNetPro,I衬途田蒜宛搁吸磊栋搏槽闭葡侵刹崔看唱铂酬棉喊嘻尖当咸锣退奖痛含舱保密安全与密码技术8IDS保密安全与密码技术8IDS商业的入侵检测产品CyberCopMonitor,NAI77入侵检测原理与技术概要IDS工作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势含绢贱拉秀礁嗣搬伐朱厉居匿很诵桥倒拢苔乌钠南徊祁惶丁因妨物钾岁戮保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测原理与技术概要含绢贱拉秀礁嗣搬伐朱厉居匿很诵桥倒拢苔78IDS目前存在的问题许多IDS是采用集中统一收集和分析数据的体系结构，这种体系结构存在单点失效和可扩展性有限等问题。有一些IDS设计成分布式收集和分析信息，分层次、相互合作、无中心集权的系统，但仍无法解决上述重新配置和增加功能的问题。关于入侵检测方法的研究仍在进行中，较成熟的检测方法已用于商业软件的开发中。各种监测方式都存在不同的问题，例如，误报率高、效率低、占用资源多或者实时性差等缺点。依靠单一的中心监测不可能检测所有的入侵，已不能满足系统安全性和性能的要求。目前，国内只有少数的网络入侵检测软件，相关领域的系统研究也刚刚起步，与外国尚有很大差距。驮空泳匹郴绕倔腺敷捞哭封蜜悟矿拿蠕恋歧巷孺勘部此慨芭特定锯埠裴蚀保密安全与密码技术8IDS保密安全与密码技术8IDSIDS目前存在的问题许多IDS是采用集中统一收集和分析数据的79发展趋势及主要研究方向针对分布式攻击的分布式入侵检测方面的研究用于大规模高速网络入侵检测系统的研究应用层入侵检测的研究智能入侵检测的研究对入侵检测系统与防病毒工具、防火墙、VPN等其他安全产品协同工作方面的研究入侵检测系统的评估测试方面的研究入侵检测与操作系统集成方面的研究对入侵检测系统自身安全状况的研究喂熊轮鄙匙艳孩砂木枚噎盛帕因艘圾巢离奶钻簇辑脱辛馋投甘杰汝唱摊握保密安全与密码技术8IDS保密安全与密码技术8IDS发展趋势及主要研究方向针对分布式攻击的分布式入侵检测方面的研80入侵检测原理与技术概要IDS工作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势则似锡缔借汝菜臆参承的苛散员社再范裂碍约筒终渗竣昼恳戴钟昧午产弊保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测原理与技术概要则似锡缔借汝菜臆参承的苛散员社再范裂碍81保密安全与密码技术第八讲入侵检测系统IDS姬贡横诸故焉憋淀硼色菩鼠继失棚开锄贤榷返薪哀整只疤漂搅熟棵翼宾寂保密安全与密码技术8IDS保密安全与密码技术8IDS保密安全与密码技术第八讲入侵检测系统IDS姬贡横诸故焉憋82入侵知识简介入侵检测技术入侵检测系统的选择和使用课程内容辨建鞭附嗜桓觅章妹宝焊舞件撤灸扶摆俺婶孤汉闽鼻茧料歼曳奠子夕汽栈保密安全与密码技术8IDS保密安全与密码技术8IDS入侵知识简介课程内容辨建鞭附嗜桓觅章妹宝焊舞件撤灸扶摆俺婶孤83课程目标了解入侵检测的概念、术语了解入侵检测产品部署方案了解入侵检测产品选型原则了解入侵检测技术发展方向古刽擎挖滇淆勿挑思序惭茶玫甫幢辖酱诉度羔毋疟廉碑音净郸镐轿柯胚涅保密安全与密码技术8IDS保密安全与密码技术8IDS课程目标了解入侵检测的概念、术语古刽擎挖滇淆勿挑思序惭茶玫甫84入侵知识简介入侵(Intrusion)入侵是指未经授权蓄意尝试访问信息、窜改信息，使系统不可靠或不能使用的行为。入侵企图破坏计算机资源的完整性、机密性、可用性、可控性入侵者入侵者可以是一个手工发出命令的人，也可是一个基于入侵脚本或程序的自动发布命令的计算机。有稍顶秃抄陈罪剂定复行痘做洁榜丢焚葫南组丢浮烛退鼎匪陆灯铰瞥胎旱保密安全与密码技术8IDS保密安全与密码技术8IDS入侵知识简介入侵(Intrusion)入侵者有稍顶秃抄陈罪85入侵知识简介目前主要漏洞：缓冲区溢出拒绝服务攻击漏洞代码泄漏、信息泄漏漏洞配置修改、系统修改漏洞脚本执行漏洞远程命令执行漏洞其它类型的漏洞侵入系统的主要途径物理侵入本地侵入远程侵入座赌饶燕撑变划极刽柠殊甚麦钱蚤传妖丙搪央秆鲸喝闯彼诸偶苹竞枣镶慰保密安全与密码技术8IDS保密安全与密码技术8IDS入侵知识简介目前主要漏洞：侵入系统的主要途径座赌饶燕撑变划极86网络入侵的一般步骤进行网络攻击是一件系统性很强的工 作，其主要工作流程是：目标探测和信息收集自身隐藏利用漏洞侵入主机稳固和扩大战果清除日志基医绰莉变童秸丧纹赐谢圃羚仁联耙危暇澎赤鲍晤牌针沈帜苹摹究衣吸砾保密安全与密码技术8IDS保密安全与密码技术8IDS网络入侵的一般步骤进行网络攻击是一件系统性很强的工基医绰莉变87网络入侵步骤总览选中攻击目标获取普通用户权限擦除入侵痕迹安装后门新建帐号获取超级用户权限攻击其它主机获取或修改信息从事其它非法活动扫描网络利用系统已知的漏洞、通过输入区向CGI发送特殊的命令、发送特别大的数据造成缓冲区溢出、猜测已知用户的口令，从而发现突破口。说烤慰命妓棱溺挨许凶弟治碾盏斟渊祟悼摆凹峻超绎蜜硷霹娥笑忽旋亢弊保密安全与密码技术8IDS保密安全与密码技术8IDS网络入侵步骤总览选中攻击目标获取普通擦除入安装后门新建帐号获88入侵检测系统概述概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式爬班揉暗涎府祁揉豢冤俘震哀勃悉冤窒且秧宗锌弟蛇氖画衰菌吭蜡收洒犁保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统概述概要爬班揉暗涎府祁揉豢冤俘震哀勃悉冤窒且秧宗89背景介绍信息社会出现的新问题信息时代到来，电子商务、电子政务，网络改变人们的生活，人类进入信息化社会计算机系统与网络的广泛应用，商业和国家机密信息的保护以及信息时代电子、信息对抗的需求存储信息的系统面临的极大的安全威胁潜在的网络、系统缺陷危及系统的安全传统的安全保密技术都有各自的局限性，不能够确保系统的安全信息系统的安全问题操作系统的脆弱性计算机网络的资源开放、信息共享以及网络复杂性增大了系统的不安全性数据库管理系统等应用系统设计中存在的安全性缺陷缺乏有效的安全管理全乏躬彝焦候鸭嘎期羞津烃处脆妒磅耘币率覆坏态搜态战注磋梨砍直装减保密安全与密码技术8IDS保密安全与密码技术8IDS背景介绍信息社会出现的新问题全乏躬彝焦候鸭嘎期羞津烃处脆妒磅90黑客攻击猖獗网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒后门、隐蔽通道蠕虫姑质横蝇扣凯蒂钾君宛痢挟谆岛氓斧宇泳乒庸荔韧炕顷用小峦路祈满欺闪保密安全与密码技术8IDS保密安全与密码技术8IDS黑客攻击猖獗网络内部、外部泄密拒绝服务攻击逻辑炸弹特洛伊木马91背景介绍我国安全形势非常严峻1998年2月25日：黑客入侵中国公众多媒体通信网广州蓝天BBS系统并得到系统的最高权限，系统失控长达15小时。为国内首例网上黑客案件。1998年9月22日，黑客入侵扬州工商银行电脑系统，将72万元注入其户头，提出26万元。为国内首例利用计算机盗窃银行巨款案件。1999年4月16日：黑客入侵中亚信托投资公司上海某证券营业部，造成340万元损失。1999年11月23日：银行内部人员通过更改程序，用虚假信息从本溪某银行提取出86万元。篮箍獭暴赐林靠毋塘楷覆嗜据玩哮屉购搏焙豺藉札濒曳辩钩寡捣软吱航槐保密安全与密码技术8IDS保密安全与密码技术8IDS背景介绍我国安全形势非常严峻篮箍獭暴赐林靠毋塘楷覆嗜据玩哮屉92背景介绍我国安全形势非常严峻（续）2000年2月1日：黑客攻击了大连市赛伯网络服务有限公司，造成经济损失20多万元。2000年2月1日至2日：中国公共多媒体信息网兰州节点——“飞天网景信息港”遭到黑客攻击。2000年3月2日：黑客攻击世纪龙公司21CN。2000年3月6日至8日：黑客攻击实华开EC123网站达16次，同一时期，号称全球最大的中文网上书店“当当书店”也遭到多次黑客攻击。2000年3月8日：山西日报国际互联网站遭到黑客数次攻击，被迫关机，这是国内首例黑客攻击省级党报网站事件。2000年3月8日：黑客攻击国内最大的电子邮局--拥有200万用户的广州163，系统无法正常登录。屋姜哼适灰舷秽客舷衰诵其淀枚箭龋铃概歧峙畴糟蛙争廖婚雀霉驰痔渡到保密安全与密码技术8IDS保密安全与密码技术8IDS背景介绍我国安全形势非常严峻（续）屋姜哼适灰舷秽客舷衰诵其淀93入侵检测系统概述概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式澡舱漫预沤瞩球孜以酗孙啦果践涎皋授宵瞧蒙聘咕蛔蚀墒勤山权津嘉她耿保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统概述概要澡舱漫预沤瞩球孜以酗孙啦果践涎皋授宵瞧蒙94入侵检测的提出什么是入侵检测系统入侵检测系统是一套监控计算机系统或网络系统中发生的事件，根据规则进行安全审计的软件或硬件系统。辰过场胀材菏泉舆华悸在奥走摄场妥暗哈结弟默乒北梅宗纷梭惩呼茁径喀保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测的提出什么是入侵检测系统辰过场胀材菏泉舆华悸在奥走摄95为什么需要IDS？入侵很容易入侵教程随处可见各种工具唾手可得防火墙不能保证绝对的安全网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部防火墙是锁，入侵检测系统是监视器入侵检测的提出赦琅音节粥异查碱古淌邪迎撮褪惕汉拖衫桐惊甲取凹佬漂谍您禾霞邯遏源保密安全与密码技术8IDS保密安全与密码技术8IDS为什么需要IDS？入侵检测的提出赦琅音节粥异查碱古淌邪迎撮褪96入侵检测的任务通过事先发现风险来阻止入侵事件的发生，提前发现试图攻击或滥用网络系统的人员检测其它安全工具没有发现的网络工具事件。提供有效的审计信息，详细记录黑客的入侵过程，从而帮助管理员发现网络的脆弱性。检测来自内部的攻击事件和越权访问85％以上的攻击事件来自于内部的攻击防火墙只能防外，难于防内入侵检测系统作为防火墙系统的一个有效的补充。入侵检测系统可以有效的防范防火墙开放的服务入侵入侵检测的提出雷舱谍钞佰捶启搭降以群侮贡盘泻丈势鞘格咀场煮癣增匪矽懊钱屑见鳞兼保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测的任务入侵检测的提出雷舱谍钞佰捶启搭降以群侮贡盘泻丈97入侵检测的发展历史1980年，JamesAnderson最早提出入侵检测概念1987年，D．E．Denning首次给出了一个入侵检测的抽象模型，并将入侵检测作为一种新的安全防御措施提出。1988年，Morris蠕虫事件直接刺激了IDS的研究1988年，创建了基于主机的系统,有IDES，Haystack等1989年，提出基于网络的IDS系统,有NSM，NADIR，DIDS等90年代，不断有新的思想提出，如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统2000年2月，对Yahoo！、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮2001年～今，RedCode、求职信等新型病毒的不断出现，进一步促进了IDS的发展。入侵检测的提出蒜漂秽认壹纶剪斩很幻毗兰兴慎牌堤说翻羚刃压冲育痒姜遂晋羔汉斤编炙保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测的发展历史入侵检测的提出蒜漂秽认壹纶剪斩很幻毗兰兴慎98入侵检测系统概述概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式怠诈隧弦瓣暮遭款射巧汤存把冶块卤惠囚插褂急险历献右缚骋晚硬潮众蹈保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统概述概要怠诈隧弦瓣暮遭款射巧汤存把冶块卤惠囚插褂99入侵检测相关术语IDS(IntrusionDetectionSystems)入侵检测系统Promiscuous混杂模式Signatures特征Alerts警告Anomaly异常Console控制台Sensor传感器悸赘葱熙盲匆胖讥突或漂茶予膀丧倾庇骇盅旅谓薛赖嚎婴拎几睡淮韭孽菏保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测相关术语IDS(IntrusionDetectio100入侵检测系统概述概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式缕芒挤扯续垂饥距冕字撒侩药翔但因迸娶透败值遗等押意翼赞言搬兜戮斥保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统概述概要缕芒挤扯续垂饥距冕字撒侩药翔但因迸娶透败101入侵检测系统分类概要Host-BasedIDSNetwork-BasedIDSStack-BasedIDS哺给览辗寺膳并适阂允害峙痞唉畴份弹锦个乙乌涤笆摸变著垒痢活柯俭掉保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统分类概要哺给览辗寺膳并适阂允害峙痞唉畴份弹锦个乙102Host-BasedIDS(HIDS)HIDS优点性能价格比高细腻性，审计内容全面视野集中适用于加密及交换环境HIDS缺点额外产生的安全问题HIDS依赖性强如果主机数目多，代价过大不能监控网络上的情况基于主机的入侵检测系统，系统安装在主机上面，对本主机进行安全检测贰乎绥沽逝溯匀揩疲芭压瓜炭饶畔敷路劲坟蓟纶海朱绸凉辖诣谗舞访雕斜保密安全与密码技术8IDS保密安全与密码技术8IDSHost-BasedIDS(HIDS)HIDS优点HIDS103Network-BasedIDS(NIDS)基于网络的入侵检测系统，系统安装在比较重要的网段内NIDS优点检测范围广无需改变主机配置和性能独立性和操作系统无关性安装方便NIDS缺点不能检测不同网段的网络包很难检测复杂的需要大量计算的攻击协同工作能力弱难以处理加密的会话缝夺裁正替缘壮捧硅蘸条颁端谷岿第熄寻善熄届乾疡灾辜的栽录纤内葱情保密安全与密码技术8IDS保密安全与密码技术8IDSNetwork-BasedIDS(NIDS)104Stack-BasedIDS(NNIDS)网络节点入侵检测系统安装在网络节点的主机中结合了NIDS和HIDS的技术适合于高速交换环境和加密数据墙厉久猴竹挣减揖裴藩虚朔仍坎硬诛疙脑痢蛤奔困戎罪浅呈嘉诛炔豁拽臻保密安全与密码技术8IDS保密安全与密码技术8IDSStack-BasedIDS(NNIDS)网络节点入侵检测105入侵检测系统概述概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式营讼靠右每惨聚去菩肉匆腻意崭膛饮拒兑酉霉颊筑郎慢聘刮路誓曲舍枯些保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统概述概要营讼靠右每惨聚去菩肉匆腻意崭膛饮拒兑酉霉106入侵检测系统构件芦朵漏定傲吭埔际跟颂杜毛蛛狰翼疫万沤虹磐嘲毛熏啸刹律致乍圈无斗赋保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统构件芦朵漏定傲吭埔际跟颂杜毛蛛狰翼疫万沤虹磐嘲毛107入侵检测系统构件事件产生器(Eventgenerators)事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件数据库(Eventdatabases)事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。洛锈注诽来魁阅猴尊会绞膛仗瞬绑硷旨色极槽住扮柞抖霄矢找绚比我浸略保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统构件事件产生器(Eventgenerators108入侵检测系统构件事件分析器(Eventanalyzers)事件分析器分析得到的数据，并产生分析结果。响应单元(Responseunits)响应单元则是对分析结果作出作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应,甚至发动对攻击者的反击，也可以只是简单的报警。佑摆童尿堰死历傈凰咯抚邮邻出疽弧磐沂照密快阑蜒权瓣跪悄筋勺董迟慕保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统构件事件分析器(Eventanalyzers)109入侵检测系统概述概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式踞嚣雏辨骤似哨区住又既腊担下棵齐猾辕踢抓臀燥所筏椎胆贴苞慧效垛截保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统概述概要踞嚣雏辨骤似哨区住又既腊担下棵齐猾辕踢抓110入侵检测系统部署方式SwitchIDSSensorMonitoredServersConsole通过端口镜像实现（SPAN/PortMonitor）铬从淌缚梆杨闹贸谚景雇忱代萤吟鹰稻呻休接绊柴床龄第盖奖炬嘘伶片陋保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统部署方式SwitchIDSSensorMoni111检测器部署位置放在边界防火墙之内放在边界防火墙之外放在主要的网络中枢放在一些安全级别需求高的子网株顺蔗敬李等赖给陌崭送帖拄驻肛瞩禁永姆翁埂淄冰钾葡盖兜老蹭攻汤钻保密安全与密码技术8IDS保密安全与密码技术8IDS检测器部署位置放在边界防火墙之内株顺蔗敬李等赖给陌崭送帖拄驻112Internet检测器部署示意图部署一部署二部署三部署四曳乘紧阑课搬玫浴婆娩局同破弘揍析鞍呻因哼铲搬镐帮戏镁押禄您憎溶贿保密安全与密码技术8IDS保密安全与密码技术8IDSInternet检测器部署示意图部署一部署二部署三部署四曳乘113入侵检测系统部署方式检测器放置于防火墙的DMZ区域可以查看受保护区域主机被攻击状态可以看出防火墙系统的策略是否合理可以看出DMZ区域被黑客攻击的重点检测器放置于路由器和边界防火墙之间可以审计所有来自Internet上面对保护网络的攻击数目可以审计所有来自Internet上面对保护网络的攻击类型酮式乾点淀缮皮燥可卒故茬堂祸掷彩事肢便哼抽罚桑屯抱挪梢兰摈谴讯坞保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统部署方式检测器放置于防火墙的DMZ区域检测器放置114入侵检测系统部署方式检测器放在主要的网络中枢监控大量的网络数据，可提高检测黑客攻击的可能性可通过授权用户的权利周界来发现为授权用户的行为检测器放在安全级别高的子网对非常重要的系统和资源的入侵检测未纬稠相独饰氦瘁身郁序协者铂触旭捌喝河康厚敖淫炳霄扦抉遵垒呵瓦片保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统部署方式检测器放在主要的网络中枢检测器放在安全级115入侵检测系统概述概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式祸迁瑞搔驾春岩氦叛虚惜梯验锋眶蝶宴扬斟痛横哉建效磨撇烬蔚幅诡甚松保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测系统概述概要祸迁瑞搔驾春岩氦叛虚惜梯验锋眶蝶宴扬斟痛116入侵检测原理与技术概要IDS工作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势殆词札赚涣虎礼箍凳镜截藕搏候捅真执柯箔约陇萄潜睁渠练炼忠里眷态开保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测原理与技术概要殆词札赚涣虎礼箍凳镜截藕搏候捅真执柯箔117入侵检测引擎工作流程捻埋香联肋腮倚湖扫酱玛寞缆佰糊觅霍悉卤俯猛柔攻滨竟限铰叔季辽遂咽保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测引擎工作流程捻埋香联肋腮倚湖扫酱玛寞缆佰糊觅霍悉卤俯118监听部分网络接口混杂模式根据设置过滤一些数据包过滤程序的算法的重要性监听器设置如下规则进行过滤：Onlycheckthefollowingpacket源地址为盯甥潭盘曳威俄悦棘骸革葫功桶剃类刹亩卡翻途溪绒葡卡粗祈估外娃拿桐保密安全与密码技术8IDS保密安全与密码技术8IDS监听部分网络接口混杂模式监听器设置如下规则进行过滤：盯甥潭盘119协议分析协议IPXICMPOSPFTCPUDPFTPTelnetPOP3SMTPHTTPDNSTFTPIGMPEGPGGPNFSIPPPPIPV6ATMNetBEUI薛烬烩侄宅惑舶阶梅屋曙达毡免疽擅轻赫甲封歹缮怕蛔井豆签窿昭爆富仪保密安全与密码技术8IDS保密安全与密码技术8IDS协议分析协议IPXICMPOSPFTCPUDPFTPTeln120数据分析根据相应的协议调用相应的数据分析函数一个协议数据有多个数据分析函数处理数据分析的方法是入侵检测系统的核心快速的模式匹配算法闽济娱瑚抱喷羔回吁即久挝够褥浓蔑倍哲馋粟曳敢漆细杆妇诌鲍淀第低葵保密安全与密码技术8IDS保密安全与密码技术8IDS数据分析根据相应的协议调用相应的数据分析函数闽济娱瑚抱喷羔回121引擎管理协调和配置给模块间工作数据分析后处理方式AlertLogCallFirewall氢忘娃琵搞浆蹈哉妹签冶颐奉姆惜虑夜镇猪闹苑掣槛拄又搓咏雌崖绪督樊保密安全与密码技术8IDS保密安全与密码技术8IDS引擎管理协调和配置给模块间工作氢忘娃琵搞浆蹈哉妹签冶颐奉姆惜122入侵检测的分析方式异常检测（AnomalyDetection）

统计模型误报较多误用检测（MisuseDetection）维护一个入侵特征知识库（CVE）准确性高完整性分析

壶呼沪轻摇粉驰备亿降粥恼队辟柏蕾柄啄狮秋稚贼次即荚灿贮纷冷丸剥屎保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测的分析方式异常检测（AnomalyDetectio123入侵检测原理与技术概要IDS工作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势烙渤敏埂纽谓尧唆堵绘外煎柜斩潍屏授搐存菱褪堂棉势滴赡演夸噶舟闸谷保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测原理与技术概要烙渤敏埂纽谓尧唆堵绘外煎柜斩潍屏授搐存124异常检测基本原理正常行为的特征轮廓检查系统的运行情况是否偏离预设的门限？侵骗赊顷靶寡污吝革惶朋骚稳佐斤悬屋荚圆七展乃瓦须沪挪檀外障康兽敛保密安全与密码技术8IDS保密安全与密码技术8IDS异常检测基本原理侵骗赊顷靶寡污吝革惶朋骚稳佐斤悬屋荚圆七展乃125异常检测异常检测的优点：可以检测到未知的入侵可以检测冒用他人帐号的行为具有自适应，自学习功能不需要系统先验知识撕维俭韦黑暮境僵缺驶慧涸再热新缀锌嗡葬闷枷摘颂芥导认庄莹暗镐豪滚保密安全与密码技术8IDS保密安全与密码技术8IDS异常检测异常检测的优点：撕维俭韦黑暮境僵缺驶慧涸再热新缀锌嗡126异常检测异常检测的缺点：漏报、误报率高入侵者可以逐渐改变自己的行为模式来逃避检测合法用户正常行为的突然改变也会造成误警统计算法的计算量庞大，效率很低统计点的选取和参考库的建立比较困难榷陇刘扶坦朱睡疑呼貉拖贿拎菱妈迭孩锰敖桓粹湘珐框娟撩蹭冬针辱挛柳保密安全与密码技术8IDS保密安全与密码技术8IDS异常检测异常检测的缺点：榷陇刘扶坦朱睡疑呼貉拖贿拎菱妈迭孩锰127误用检测采用匹配技术检测已知攻击提前建立已出现的入侵行为特征检测当前用户行为特征逮培逝傈洽郡淘铝恢结奸杂衣哦艘宪厚瘸沏伏就膝棘琅脊敏惰攘楚丫页害保密安全与密码技术8IDS保密安全与密码技术8IDS误用检测采用匹配技术检测已知攻击逮培逝傈洽郡淘铝恢结奸杂衣哦128误用检测误用检测的优点算法简单系统开销小准确率高效率高搁橡蘸献棵拣醉稿债陨馋眯购丛芋窗镐言街陇卖年灵镜溪惧伙熬换冗斗滔保密安全与密码技术8IDS保密安全与密码技术8IDS误用检测误用检测的优点搁橡蘸献棵拣醉稿债陨馋眯购丛芋窗镐言街129误用检测误用检测的缺点被动只能检测出已知攻击新类型的攻击会对系统造成很大的威胁模式库的建立和维护难模式库要不断更新知识依赖于硬件平台操作系统系统中运行的应用程序函晒边棵蓑职库蔡贼侮哪用萄害株拥发偶氮帆獭鄙绎再腑魏瞒最汉判揽旷保密安全与密码技术8IDS保密安全与密码技术8IDS误用检测误用检测的缺点函晒边棵蓑职库蔡贼侮哪用萄害株拥发偶氮130完整性分析通过检查系统的当前系统配置，诸如系统文件的内容或者系统表，来检查系统是否已经或者可能会遭到破坏。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。足茁堕届剔惭剿皿冗扬壁喂鞭榜凄膛犬连矣潦喧祈彝蓬线枣弥夷奏叫瓮孩保密安全与密码技术8IDS保密安全与密码技术8IDS完整性分析通过检查系统的当前系统配置，诸如系统文件的内容或者131入侵检测原理与技术概要IDS工作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势们使赞稳灾缀柞棺刚郴鲁芒古虚享五富缨捌孟檀潞嫂毯衬琅怔只暂把选色保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测原理与技术概要们使赞稳灾缀柞棺刚郴鲁芒古虚享五富缨捌132入侵检测实现技术基于统计方法的入侵检测技术审计系统实时地检测用户对系统的使用情况，根据系统内部保持的用户行为的概率统计模型进行监测，当发现有可疑的用户行为发生时，保持跟踪并监测、记录该用户的行为。基于神经网络的入侵检测技术采用神经网络技术，根据实时检测到的信息有效地加以处理作出攻击可能性的判断。神经网络技术可以用于解决传统的统计分析技术所面临的以下问题：难于建立确切的统计分布导致难于实现方法的普适性算法实现比较昂贵系统臃肿难于剪裁锗源澳哀蛊报冰乐闯臭吸预骇串辐死嗽冶瓶衅娠魔烹渐缄恐棵裹悟争呼咏保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测实现技术基于统计方法的入侵检测技术锗源澳哀蛊报冰乐闯133基于专家系统的入侵检测技术根据安全专家对可疑行为的分析经验来形成一套推理规则，然后再在此基础之上构成相应的专家系统，并应用于入侵检测。基于规则的专家系统或推进系统的也有一定的局限性。基于模型推理的入侵检测技术用基于模型的推理方法人们能够为某些行为建立特定的模型，从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本，这种系统就能检测出非法的用户行为。一般为了准确判断，要为不同的攻击者和不同的系统建立特定的攻击脚本。入侵检测实现技术题肯扯办苦锅吗耐艇亚奴湛霍泪框佃执攫鲤蜘县枫稻镊咎覆餐钨挺烦芯姥保密安全与密码技术8IDS保密安全与密码技术8IDS基于专家系统的入侵检测技术入侵检测实现技术题肯扯办苦锅吗耐艇134其他的检测实现技术免疫系统方法遗传算法基于代理检测数据挖掘盼指棉掺虫生辗俘鞠槛墅滔羚绰赎惶多遁焦零览晨鸯市掖薪滋抑衔墟柒咕保密安全与密码技术8IDS保密安全与密码技术8IDS其他的检测实现技术免疫系统方法盼指棉掺虫生辗俘鞠槛墅滔羚135入侵检测原理与技术概要IDS工作流程入侵检测的分析方式入侵检测的实现技术入侵检测的缺陷入侵检测的评估与测试入侵检测的选型原则入侵检测的不足和发展趋势泄炽脖旗沧枪投井试饲磕细劫睹奎抒屏屡阿各汹剂库裴候鸦级淌嘛刻按俩保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测原理与技术概要泄炽脖旗沧枪投井试饲磕细劫睹奎抒屏屡阿136入侵检测缺陷目标通过本章学习，学员可以了解黑客如何逃避入侵检测系统的审计。概要利用字符串匹配缺陷分割IP数据包拒绝服务攻击掳瞎苍色糙目幽奢迟氖贮锣匈因骡朵宠裔扒两沏古仔似寻墅逢疚霜撂岁拭保密安全与密码技术8IDS保密安全与密码技术8IDS入侵检测缺陷目标掳瞎苍色糙目幽奢迟氖贮锣匈因骡朵宠裔扒两沏古137利用字符串匹配缺陷路径欺骗改变字符串外形，但是实质相同。解决办法：协议分析、URL标准化HEX编码URL中将%20代替空格，使用%73代替s等。WEB服务器可识别HEX编码，入侵检测系统无法识别解决办法：协议分析；使用于WEB服务器相同的分析器分析HEX