网络入侵检测与防范技术.ppt
《网络入侵检测与防范技术.ppt》由会员分享,可在线阅读,更多相关《网络入侵检测与防范技术.ppt(192页珍藏版)》请在冰豆网上搜索。
入侵检测技术入侵检测技术国家信息化安全教育认证培训课程国家信息化安全教育认证培训课程参加课程需掌握的知识参加课程需掌握的知识TCP/IP协议原理协议原理对防火墙有初步认识对防火墙有初步认识对局域网和广域网有初步认识对局域网和广域网有初步认识Unix简单操作简单操作课程内容课程内容入侵知识简介入侵知识简介入侵检测技术入侵检测技术入侵检测系统的选择和使用入侵检测系统的选择和使用课程目标课程目标了解入侵检测的概念、术语了解入侵检测的概念、术语掌握网络入侵技术和黑客惯用的各种手段掌握网络入侵技术和黑客惯用的各种手段掌握入侵检测系统防范入侵原理掌握入侵检测系统防范入侵原理了解入侵检测产品部署方案了解入侵检测产品部署方案了解入侵检测产品选型原则了解入侵检测产品选型原则了解入侵检测技术发展方向了解入侵检测技术发展方向1.入侵检测系统概述入侵检测系统概述概要概要背景介绍入侵检测的提出入侵检测相关术语入侵检测系统分类入侵检测系统构件入侵检测系统部署方式动态安全模型P2DR1.1背景介绍背景介绍1.1.1信息社会出现的新问题信息社会出现的新问题信息时代到来,电子商务、电子政务,网络改变人们的生活,人类进入信息化社会计算机系统与网络的广泛应用,商业和国家机密信息的保护以及信息时代电子、信息对抗的需求存储信息的系统面临的极大的安全威胁潜在的网络、系统缺陷危及系统的安全传统的安全保密技术都有各自的局限性,不能够确保系统的安全1.1背景介绍背景介绍1.1.2信息系统的安全问题信息系统的安全问题操作系统的脆弱性计算机网络的资源开放、信息共享以及网络复杂性增大了系统的不安全性数据库管理系统等应用系统设计中存在的安全性缺陷缺乏有效的安全管理1.1.3黑客攻击猖獗网络网络内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫这就是黑客1.1背景介绍背景介绍1.1.4我国安全形势非常严峻我国安全形势非常严峻1998年2月25日:
黑客入侵中国公众多媒体通信网广州蓝天BBS系统并得到系统的最高权限,系统失控长达15小时。
为国内首例网上黑客案件。
1998年9月22日,黑客入侵扬州工商银行电脑系统,将72万元注入其户头,提出26万元。
为国内首例利用计算机盗窃银行巨款案件。
1.1背景介绍背景介绍1.1.4我国安全形势非常严峻(续)我国安全形势非常严峻(续)1999年4月16日:
黑客入侵中亚信托投资公司上海某证券营业部,造成340万元损失。
1999年11月14日至17日:
新疆乌鲁木齐市发生首起针对银行自动提款机的黑客案件,用户的信用卡被盗1.799万元。
1999年11月23日:
银行内部人员通过更改程序,用虚假信息从本溪某银行提取出86万元。
1.1背景介绍背景介绍1.1.4我国安全形势非常严峻(续)我国安全形势非常严峻(续)2000年2月1日:
黑客攻击了大连市赛伯网络服务有限公司,造成经济损失20多万元。
2000年2月1日至2日:
中国公共多媒体信息网兰州节点“飞天网景信息港”遭到黑客攻击。
2000年3月2日:
黑客攻击世纪龙公司21CN。
1.1背景介绍背景介绍1.1.4我国安全形势非常严峻(续)我国安全形势非常严峻(续)2000年3月6日至8日:
黑客攻击实华开EC123网站达16次,同一时期,号称全球最大的中文网上书店“当当书店”也遭到多次黑客攻击。
2000年3月8日:
山西日报国际互联网站遭到黑客数次攻击,被迫关机,这是国内首例黑客攻击省级党报网站事件。
2000年3月8日:
黑客攻击国内最大的电子邮局-拥有200万用户的广州163,系统无法正常登录。
1.1背景介绍背景介绍1.1.4我国安全形势非常严峻(续)我国安全形势非常严峻(续)2001年3月9日:
IT-全国网上连锁商城遭到黑客袭击,网站页面文件全部被删除,各种数据库遭到不同程度破坏,网站无法运行,15日才恢复正常,损失巨大。
2001年3月25日:
重庆某银行储户的个人帐户被非法提走5万余元。
2001年6月11、12日:
中国香港特区政府互联网服务指南主页遭到黑客入侵,服务被迫暂停。
被黑的被黑的WEBWEB页面页面DOJHOMEPAGE1.2入侵检测的提出入侵检测的提出1.2.1什么是入侵检测系统什么是入侵检测系统入侵检测系统是一套监控计算机系统或网络系统中发生的事件,根据规则进行安全审计的软件或硬件系统。
1.2入侵检测的提出入侵检测的提出1.2.2为什么需要为什么需要IDS?
入侵很容易入侵很容易入侵教程随处可见各种工具唾手可得防火墙不能保证绝对的安全防火墙不能保证绝对的安全网络边界的设备自身可以被攻破对某些攻击保护很弱不是所有的威胁来自防火墙外部防火墙是锁,入侵检测系统是监视器1.2入侵检测的提出入侵检测的提出1.2.3入侵检测的任务入侵检测的任务检测来自内部的攻击事件和越权访问检测来自内部的攻击事件和越权访问85以上的攻击事件来自于内部的攻击防火墙只能防外,难于防内入侵检测系统作为防火墙系统的一个有效入侵检测系统作为防火墙系统的一个有效的补充的补充入侵检测系统可以有效的防范防火墙开放的服务入侵1.2入侵检测的提出入侵检测的提出1.2.3入侵检测的任务入侵检测的任务通过事先发现风险来阻止入侵事件的发生,提前发现试图攻击或滥用网络系统的人员。
检测其它安全工具没有发现的网络工具事件。
提供有效的审计信息,详细记录黑客的入侵过程,从而帮助管理员发现网络的脆弱性。
1.2入侵检测的提出入侵检测的提出1.2.3入侵检测的任务入侵检测的任务网络中可被入侵者利用的资源在一些大型的网络中,管理员没有时间跟踪系统漏洞并且安装相应的系统补丁程序。
用户和管理员在配置和使用系统中的失误。
对于一些存在安全漏洞的服务、协议和软件,用户有时候不得不使用。
1.2入侵检测的提出入侵检测的提出1.2.4入侵检测的发展历史入侵检测的发展历史1980年,JamesAnderson最早提出入侵检测概念1987年,DEDenning首次给出了一个入侵检测的抽象模型,并将入侵检测作为一种新的安全防御措施提出。
1988年,Morris蠕虫事件直接刺激了IDS的研究1988年,创建了基于主机的系统,有IDES,Haystack等1989年,提出基于网络的IDS系统,有NSM,NADIR,DIDS等1.2入侵检测的提出入侵检测的提出1.2.4入侵检测的发展历史(续)入侵检测的发展历史(续)90年代,不断有新的思想提出,如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统2000年2月,对Yahoo!
、Amazon、CNN等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮2001年今,RedCode、求职信等新型病毒的不断出现,进一步促进了IDS的发展。
1.3入侵检测相关术语入侵检测相关术语IDS(IntrusionDetectionSystems)入侵检测系统Promiscuous混杂模式Signatures特征1.3入侵检测相关术语入侵检测相关术语Alerts警告Anomaly异常1.3入侵检测相关术语入侵检测相关术语Console控制台Sensor传感器1.4入侵检测系统分类入侵检测系统分类概要概要Host-BasedIDSNetwork-BasedIDSStack-BasedIDS1.4入侵检测系统分类入侵检测系统分类1.4.1Host-BasedIDS(HIDS)基于主机的入侵检测系统系统安装在主机上面,对本主机进行安全检测1.4入侵检测系统分类入侵检测系统分类HIDS优点优点性能价格比高细腻性,审计内容全面视野集中适用于加密及交换环境1.4入侵检测系统分类入侵检测系统分类HIDS缺点缺点额外产生的安全问题HIDS依赖性强如果主机数目多,代价过大不能监控网络上的情况1.4入侵检测系统分类入侵检测系统分类1.4.2Network-BasedIDS(NIDS)基于网络的入侵检测系统系统安装在比较重要的网段内1.4入侵检测系统分类入侵检测系统分类NIDS优点优点检测范围广无需改变主机配置和性能独立性和操作系统无关性安装方便1.4入侵检测系统分类入侵检测系统分类NIDS缺点缺点不能检测不同网段的网络包很难检测复杂的需要大量计算的攻击协同工作能力弱难以处理加密的会话1.4入侵检测系统分类入侵检测系统分类1.4.3Stack-BasedIDS(NNIDS)网络节点入侵检测系统安装在网络节点的主机中结合了NIDS和HIDS的技术适合于高速交换环境和加密数据1.5入侵检测系统构件入侵检测系统构件1.5入侵检测系统构件入侵检测系统构件事件产生器事件产生器(Eventgenerators)事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
1.5入侵检测系统构件入侵检测系统构件事件分析器事件分析器(Eventanalyzers)事件分析器分析得到的数据,并产生分析结果。
1.5入侵检测系统构件入侵检测系统构件响应单元响应单元(Responseunits)响应单元则是对分析结果作出作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,甚至发动对攻击者的反击,也可以只是简单的报警。
1.5入侵检测系统构件入侵检测系统构件事件数据库事件数据库(Eventdatabases)事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
1.6入侵检测系统部署方式入侵检测系统部署方式SwitchIDSSensorMonitoredServersConsole通过端口镜像实现通过端口镜像实现(SPAN/PortMonitor)1.6入侵检测系统部署方式入侵检测系统部署方式检测器部署位置检测器部署位置放在边界防火墙之内放在边界防火墙之外放在主要的网络中枢放在一些安全级别需求高的子网Internet检测器部署示意图检测器部署示意图部署一部署二部署三部署三部署四部署四1.6入侵检测系统部署方式入侵检测系统部署方式检测器放置于防火墙的检测器放置于防火墙的DMZ区域区域可以查看受保护区域主机被攻击状态可以看出防火墙系统的策略是否合理可以看出DMZ区域被黑客攻击的重点1.6入侵检测系统部署方式入侵检测系统部署方式检测器放置于路由器和边界防火墙之间检测器放置于路由器和边界防火墙之间可以审计所有来自Internet上面对保护网络的攻击数目可以审计所有来自Internet上面对保护网络的攻击类型1.6入侵检测系统部署方式入侵检测系统部署方式检测器放在主要的网络中枢检测器放在主要的网络中枢监控大量的网络数据,可提高检测黑客攻击的可能性可通过授权用户的权利周界来发现为授权用户的行为1.6入侵检测系统部署方式入侵检测系统部署方式检测器放在安全级别高的子网检测器放在安全级别高的子网对非常重要的系统和资源的入侵检测1.7动态安全模型动态安全模型P2DR1.7动态安全模型动态安全模型P2DRPolicy策略策略Protection防护防护Detection检测检测Response响应响应2.网络入侵技术网络入侵技术概要概要入侵知识简介网络入侵的一般步骤2.1入侵知识简介入侵知识简介入侵入侵(Intrusion)入侵是指未经授权蓄意尝试访问信息、窜改信息,使系统不可靠或不能使用的行为。
入侵企图破坏计算机资源的完整性、机密性、可用性、可控性2.1入侵知识简介入侵知识简介目前主要漏洞:
目前主要漏洞:
缓冲区溢出拒绝服务攻击漏洞代码泄漏、信息泄漏漏洞配置修改、系统修改漏洞脚本执行漏洞远程命令执行漏洞其它类型的漏洞2.1入侵知识简介入侵知识简介入侵者入侵者入侵者可以是一个手工发出命令的人,也可是一个基于入侵脚本或程序的自动发布命令的计算机。
2.1入侵知识简介入侵知识简介侵入系统的主要途径侵入系统的主要途径物理侵入本地侵入远程侵入2.2网络入侵的一般步骤网络入侵的一般步骤进行网
升级会员 