第06讲 IDS.ppt

第6讲 IDS 基本概念 入侵、入侵检测系统 一、背景与意义 1、背景与意义 2、信息系统的安全问题 3、操作系统的安全问题 4、计算机网络的安全问题 5、Internet 的安全问题的产生 6、信息系统面临的安全威胁 1、背景与意义 信息时代到来，电子商务、电子政务，网络改变人们的生活，人类进入信息化社会 计算机系统与网络的广泛应用，商业和国家机密信息的保护以及信息时代电子、信息对抗的需求 存储信息的系统面临的极大的安全威胁 潜在的网络、系统缺陷危及系统的安全 传统的安全必威体育官网网址技术都有各自的局限性，不能够确保系统的安全 2、信息系统的安全问题 操作系统的脆弱性 计算机网络的资源开放、信息共享以及网络复杂性增大了系统的不安全性 数据库管理系统等应用系统设计中存在的安全性缺陷 缺乏有效的安全管理 3、操作系统的安全问题（1） 不安全因素 模块层次结构、动态连接、打补丁、安全管理 网络安装、传输程序 创建进程、远端进程创立、特权继承 RPC（远程过程调用） NFS（网络文件系统） DAEMON（守护进程） DEBUG 开放端口、隐蔽通道 系统集成与开放和安全有矛盾 3、操作系统的安全问题（2） 3、操作系统的安全问题（3） 4、计算机网络的安全问题 5、Internet 的安全问题的产生 Internet起于研究项目,安全不是主要的考虑 少量的用户，多是研究人员,可信的用户群体 可靠性(可用性)、计费、性能 、配置、安全 “Security issues are not discussed in this memo” 网络协议的开放性与系统的通用性 目标可访问性，行为可知性 攻击工具易用性 Internet 没有集中的管理权威和统一的政策 安全政策、计费政策、路由政策 6、信息系统面临的安全威胁 网络犯罪、黑客对网络与系统攻击 计算机病毒 特洛伊木马 蠕虫 隐蔽通道 拒绝服务攻击 来自系统内部的入侵攻击或信息泄露等 7、入侵攻击复杂性与入侵者所需知识 二、入侵知识简介 1、入侵 (Intrusion) 2、漏洞 3、主要漏洞 4、入侵者 5、侵入系统的主要途径 1、入侵 (Intrusion) 入侵是指未经授权蓄意尝试访问信息、窜改信息， 使系统不可靠或不能使用的行为。它企图破坏计算 机资源的： 完整性(Integrity)：指数据未经授权不能被改变。 机密性（confidentiality）：指只有合法的授权用户才能对机密的或受限的数据进行存取。 可用性（Availability）：是指计算机资源在系统合法用户需要使用时必须是可用的。 可控性（Controliability）：是指可以控制授权范围内的信息流向及行为方式。有的也称不可否认性(Non-repudiation)。 2、漏洞 入侵要利用漏洞，漏洞是指系统硬件、操 作系统、软件、网络协议等在设计上、实 现上出现的可以被攻击者利用的错误、缺 陷和疏漏。 3、主要漏洞 按照漏洞的性质，现有的漏洞主要有： l??缓冲区溢出 l??拒绝服务攻击漏洞 l??代码泄漏、信息泄漏漏洞 l? 配置修改、系统修改漏洞 l? 脚本执行漏洞 l??远程命令执行漏洞 l??其它类型的漏洞 4、入侵者 入侵者可以是一个手工发出命令的人，也可是一个基于入侵脚本或程序的自动发布命令的计算机。 入侵者一般可以分为两类：内部的（一般指系统中的合法用户但违规或者越权操作）和外部的（一般指系统中的非法用户） 。 5、侵入系统的主要途径 入侵者进入系统的主要途径有： l?物理侵入：指一个入侵者对主机有物理进入权限，比如他们能使用键盘，有权移走硬盘等。 l?本地侵入: 这类侵入表现为入侵者已经拥有在系统用户的较低权限。如果系统没有打必威体育精装版的漏洞补丁，就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。 l??远程侵入: 这类入侵指入侵者通过网络远程进入系统。比如通过植入木马实现对目标主机的控制，从远程发起对目标主机的攻击等。 三、攻击的一般步骤 1、攻击的一般步骤 2、目标探测和信息收集 3、远程攻击 4、清除日志 5、留下后门 6、攻击一般步骤总览 1、攻击的一般步骤 进行网络攻击是一件系统性很强的工 作，其主要工作流程是：收集情报，远 程攻击，清除日志，留下后门。 2、目标探测和信息收集（1） 为了实现攻击，入侵者一般会首先在网络上扫描可以攻击的主机，可以利用的端口，并收集这些目标主机的相关信息。 方法有三种： 1、网络监听。如：NetXRay,tcpdump等。 2、端口扫描。如：Port Scan、Nmap等。 3、漏洞扫描。如：x-scan、Nessus等。 2、目标探测和信息收集（2）网络监听 得到用户账号密码 窃取信息 使用技术：网络