第8讲 入侵检测技术-3学时.pdf

第8讲 入侵检测技术 本讲内容概要 1 入侵检测概述 2 入侵检测原理及主要方法 3 IDS的结构与分类 4 NIDS 5 HIDS 6 DIDS 7 IDS设计上的考虑与部署 8 IDS的发展方向 本讲内容概要 1 入侵检测概述 2 入侵检测原理及主要方法 3 IDS的结构与分类 4 NIDS 5 HIDS 6 DIDS 7 IDS设计上的考虑与部署 8 IDS的发展方向 什么是入侵？ 什么是入侵检测？ 入侵 （Intrusion） 非法取得系统控制权 利用系统漏洞收集信息 破坏信息系统 常见入侵案例 • 对电子邮件服务器实施远程的彻底控制 • 破坏Web 服务器 • 破解口令 • 复制包含信用卡号信息的数据库 • 非授权查看敏感数据, 比如工资记录、医疗信息 • 在工作站开启网络数据包嗅探器, 捕获用户名和口令 • 使用匿名FTP 服务器上的权限错误分发盗版软件和音乐文件 • 拨号进入一个不安全的调制解调器并获取内部网络的访问权限 • 冒充执行者, 呼叫服务台要求重置e-mail 口令, 并保存新的口令 • 未经允许登录无人看管、需登录的工作站 不同入侵者的行为模式 不同入侵者的行为模式 不同入侵者的行为模式 e.g., 对口令的窃取技术 什么是入侵检测？ 入侵检测系统发展历史 1990年，加州大学戴维斯分校的 L.T. Heberlein等人开发出了网络 安全监视器，成为分水岭 1988年，SRI/CSL的Teresa Lunt 等人改进了Denning的入侵检测 模型，并开发出了一个新型的 IDES 1984年~1986年，乔治敦大学的Dorothy Denning和SRI/CSL的Peter Neumann研究 1980年4月，James P. Anderson第 设计了入侵检测专家系统 一次详细阐述了入侵检测的概念 入侵检测系统的通用模型 为检测器和控制 器提供必需的数 据信息支持 负责分析和检测 根据警报信号人 入侵，并向控制 知识库 工或自动地对入 器发出警报信号 侵行为作出响应 配置信息 检测器 控制器 数据收集器 控制动作 收集来自目标系统的