《入侵检测技术培训》ppt课件

《《入侵检测技术培训》ppt课件》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、IDS技术讲座目录需求背景技术发展产品分类面临挑战什么是入侵？入侵是指一些人试图进入或者滥用你的系统。这里的滥用可以包括从严厉的偷窃机密数据到一些次要的事情：比如滥用你的电子邮件系统发垃圾邮件。入侵者的分类外部的:你网络外面的侵入者，或者可能攻击你的外部存在。外部的侵入者可能来自Internet,拨号线,物理介入,或者从同你网络连接的伙伴网络内部的:合法使用你的互连网络的侵入者。包括滥用权力的人和模仿更改权力的人。防火墙两个安全域之间通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCH

2、ostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。绕过防火墙的攻击穿过防火墙的攻击行为防火墙的局限性防火墙就象一道门，它可以阻止一类人群的进入，但无法阻止同一类人群中的破坏分子，也不能阻止内部的破坏分子访问控制设备可以不让低级权限的人做越权工作，但无法保证高级权限的做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限访问控制矩阵访问控

3、制组与角色两维ACL存在的问题其它问题入侵者如何进入系统？物理侵入:如果一个侵入者对主机有物理进入权限。(比如他们能使用键盘或者参与系统),应该可以进入。方法包括控制台特权一直到物理参与系统并且移走磁盘(在另外的机器读/写)。甚至BIOS保护也很容易穿过的:事实上所有的BIOS都有后门口令。入侵者如何进入系统？系统侵入:这类侵入表现为侵入者已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。如未打过补丁的IIS发布系统，会存在UNICODE漏洞，可能会使得入侵者远程访问系统文件。http:/IP/sc

4、rtpts/..%c1%1c../winnt/system32/cmd.exe?/c+dir入侵者如何进入系统？远程侵入:这类入侵指入侵者通过网络远程进入系统。侵入者从无特权开始这种侵入方式包括多种形式。比如如果在他/她和受害主机之间有防火墙存在，侵入就要复杂得多。这类入侵通常是很漫长的，从系统扫描开始，获得较低的权限，然后通过先验经验获得更高的权限。为什么会有入侵？软件总是存在bug。系统管理员和开发人员永远无法发现和解决所有的可能漏洞。侵入者只要发现一个漏洞就可以入侵系统。有证据表明每一千行代码中就会存在五至十五个BUG！缓冲区溢出缓冲区溢出：大部分的安全漏洞都

5、属于这类。攻击者通过发送精心构造的超过堆栈最大容量的数据，跳转执行自己想要的代码。如IIS发布系统中的ida/idq以及.printf溢出漏洞，攻击者很容易利用工具获得系统的root权限。意外结合意外结合:程序通常被组合成很多层代码。侵入者常可以发送一些对于一层无意义的输入,却对其他层有意义。在“

6、mail

7、"并且按语义启动"mail"程序，结果是将password文件寄给侵入者。其它缺陷缺省配置：很多系统在交付使用时采用缺省配置，“缺省”意味

8、着“易攻击”。口令攻击：弱口令和字典穷举攻击。监听：收集网络上的公共团体字符串。协议缺陷：TCP/IP协议的设计缺点，如smurf攻击,ICMP不可达的连结,IP哄骗,和SYNfloods。以及数据本身的容易被信任。入侵如何被检测UNIX系统的/var/adm下的syslog与messages。入侵监测系统解决之道IDS与防火墙的配合使用,达到最佳的防护效果监控室=控制中心保安=防火墙摄像机=探测引擎CardKeyIDS是什么?IDS是通过数据和行为模式来判断攻击事件是否存在的系统。采用旁路侦听的方式接入到网络中，网卡设置为混杂模式，实时抓取网络中的数据并对其进行分

9、析。得到分析结果后，通过报警、日志、与其他安全产品联动等方式对其进行响应，并提供相应的解决方法。入侵检测系统的发展1980年Anderson提出：入侵检测概念，分类方法《ComputerSecurityThreatMonitoringandSurveillance》1987年Denning提出了一种通用的入侵检测模型独立性：系统、环境、脆弱性、入侵种类系统框架：异常检测器，专家系统研究出了一个实时入侵检测系统模型—IDES（入侵检测专家系统）入侵检测技术的成熟1990，加州大学戴维斯分校的L.T.Heberlein等人开发出了NSM（NetworkSecurit