網(wǎng)絡(luò)攻防與入侵檢測

學(xué)習(xí)目標(biāo)了解黑客與網(wǎng)絡(luò)攻擊的基礎(chǔ)知識；掌握口令攻擊、端口掃描、緩沖區(qū)溢出、網(wǎng)絡(luò)監(jiān)聽、特洛伊木馬等攻擊方式的原理、方法及危害；掌握入侵檢測技術(shù)和入侵檢測系統(tǒng)原理能夠識別和防范各類攻擊，能夠使用入侵檢測工具檢測入侵行為。當(dāng)前第1頁\共有65頁\編于星期二\13點(diǎn)110.1密鑰管理10.1.1關(guān)于黑客10.1.2黑客攻擊的步驟10.1.3網(wǎng)絡(luò)入侵的對象10.1.4主要的攻擊方法10.1.5攻擊的新趨勢

當(dāng)前第2頁\共有65頁\編于星期二\13點(diǎn)210.1.1關(guān)于黑客黑客(hacker)源于20世紀(jì)50年代麻省理工學(xué)院獨(dú)立思考、奉公守法的計算機(jī)迷駭客(Cracker)懷不良企圖，非法侵入他人系統(tǒng)進(jìn)行偷窺、破壞活動的人

當(dāng)前第3頁\共有65頁\編于星期二\13點(diǎn)310.1.2黑客攻擊的步驟1．收集信息Ping程序：可以測試一個主機(jī)是否處于活動狀態(tài)、到達(dá)主機(jī)的時間等。Tracert程序：可以用該程序來獲取到達(dá)某一主機(jī)經(jīng)過的網(wǎng)絡(luò)及路由器的列表。Finger協(xié)議：可以用來取得某一主機(jī)上所有用戶的詳細(xì)信息。DNS服務(wù)器：該服務(wù)器提供了系統(tǒng)中可以訪問的主機(jī)的IP地址和主機(jī)名列表。SNMP協(xié)議：可以查閱網(wǎng)絡(luò)系統(tǒng)路由器的路由表，從而了解目標(biāo)主機(jī)所在網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)及其它內(nèi)部細(xì)節(jié)。Whois協(xié)議：該協(xié)議的服務(wù)信息能提供所有有關(guān)的DNS域和相關(guān)的管理參數(shù)。當(dāng)前第4頁\共有65頁\編于星期二\13點(diǎn)410.1.2黑客攻擊的步驟2．探測系統(tǒng)安全弱點(diǎn)利用“補(bǔ)丁”找到突破口

用戶沒有及時地使用“補(bǔ)丁”程序，這就給了攻擊者可趁之機(jī)。利用掃描器發(fā)現(xiàn)安全漏洞

掃描器可以對整個網(wǎng)絡(luò)或子網(wǎng)進(jìn)行掃描，尋找安全漏洞。比較流行的掃描器:

ISS（InternetSecurityScanner），

SATAN（SecurityAdministratorToolForAnalyzingNetworks）等等。

當(dāng)前第5頁\共有65頁\編于星期二\13點(diǎn)510.1.2黑客攻擊的步驟3．實施攻擊（1）掩蓋行跡，預(yù)留后門。攻擊者潛入系統(tǒng)后，會盡量銷毀可能留下的痕跡，并在受損害系統(tǒng)中找到新的漏洞或留下后門，以備下次光顧時使用。（2）安裝探測程序。

攻擊者退出去以后，探測軟件仍可以窺探所在系統(tǒng)的活動，收集攻擊者感興趣的信息，如：用戶名、賬號、口令等，并源源不斷地把這些秘密傳給幕后的攻擊者。（3）取得特權(quán)，擴(kuò)大攻擊范圍。

如果攻擊者獲得根用戶或管理員的權(quán)限……

當(dāng)前第6頁\共有65頁\編于星期二\13點(diǎn)610.1.3網(wǎng)絡(luò)入侵的對象3．實施攻擊（1）固有的安全漏洞

協(xié)議的安全漏洞、弱口令、緩沖區(qū)溢出等

（2）系統(tǒng)維護(hù)措施不完善的系統(tǒng)。系統(tǒng)進(jìn)行了維護(hù)，對軟件進(jìn)行了更新或升級,路由器及防火墻的過濾規(guī)則。（3）缺乏良好安全體系的系統(tǒng)。建立有效的、多層次的防御體系

當(dāng)前第7頁\共有65頁\編于星期二\13點(diǎn)710.1.4主要的攻擊方法1.獲取口令2．放置特洛伊木馬

3．WWW的欺騙技術(shù)4．電子郵件攻擊5．網(wǎng)絡(luò)監(jiān)聽6．尋找系統(tǒng)漏洞當(dāng)前第8頁\共有65頁\編于星期二\13點(diǎn)810.1.5攻擊的新趨勢1.攻擊過程的自動化與攻擊工具的快速更新

2．攻擊工具復(fù)雜化

3．漏洞發(fā)現(xiàn)得更快

4．滲透防火墻

當(dāng)前第9頁\共有65頁\編于星期二\13點(diǎn)910.2口令攻擊10.2.1獲取口令的一些方法10.2.2設(shè)置安全的口令10.2.3一次性口令當(dāng)前第10頁\共有65頁\編于星期二\13點(diǎn)1010.2.1獲取口令的一些方法（1）是通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令（2）口令的窮舉攻擊（3）利用系統(tǒng)管理員的失誤當(dāng)前第11頁\共有65頁\編于星期二\13點(diǎn)1110.2.2設(shè)置安全的口令（1）口令的選擇：字母數(shù)字及標(biāo)點(diǎn)的組合，如：Ha,Pp@y!和w/(X,y)*;使用一句話的開頭字母做口令，如：由Afoxjumpsoveralazydog!產(chǎn)生口令：AfJoAld!。（2）口令的保存：記住、放到安全的地方，加密最好。（3）口令的使用：輸入口令不要讓別人看到；不要在不同的系統(tǒng)上使用同一口令；定期改變口令。當(dāng)前第12頁\共有65頁\編于星期二\13點(diǎn)12（OTP，One-TimePassword）。一個口令僅使用一次，能有效地抵制重放攻擊OTP的主要思路是：在登錄過程中加入不確定因素，使每次登錄過程中的生成的口令不相同?？诹盍斜恚看蔚卿浭褂猛暌粋€口令后就將它從列表明中刪除；用戶也可以使用IC卡或其他的硬件卡來存儲用戶的秘密信息，這些信息再隨機(jī)數(shù)、系統(tǒng)時間等參數(shù)一起通過散列得到一個一次性口令。

當(dāng)前第13頁\共有65頁\編于星期二\13點(diǎn)1310.3掃描器10.3.1端口與服務(wù)10.3.2端口掃描10.3.3常用的掃描技術(shù)當(dāng)前第14頁\共有65頁\編于星期二\13點(diǎn)1410.3.1端口與服務(wù)（1）公認(rèn)端口（WellKnownPorts）：從0到1023，它們緊密綁定于一些服務(wù)。通常這些端口的通訊明確表明了某種服務(wù)的協(xié)議。例如：80端口實際上總是HTTP通訊。（2）注冊端口（RegisteredPorts）：從1024到49151。它們松散地綁定于一些服務(wù)。（3）動態(tài)和/或私有端口（Dynamicand/orPrivatePorts）：從49152到65535。理論上，不應(yīng)為服務(wù)分配這些端口當(dāng)前第15頁\共有65頁\編于星期二\13點(diǎn)1510.3.2端口掃描一個端口就是一個潛在的通信通道，也就是一個入侵通道。對目標(biāo)計算機(jī)進(jìn)行端口掃描，能得到許多有用的信息。

掃描器是檢測遠(yuǎn)程或本地系統(tǒng)安全脆弱性的軟件。

一般把掃描器分為三類：數(shù)據(jù)庫安全掃描器、操作系統(tǒng)安全掃描器和網(wǎng)絡(luò)安全掃描器，分別針對于網(wǎng)絡(luò)服務(wù)、應(yīng)用程序、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議等。當(dāng)前第16頁\共有65頁\編于星期二\13點(diǎn)1610.3.3常用的掃描技術(shù)（1）TCPconnect（）掃描（2）TCPSYN掃描（3）TCPFIN掃描（4）IP段掃描

(5）TCP反向ident掃描（6）FTP返回攻擊（7）UDPICMP端口不能到達(dá)掃描

（8）ICMPecho掃描

當(dāng)前第17頁\共有65頁\編于星期二\13點(diǎn)1710.4網(wǎng)絡(luò)監(jiān)聽10.4.1網(wǎng)絡(luò)監(jiān)聽的原理10.4.2網(wǎng)絡(luò)監(jiān)聽工具及其作用10.4.3如何發(fā)現(xiàn)和防范sniffer當(dāng)前第18頁\共有65頁\編于星期二\13點(diǎn)1810.4.1網(wǎng)絡(luò)監(jiān)聽的原理在正常情況下，網(wǎng)絡(luò)接口讀入數(shù)據(jù)幀，并檢查數(shù)據(jù)幀幀頭中的地址字段，如果數(shù)據(jù)幀中攜帶的物理地址是自己的，或者物理地址是廣播地址，則將數(shù)據(jù)幀交給上層協(xié)議軟件，否則就將這個幀丟棄。對于每一個到達(dá)網(wǎng)絡(luò)接口的數(shù)據(jù)幀，都要進(jìn)行這個過程。然而，當(dāng)主機(jī)工作在監(jiān)聽模式下，不管數(shù)據(jù)幀的目的地址是什么，所有的數(shù)據(jù)幀都將被交給上層協(xié)議軟件處理。當(dāng)前第19頁\共有65頁\編于星期二\13點(diǎn)1910.4.2網(wǎng)絡(luò)監(jiān)聽工具及其作用NetXray、X-Scan、Sniffer、tcpdump、winpcap3.0等攔截所有的正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，并且通過相應(yīng)的軟件處理，可以實時分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而分析所處的網(wǎng)絡(luò)狀態(tài)和整體布局網(wǎng)絡(luò)監(jiān)聽對系統(tǒng)管理員是很重要的，系統(tǒng)管理員通過監(jiān)聽可以診斷出大量的不可見問題當(dāng)前第20頁\共有65頁\編于星期二\13點(diǎn)2010.4.3如何發(fā)現(xiàn)和防范sniffer網(wǎng)絡(luò)通訊掉包率反常的高。網(wǎng)絡(luò)帶寬將出現(xiàn)異常。對于懷疑運(yùn)行監(jiān)聽程序的主機(jī)，用正確的IP地址和錯誤的物理地址去PING，正常的機(jī)器不接受錯誤的物理地址，處于監(jiān)聽狀態(tài)的機(jī)器能接受，這種方法依賴系統(tǒng)的IPSTACK，對有些系統(tǒng)可能行不通。往網(wǎng)上發(fā)大量包含著不存在的物理地址的包,由于監(jiān)聽程序?qū)⑻幚磉@些包，將導(dǎo)致性能下降，通過比較前后該機(jī)器性能（icmpechodelay等方法）加以判斷當(dāng)前第21頁\共有65頁\編于星期二\13點(diǎn)2110.4.3如何發(fā)現(xiàn)和防范sniffer2．對網(wǎng)絡(luò)監(jiān)聽的防范措施（1）從邏輯或物理上對網(wǎng)絡(luò)分段

其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法監(jiān)聽。（2）以交換式集線器代替共享式集線器

以交換式集線器代替共享式集線器，使單播包僅在兩個節(jié)點(diǎn)之間傳送，從而防止非法監(jiān)聽。（3）使用加密技術(shù)

數(shù)據(jù)經(jīng)過加密后，通過監(jiān)聽仍然可以得到傳送的信息,但顯示的是亂碼。（4）劃分VLAN

運(yùn)用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，可以防止大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵。

當(dāng)前第22頁\共有65頁\編于星期二\13點(diǎn)2210.5IP欺騙10.5.1IP欺騙的工作原理10.5.2IP欺騙的防止當(dāng)前第23頁\共有65頁\編于星期二\13點(diǎn)2310.5.1IP欺騙的工作原理（1）使被信任主機(jī)喪失工作能力TCPSYN-Flood：t1:Z（X）－－－SYN－－－>BZ（X）－－－SYN－－－＞BZ（X）－－－SYN－－－＞B……………t2:X＜－－－SYN/ACK--------BX＜－－－SYN/ACK--------B……………t3:X＜－－－RST－－－B當(dāng)前第24頁\共有65頁\編于星期二\13點(diǎn)2410.5.1IP欺騙的工作原理序列號猜測方法攻擊者先與被攻擊主機(jī)的一個端口建立起正常的連接。通常，這個過程被重復(fù)若干次，并將目標(biāo)主機(jī)最后所發(fā)送的ISN（初始序列號）存儲起來。攻擊者還需要估計他的主機(jī)與被信任主機(jī)之間的RTT時間（往返時間），這個RTT時間是通過多次統(tǒng)計平均求出的。RTT對于估計下一個ISN是非常重要的。一般每秒鐘ISN增加128000，每次連接增加64000?，F(xiàn)在就不難估計出ISN的大小了，它是128000乘以RTT的一半，如果此時目標(biāo)主機(jī)剛剛建立過一個連接，那么再加上一個64000。

當(dāng)前第25頁\共有65頁\編于星期二\13點(diǎn)2510.5.1IP欺騙的工作原理實施欺騙Z偽裝成A信任的主機(jī)B攻擊目標(biāo)A的過程如下：t1:Z（B）－－SYN－－－>At2:B＜－－－SYN/ACK－－－At3:Z（B）－－－ACK－－－＞At4:Z（B）－－－—PSH－－－＞A當(dāng)前第26頁\共有65頁\編于星期二\13點(diǎn)2610.5.2IP欺騙的防止（1）拋棄基于地址的信任策略（2）進(jìn)行包過濾（3）使用加密方法（4）使用隨機(jī)化的初始序列號當(dāng)前第27頁\共有65頁\編于星期二\13點(diǎn)2710.6

拒絕服務(wù)10.6.1什么是拒絕服務(wù)10.6.2分布式拒絕服務(wù)當(dāng)前第28頁\共有65頁\編于星期二\13點(diǎn)2810.6.1什么是拒絕服務(wù)DoS是DenialofService的簡稱，即拒絕服務(wù)。拒絕服務(wù)攻擊是指一個用戶占據(jù)了大量的共享資源，使系統(tǒng)沒有剩余的資源給其它用戶提供服務(wù)的一種攻擊方式。拒絕服務(wù)攻擊的結(jié)果可以降低系統(tǒng)資源的可用性，這些資源可以是網(wǎng)絡(luò)帶寬、CPU時間、磁盤空間、打印機(jī)、甚至是系統(tǒng)管理員的時間。最常見的DoS攻擊有:

帶寬攻擊指以極大的通信量沖擊網(wǎng)絡(luò)，使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡，最后導(dǎo)致合法的用戶請求就無法通過。

連通性攻擊指用大量的連接請求沖擊計算機(jī)，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機(jī)無法再處理合法用戶的請求。

當(dāng)前第29頁\共有65頁\編于星期二\13點(diǎn)2910.6.1什么是拒絕服務(wù)DoS攻擊的基本過程當(dāng)前第30頁\共有65頁\編于星期二\13點(diǎn)3010.6.2分布式拒絕服務(wù)DDoS（分布式拒絕服務(wù)）是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，一個比較完善的DDoS攻擊體系分成三層當(dāng)前第31頁\共有65頁\編于星期二\13點(diǎn)31（1）攻擊者：攻擊者所用的計算機(jī)是攻擊主控臺，可以是網(wǎng)絡(luò)上的任何一臺主機(jī)，甚至可以是一個活動的便攜機(jī)。攻擊者操縱整個攻擊過程，它向主控端發(fā)送攻擊命令。（2）主控端：主控端是攻擊者非法侵入并控制的一些主機(jī)，這些主機(jī)還分別控制大量的代理主機(jī)。主控端主機(jī)的上面安裝了特定的程序，因此它們可以接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機(jī)上。（3）代理端：代理端同樣也是攻擊者侵入并控制的一批主機(jī)，它們上面運(yùn)行攻擊器程序，接受和運(yùn)行主控端發(fā)來的命令。代理端主機(jī)是攻擊的執(zhí)行者，由它向受害者主機(jī)實際發(fā)起攻擊。10.6.2分布式拒絕服務(wù)當(dāng)前第32頁\共有65頁\編于星期二\13點(diǎn)3210.7特洛伊木10.7.1特洛伊木馬簡介10.7.2木馬的工作原理10.7.3木馬的一般清除方法當(dāng)前第33頁\共有65頁\編于星期二\13點(diǎn)3310.7.1特洛伊木馬簡介木馬是一種基于遠(yuǎn)程控制的黑客工具，一般的木馬都有客戶端和服務(wù)器端兩個執(zhí)行程序，其中客戶端是用于攻擊者遠(yuǎn)程控制被植入木馬的機(jī)器。服務(wù)器端程序即是木馬程序。攻擊者要通過木馬攻擊你的系統(tǒng)，要做的第一件事就是把木馬的服務(wù)器端程序通過某種方式植入到用戶的電腦里面。木馬具有隱蔽性和非授權(quán)性的特點(diǎn)當(dāng)前第34頁\共有65頁\編于星期二\13點(diǎn)3410.7.2木馬的工作原理1．配置木馬2．傳播木馬3．運(yùn)行木馬

4．信息泄露

5．建立連接

6．遠(yuǎn)程控制當(dāng)前第35頁\共有65頁\編于星期二\13點(diǎn)3510.7.3木馬的一般清除方法

如果發(fā)現(xiàn)有木馬存在，首先就是馬上將計算機(jī)與網(wǎng)絡(luò)斷開，防止黑客通過網(wǎng)絡(luò)進(jìn)行攻擊。然后編輯win.ini文件，將[WINDOWS]下面，“run=木馬程序”或“l(fā)oad=木馬程序”更改為“run=”和“l(fā)oad=”；編輯system.ini文件，將[BOOT]下面的“shell=木馬文件”，更改為：“shell=explorer.exe”；在注冊表中，先在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到木馬程序的文件名，再在整個注冊表中搜索并替換掉木馬程序，有時候還需注意的是：有的木馬程序并不是直接將“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的木馬鍵值刪除就行了，因為有的木馬如：BladeRunner木馬，如果你刪除它，木馬會立即自動加上，你需要的是記下木馬的名字與目錄，然后退回到MS－DOS下，找到此木馬文件并刪除掉。重新啟動計算機(jī)，然后再到注冊表中將所有木馬文件的鍵值刪除。

當(dāng)前第36頁\共有65頁\編于星期二\13點(diǎn)3610.8入侵檢測概述10.8.1概念10.8.2IDS的任務(wù)和作用入侵檢測過程當(dāng)前第37頁\共有65頁\編于星期二\13點(diǎn)37

概念入侵檢測（IntrusionDetection），顧名思義，即是對入侵行為的發(fā)覺。它在計算機(jī)網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，通過對這些信息的分析來發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（IntrusionDetectionSystem，簡稱IDS）。。早期的IDS模型設(shè)計用來監(jiān)控單一服務(wù)器，是基于主機(jī)的入侵檢測系統(tǒng)；近期的更多模型則集中用于監(jiān)控通過網(wǎng)絡(luò)互連的多個服務(wù)器，

當(dāng)前第38頁\共有65頁\編于星期二\13點(diǎn)3810.8.2.IDS的任務(wù)和作用

u

監(jiān)視、分析用戶及系統(tǒng)活動；u

對系統(tǒng)構(gòu)造和弱點(diǎn)的審計；u

識別和反應(yīng)已知進(jìn)攻的活動模式并向相關(guān)人士報警；u

異常行為模式的統(tǒng)計分析；u

評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；u

操作系統(tǒng)的審計跟蹤管理，識別用戶違反安全策略的行為。當(dāng)前第39頁\共有65頁\編于星期二\13點(diǎn)39入侵檢測過程信息收集

(1)系統(tǒng)和網(wǎng)絡(luò)日志文件

(2)目錄和文件中的不期望的改變

(3)程序執(zhí)行中的不期望行為

(4)物理形式的入侵信息

2.信號分析

(1)模式匹配：

(2)統(tǒng)計分析

(3)完整性分析

當(dāng)前第40頁\共有65頁\編于星期二\13點(diǎn)40入侵檢測過程(1)模式匹配的方法：模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。這種分析方法也稱為誤用檢測。該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣，檢測準(zhǔn)確率和效率都相當(dāng)高。該方法存在的弱點(diǎn)是需要不斷的升級模式庫以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段。當(dāng)前第41頁\共有65頁\編于星期二\13點(diǎn)41入侵檢測過程(2)

統(tǒng)計分析的方法：統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時，就認(rèn)為有入侵發(fā)生。這種分析方法也稱為異常檢測。例如，統(tǒng)計分析時發(fā)現(xiàn)一個在晚八點(diǎn)至早六點(diǎn)從不登錄的賬戶卻在凌晨兩點(diǎn)突然試圖登錄，系統(tǒng)認(rèn)為該行為是異常行為。統(tǒng)計分析的優(yōu)點(diǎn)是可檢測到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報、漏報率高，且不適應(yīng)用戶正常行為的突然改變。具體的統(tǒng)計分析方法有：基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法。當(dāng)前第42頁\共有65頁\編于星期二\13點(diǎn)42入侵檢測過程(3)完整性分析的方法：完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬性的變化。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對象的任何改變，它都能夠發(fā)現(xiàn)。缺點(diǎn)是一般以批處理方式實現(xiàn)，不用于實時響應(yīng)?？梢栽诿恳惶斓哪硞€特定時間內(nèi)開啟完整性分析模塊，對網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面地掃描檢查當(dāng)前第43頁\共有65頁\編于星期二\13點(diǎn)4310.9入侵檢測系統(tǒng)10.9.1入侵檢測系統(tǒng)的分類基于主機(jī)的入侵檢測系統(tǒng)10.9.3基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)10.9.4混合入侵檢測當(dāng)前第44頁\共有65頁\編于星期二\13點(diǎn)4410.9.1入侵檢測系統(tǒng)的分類1.按照入侵檢測系統(tǒng)的數(shù)據(jù)來源劃分（1）基于主機(jī)的入侵檢測系統(tǒng)（2）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（3）采用上述兩種數(shù)據(jù)來源的分布式的入侵檢測系統(tǒng)2．按照入侵檢測系統(tǒng)采用的檢測方法來分類（1）基于行為的入侵檢測系統(tǒng)：（2）基于模型推理的入侵檢測系統(tǒng)：（3）采用兩者混合檢測的入侵檢測系統(tǒng)：3．按照入侵檢測的時間的分類（1）實時入侵檢測系統(tǒng)：（2）事后入侵檢測系統(tǒng)：

當(dāng)前第45頁\共有65頁\編于星期二\13點(diǎn)4510.9.2基于主機(jī)的入侵檢測系統(tǒng)當(dāng)前第46頁\共有65頁\編于星期二\13點(diǎn)4610.9.2基于主機(jī)的入侵檢測系統(tǒng)這種類型的系統(tǒng)依賴于審計數(shù)據(jù)或系統(tǒng)日志的準(zhǔn)確性、完整性以及安全事件的定義。若入侵者設(shè)法逃避審計或進(jìn)行合作入侵，則基于主機(jī)的檢測系統(tǒng)的弱點(diǎn)就暴露出來了。特別是在現(xiàn)代的網(wǎng)絡(luò)環(huán)境下，單獨(dú)地依靠主機(jī)審計信息進(jìn)行入侵檢測難以適應(yīng)網(wǎng)絡(luò)安全的需求。

這主要表現(xiàn)在以下四個方面：一是主機(jī)的審計信息弱點(diǎn)，如易受攻擊，入侵者可通過使用某些系統(tǒng)特權(quán)或調(diào)用比審計本身更低級的操作來逃避審計。二是不能通過分析主機(jī)審計記錄來檢測網(wǎng)絡(luò)攻擊。三是IDS的運(yùn)行或多或少影響服務(wù)器性能。四是基于主機(jī)的IDS只能對服務(wù)器的特定用戶、應(yīng)用程序執(zhí)行動作、日志進(jìn)行檢測，所能檢測到的攻擊類型受到限制。當(dāng)前第47頁\共有65頁\編于星期二\13點(diǎn)4710.9.3基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)當(dāng)前第48頁\共有65頁\編于星期二\13點(diǎn)4810.9.3基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)基于網(wǎng)絡(luò)的IDS的優(yōu)點(diǎn)是：（1）服務(wù)器平臺獨(dú)立：基于網(wǎng)絡(luò)的IDS監(jiān)視通信流量而不影響服務(wù)器平臺的變化和更新。（2）配置簡單：基于網(wǎng)絡(luò)的IDS環(huán)境只需要一個普通的網(wǎng)絡(luò)訪問接口。（3）檢測多種攻擊：基于網(wǎng)絡(luò)的IDS探測器可以監(jiān)視多種多樣的攻擊包括協(xié)議攻擊和特定環(huán)境的攻擊，長于識別與網(wǎng)絡(luò)低層操作有關(guān)的攻擊。當(dāng)前第49頁\共有65頁\編于星期二\13點(diǎn)49分布式入侵檢測技術(shù)典型的入侵檢測系統(tǒng)是一個統(tǒng)一集中的代碼塊，它位于系統(tǒng)內(nèi)核或內(nèi)核之上，監(jiān)控傳送到內(nèi)核的所有請求。但是，隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜化和大型化，系統(tǒng)的弱點(diǎn)或漏洞將趨于分布化。另外，入侵行為不再是單一的行為，而是表現(xiàn)出相互協(xié)作的入侵特點(diǎn)，在這種背景下，產(chǎn)生了基于分布式的入侵檢測系統(tǒng)。當(dāng)前第50頁\共有65頁\編于星期二\13點(diǎn)50

基于分布式系統(tǒng)的IDS結(jié)構(gòu)

10.9.4分布式入侵檢測技術(shù)當(dāng)前第51頁\共有65頁\編于