侵入系统的主要途径

物理侵入 本地侵入 远程侵入
§2.2 网络入侵的一般步骤

进行网络攻击是一件系统性很强的工 作，其主要工作流程是：

目标探测和信息收集 自身隐藏 利用漏洞侵入主机 稳固和扩大战果 清除日志
§2.2.1 目标探测和信息收集

目标探测和信息收集

§1.2.3 入侵检测的任务 （1）检测来自内部的攻击事件和越权访问
a. 85％以上的攻击事件来自于内部的攻击 b. 防火墙只能防外，难于防内
（2）入侵检测系统作为防火墙系统的一个有 效的补充
a. 入侵检测系统可以有效的防范防火墙开放的 服务入侵
§1.2.3 入侵检测的任务（续）
（3）通过事先发现风险来阻止入侵事件的 发生，提前发现试图攻击或滥用网络系统 的人员。 （4）检测其它安全工具没有发现的网络安 全事件。 （5）提供有效的审计信息，详细记录黑客 的入侵过程，从而帮助管理员发现网络的 脆弱性。
§1.5 入侵检测系统构件

响应单元(Response units)

响应单元则是对分析结果作出反应的功能单 元，它可以作出切断连接、改变文件属性等 强烈反应,甚至发动对攻击者的反击，也可 以只是简单的报警。
§1.5 入侵检测系统构件

事件数据库(Event databases)

事件数据库是存放各种中间和最终数据的地 方的统称，它可以是复杂的数据库，也可以 是简单的文本文件。
§1.6 入侵检测系统部署方式

检测器放在主要的网络中枢


监控大量的网络数据，可提高检测黑客攻击 的可能性 可通过授权用户的权利周界来发现未授权用 户的行为
§1.6 入侵检测系统部署方式

检测器放在安全级别高的子网

对非常重要的系统和资源的入侵检测
§1.7 动态安全模型P2DR
§1.7 动态安全模型P2DR
§1.2 入侵检测的提出
§1.2.1 什么是入侵检测系统

入侵检测系统(IDS)是一套监控计算机系统 或网络系统中发生的事件，根据规则进行安 全审计的软件或硬件系统。
§1.2 入侵检测的提出
§1.2.2 为什么需要IDS？

入侵很容易

入侵教程随处可见，各种工具唾手可得 网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 防火墙是锁，入侵检测系统是监视器
课程内容

入侵知识简介 入侵检测技术 入侵检测系统的选择和使用
§1. 入侵检测系统概述
§1.1 背景介绍 §1.2 入侵检测的提出 §1.3 入侵检测相关术语 §1.4 入侵检测系统分类 §1.5 入侵检测系统构件 §1.6 入侵检测系统部署方式 §1.7 动态安全模型P2DR
§1.1 背景介绍

Policy——策略 Protection—防护 Detection——检测 Response——响应
§2. 网络入侵技术

§2.1 入侵知识简介 §2.2 网络入侵的一般步骤

§2.1 入侵知识简介

入侵 (Intrusion)


入侵是指未经授权蓄意尝试访问信息、窜改 信息，使系统不可靠或不能使用的行为。 入侵企图破坏计算机资源的完整性、机密性、 可用性、可控性
拒绝服务攻击
逻辑炸弹
蠕虫
内部、外部泄密
–这就是黑客
§1.1 背景介绍
§1.1.4 我国安全形势非常严峻


1999年4月16日：黑客入侵中亚信托投资公 司上海某证券营业部，造成340万元损失。 1999年11月14日至17日：新疆乌鲁木齐市 发生首起针对银行自动提款机的黑客案件， 用户的信用卡被盗1.799万元。 1999年11月23日：银行内部人员通过更改 程序，用虚假信息从本溪某银行提取出86万 元。
§ 1.1.1 信息社会出现的新问题



信息时代到来，电子商务、电子政务，网络改变人 们的生活，人类进入信息化社会 计算机系统与网络的广泛应用，商业和国家机密信 息的保护以及信息时代电子、信息对抗的需求 存储信息的系统面临的极大的安全威胁 潜在的网络、系统缺陷危及系统的安全 传统的安全保密技术都有各自的局限性，不能够确 保系统的安全
§1.2 入侵检测的提出
§1.2.4入侵检测的发展历史（续）



90年代，不断有新的思想提出，如将人工智 能、神经网络、模糊理论、证据理论、分布 计算技术等引入IDS系统 2000年2月，对Yahoo！、Amazon、CNN等 大型网站的DDOS攻击引发了对IDS系统的新 一轮研究热潮 2001年～今，RedCode、求职信等新型病毒 的不断出现，进一步促进了IDS的发展。
检测器部署示意图
Internet
部署一
部 署 二
§1.6 入侵检测系统部署方式

检测器放置于防火墙的DMZ区域

可以查看受保护区域主机被攻击状态 可以看出防火墙系统的策略是否合理 可以看出DMZ区域被黑客攻击的重点
§1.6 入侵检测系统部署方式

检测器放置于路由器和边界防火墙之间


可以审计所有来自Internet上面对保护网络 的攻击数目 可以审计所有来自Internet上面对保护网络 的攻击类型
§1.4 入侵检测系统分类
§1.4.3 Stack-Based IDS(NNIDS)

网络节点入侵检测系统 安装在网络节点的主机中 结合了NIDS和HIDS的技术 适合于高速交换环境和加密数据
§1.5 入侵检测系统构件
响应单元
输出：高级中断事件 输出：反应或事件 输出：事件的存储信息
事件分析器
事件数据库
输出：原始或低级事件
事件产生器
输入：原始事件源
§1.5 入侵检测系统构件

事件产生器(Event generators)

事件产生器的目的是从整个计算环境中获得 事件，并向系统的其他部分提供此事件。
§1.5 入侵检测系统构件

事件分析器(Event analyzers)

事件分析器分析得到的数据，并产生分析结 果。

传感器（是一台将以太网卡置于混杂模式的 计算机，用于嗅探网络上的数据包）
§1.4 入侵检测系统分类

概要

Host-Based IDS（基于主机的IDS)

Network-Based IDS（基于网络的IDS）
Stack-Based IDS（混和的IDS)

§1.4 入侵检测系统分类
§ 1.4.1 Host-Based IDS(HIDS) 数据来源为事件日志、端口调用以及安全 审计记录。 保护的对象是单个主机。（HIDS系统安 装在主机上面，对本主机进行安全检测。 最适合于检测那些可以信赖的内部人员 的误用以及已经避开了传统的检测方法 而渗透到网络中的活动。)
§1.1 背景介绍
§ 1.1.2 信息系统的安全问题



操作系统的脆弱性 计算机网络的资源开放、信息共享以及网络 复杂性增大了系统的不安全性 数据库管理系统等应用系统设计中存在的安 全性缺陷 缺乏有效的安全管理
§ 1.1.3 黑客攻击猖獗
特洛伊木马 黑客攻击 后门、隐蔽通道 计算机病毒
网络
§ 2.2.1 目标探测和信息收集

常用扫描器软件（续）


流光（NT扫描工具） Mscan（Linux下漏洞扫描器）
§1.3 入侵检测相关术语

IDS(Intrusion Detection Systems)

入侵检测系统

Promiscuous

混杂模式

Signatures

特征
§1.3 入侵检测相关术语

Alerts

警告

Anomaly

异常
§1.3 入侵检测相关术语

Console

控制台

Sensor

防火墙不能保证绝对的安全



§1.2.2 为什么需要IDS?（续）

网络中有可被入侵者利用的资源



在一些大型的网络中，管理员没有时间跟踪 系统漏洞并且安装相应的系统补丁程序。 用户和管理员在配置和使用系统中的失误。 对于一些存在安全漏洞的服务、协议和软件， 用户有时候不得不使用。
§1.2 入侵检测的提出
§1.6 入侵检测系统部署方式
Console
Switch IDS Sensor
通过端口镜像实现 （SPAN / Port Monitor）
Monitored Servers
§1.6 入侵检测系统部署方式

检测器部署位置



放在边界防火墙之外 放在边界防火墙之内 放在主要的网络中枢 放在一些安全级别需求高的子网
§1.1 背景介绍
§1.1.4 我国安全形势非常严峻（续）



2001年3月9日: -全国网上连锁商 城遭到黑客袭击，网站页面文件全部被删除， 各种数据库遭到不同程度破坏，网站无法运 行，15日才恢复正常，损失巨大。 2001年3月25日：重庆某银行储户的个人帐 户被非法提走5万余元。 2001年6月11、12日：中国香港特区政府互 联网服务指南主页遭到黑客入侵，服务被迫 暂停。
本课程需具备的基础知识

TCP/IP协议原理 对防火墙有初步认识 对局域网和广域网有初步认识 Unix简单操作
课程目标

了解入侵检测的概念、术语