网络入侵的技术

§1.2 入侵检测的提出
§1.2.2 为什么需要IDS？
入侵很容易
入侵教程随处可见，各种工具唾手可得
防火墙不能保证绝对的安全
网络边界的设备 自身可以被攻破 对某些攻击保护很弱 不是所有的威胁来自防火墙外部 防火墙是锁，入侵检测系统是监视器
§1.2.2 为什么需要IDS?（续）
网络中有可被入侵者利用的资源
2000年3月2日：黑客攻击世纪龙公司21CN。
§1.1 背景介绍
§1.1.4 我国安全形势非常严峻（续）
2000年3月6日至8日：黑客攻击实华开EC123网站 达16次，同一时期，号称全球最大的中文网上书店 “当当书店”也遭到多次黑客攻击。
2000年3月8日：山西日报国际互联网站遭到黑客数 次攻击，被迫关机，这是国内首例黑客攻击省级党 报网站事件。
§ 1.1.1 信息社会出现的新问题
信息时代到来，电子商务、电子政务，网络改变人 们的生活，人类进入信息化社会
计算机系统与网络的广泛应用，商业和国家机密信 息的保护以及信息时代电子、信息对抗的需求
存储信息的系统面临的极大的安全威胁 潜在的网络、系统缺陷危及系统的安全 传统的安全保密技术都有各自的局限性，不能够确
2001年3月25日：重庆某银行储户的个人帐 户被非法提走5万余元。
2001年6月11、12日：中国香港特区政府互 联网服务指南主页遭到黑客入侵，服务被迫 暂停。
§1.2 入侵检测的提出
§1.2.1 什么是入侵检测系统
入侵检测系统(IDS)是一套监控计算机系统 或网络系统中发生的事件，根据规则进行安 全审计的软件或硬件系统。
（2）入侵检测系统作为防火Biblioteka Baidu系统的一个有 效的补充
a. 入侵检测系统可以有效的防范防火墙开放的 服务入侵
§1.2.3 入侵检测的任务（续）
（3）通过事先发现风险来阻止入侵事件的 发生，提前发现试图攻击或滥用网络系统
的人员。 （4）检测其它安全工具没有发现的网络安
全事件。 （5）提供有效的审计信息，详细记录黑客
的入侵过程，从而帮助管理员发现网络的 脆弱性。
§1.2 入侵检测的提出
§1.2.4 入侵检测的发展历史
1980年，James Anderson最早提出入侵检测概念 1987年，D．E．Denning首次给出了一个入侵检测
的抽象模型，并将入侵检测作为一种新的安全防御 措施提出。 1988年，Morris蠕虫事件直接刺激了IDS的研究 1988年，创建了基于主机的系统,有IDES， Haystack等 1989年，提出基于网络的IDS系统,有NSM，NADIR， DIDS等
在一些大型的网络中，管理员没有时间跟踪 系统漏洞并且安装相应的系统补丁程序。
用户和管理员在配置和使用系统中的失误。 对于一些存在安全漏洞的服务、协议和软件，
用户有时候不得不使用。
§1.2 入侵检测的提出
§1.2.3 入侵检测的任务 （1）检测来自内部的攻击事件和越权访问
a. 85％以上的攻击事件来自于内部的攻击 b. 防火墙只能防外，难于防内
入侵检测技术
本课程需具备的基础知识
TCP/IP协议原理 对防火墙有初步认识 对局域网和广域网有初步认识 Unix简单操作
课程目标
了解入侵检测的概念、术语 掌握网络入侵技术和黑客惯用的各种手段 掌握入侵检测系统防范入侵原理 了解入侵检测产品部署方案 了解入侵检测产品选型原则 了解入侵检测技术发展方向
§1.3 入侵检测相关术语
IDS(Intrusion Detection Systems)
入侵检测系统
Promiscuous
混杂模式
Signatures
特征
§1.3 入侵检测相关术语
Alerts
1999年11月23日：银行内部人员通过更改 程序，用虚假信息从本溪某银行提取出86万 元。
§1.1 背景介绍
§1.1.4 我国安全形势非常严峻（续）
2000年2月1日：黑客攻击了大连市赛伯网 络服务有限公司，造成经济损失20多万元。
2000年2月1日至2日：中国公共多媒体信息 网兰州节点 ——“飞天网景信息港”遭到黑 客攻击。
§1.2 入侵检测的提出
§1.2.4入侵检测的发展历史（续）
90年代，不断有新的思想提出，如将人工智 能、神经网络、模糊理论、证据理论、分布 计算技术等引入IDS系统
2000年2月，对Yahoo！、Amazon、CNN等 大型网站的DDOS攻击引发了对IDS系统的新 一轮研究热潮
2001年～今，RedCode、求职信等新型病毒 的不断出现，进一步促进了IDS的发展。
2000年3月8日：黑客攻击国内最大的电子邮局--拥 有200万用户的广州163，系统无法正常登录。
§1.1 背景介绍
§1.1.4 我国安全形势非常严峻（续）
2001年3月9日: IT163.com-全国网上连锁商 城遭到黑客袭击，网站页面文件全部被删除， 各种数据库遭到不同程度破坏，网站无法运 行，15日才恢复正常，损失巨大。
课程内容
入侵知识简介 入侵检测技术 入侵检测系统的选择和使用
§1. 入侵检测系统概述
§1.1 背景介绍 §1.2 入侵检测的提出 §1.3 入侵检测相关术语 §1.4 入侵检测系统分类 §1.5 入侵检测系统构件 §1.6 入侵检测系统部署方式 §1.7 动态安全模型P2DR
§1.1 背景介绍
保系统的安全
§1.1 背景介绍
§ 1.1.2 信息系统的安全问题
操作系统的脆弱性 计算机网络的资源开放、信息共享以及网络
复杂性增大了系统的不安全性 数据库管理系统等应用系统设计中存在的安
全性缺陷 缺乏有效的安全管理
§ 1.1.3 黑客攻击猖獗
特洛伊木马
黑客攻击 后门、隐蔽通道 计算机病毒
网络
逻辑炸弹
蠕虫
拒绝服务攻击 内部、外部泄密
–这就是黑客
§1.1 背景介绍
§1.1.4 我国安全形势非常严峻
1999年4月16日：黑客入侵中亚信托投资公 司上海某证券营业部，造成340万元损失。
1999年11月14日至17日：新疆乌鲁木齐市 发生首起针对银行自动提款机的黑客案件， 用户的信用卡被盗1.799万元。