文档介绍:第6讲 IDS
一、基础知识
1、概述
2、入侵检测系统IDS
3、历史
4、IDS分类
5、体系结构
6、基于知识和行为的入侵检测
7、入侵检测系统的信息源
1、概述:入侵、入侵检测与入侵检测系统
入侵是指未经授权蓄意尝试访问信息、窜改信息,
使系统不可靠或不能使用的行为。它企图破坏计算
机资源的:
完整性(Integrity):指数据未经授权不能被改变。
机密性(confidentiality):指只有合法的授权用户才能对机密的或受限的数据进行存取。
可用性(Availability):是指计算机资源在系统合法用户需要使用时必须是可用的。
可控性(Controliability):是指可以控制授权范围内的信息流向及行为方式。有的也称不可否认性(Non-repudiation)。
1、概述:漏洞
入侵要利用漏洞,漏洞是指系统硬件、操作系统、软件、网络协议等在设计上、实现上出现的可以被攻击者利用的错误、缺陷和疏漏。
按照漏洞的性质,现有的漏洞主要有:
l  缓冲区溢出
l  拒绝服务攻击漏洞
l  代码泄漏、信息泄漏漏洞
l  配置修改、系统修改漏洞
l  脚本执行漏洞
l  远程命令执行漏洞
l  其它类型的漏洞
1、概述:侵入系统的主要途径
入侵者进入系统的主要途径有:
l 本地侵入: 这类侵入表现为入侵者已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁,就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。
l  远程侵入: 这类入侵指入侵者通过网络远程进入系统。比如通过植入木马实现对目标主机的控制,从远程发起对目标主机的攻击等。
2、IDS:在系统安全中的地位
2、IDS:功能
监控、分析用户和系统的活动
发现入侵企图或异常现象
审计系统的配置和弱点
评估关键系统和数据文件的完整性
对异常活动的统计分析
识别攻击的活动模式
实时报警和主动响应
2、IDS:为什么需要
入侵很容易
入侵教程随处可见
各种工具唾手可得
防火墙不能保证绝对的安全
网络边界的设备
自身可以被攻破
对某些攻击保护很弱
不是所有的威胁来自防火墙外部
防火墙是锁,入侵检测系统是监视器
3、入侵检测的发展历史(2)
90年代,不断有新的思想提出,如将人工智能、神经网络、模糊理论、证据理论、分布计算技术等引入IDS系统
2000年2月,对Yahoo!、N等大型网站的DDOS攻击引发了对IDS系统的新一轮研究热潮
2001年~今,RedCode、求职信等新型病毒的不断出现,进一步促进了IDS的发展。