入侵检测技术及其在物联网中的应用.ppt

入侵检测技术及其在 物联网中的应用 Intrusion Detection and Its application in IOT 课时安排 上课时间：周二 第1012节 讲 课 周：2-12周 课 时：32 考核方式：平时成绩50%+期末文章50% 授课教师：宁卓 （物联网学院） 联系方式： 参考资料 教 材： 入侵检测罗守山 北京邮电大学出版社 参考书： 网络安全导论 龚俭 东南大学出版社 入侵检测西安电子科技大学出版社 网络攻击原理与技术连一峰 科学出版社 黑客攻击与防御Stuart McClure 清华大学 出版社 本课程内容 网络安全概论 网络攻击手段及防御 入侵检测 l数据源 l检测方法 l检测原理 l警报后处理 入侵检测系统体系结构设计 物联网基础知识 入侵检测在物联网中的应用 本课程说明 所属领域：网络安全 相关预备知识： l计算机操作系统 l计算机网络 lC语言 认识新事物的方法 Why What how 入侵的安全定义 网络攻击降级、瓦解、拒绝、摧毁 计算机或计算机网络中的信息资源，或 则降级、瓦解、拒绝、摧毁计算机或计 算机网络本身的行为。 入侵 狭义指的是试图摧毁资源完整性、机密 性和可用性的一组行为； 广义的入侵=计算机网络攻击 网络安全现状 1998年Morris蠕虫爆发。它导致了网络中6000台计算 机被感染，几十个重要大学校园网、美国官方研究机 构和商业公司的网络受到影响，甚至被迫中断与 Internet的连接。直接经济损失达500万美元，估计间 接经济损失高达3亿美元。 2001年蠕虫爆发几乎成为Internet的梦魇：2001年1月 Ramen蠕虫爆发，3月Lion蠕虫爆发，4月Adore蠕虫 爆发，5月cheese蠕虫和sadmind蠕虫爆发，9月 Nimda蠕虫爆发，造成的损失难以估计。 网络安全现状（2） 2004年Worm.Sasser震荡波蠕虫在中国 仍然造成了84万台主机感染，累计传播 247万次的严重伤害。继而2006年 MocBot蠕虫成为震荡波之后一次大规模 蠕虫攻击事件 病毒 定义 附着于程序或文件中的一段计算机代码 ，它可在计算机之间传播。它一边传播 一边感染计算机。病毒可损坏软件、硬 件和文件。 病毒特点 以自我复制为明确目的编写的代码。病 毒附着于宿主程序，然后试图在计算机 之间传播。它可能损坏硬件、软件和信 息。 在没有人员操作的情况下，真正的病毒 不会传播。必须通过某个人共享文件和 发送电子邮件来将它一起移动。 木马 木马是指表面上是有用的软件、实际目 的却是危害计算机安全并导致严重破坏 的计算机程序。 最近的特洛伊木马以电子邮件的形式出 现，电子邮件包含的附件声称是 Microsoft 安全更新程序，但实际上是一 些试图禁用防病毒软件和防火墙软件的 病毒。 蠕虫 与病毒相似，蠕虫也是设计用来将自己 从一台计算机复制到另一台计算机，但 是它自动进行。 它控制计算机上可以传输文件或信息的 功能。一旦系统感染蠕虫，蠕虫即可独 自传播。最危险的是，蠕虫可大量复制 。 网络安全现状（3） 中国国家计算机网络应急技术处理协调 中心（CNCERT/CC） 发布安全公告 20032008年度网络安全工作报告显示 网络攻击的频次、种类和复杂性均呈现 出每年大幅增加的趋势，遭入侵和受控 主机数量巨大，潜在威胁和攻击力持续 增长。 网络安全现状（4） 2008年垃圾邮件事件和网页恶意代码事件增长 较快，网页恶意代码同比2007年增长近一倍； 网页篡改事件和网络仿冒事件也有大幅增长， 同比2007年增长率分别是23.7%和38%。 网站被篡改数量较之2007年同比增长 41%， 大陆地区感染木马和僵尸网络的主机数量巨大 ，6月份出现跳跃式增长，黑客活动频繁。 网络安全形势依旧严峻 图 分布式蜜网每日样本捕获趋势图 网络安全现状（4） 病毒 木马 蠕虫 拒绝服务攻击 僵尸 僵尸网络 拒绝服务攻击 Deny of Service(DoS) 拒绝服务攻击即攻击者想办法让目标机 器停止提供服务，是黑客常用的攻击手 段之一。其实对网络带宽进行的消耗性 攻击只是拒绝服务攻击的一小部分，只 要能够对目标造成麻烦，使某些服务被 暂停甚至主机死机，都属于拒绝服务攻 击。 僵尸网络（BotNet） 是互联网上受到黑客集中控制的一群计 算机，往往被黑客用来发起大规模的网 络攻击，如分布式拒绝服务攻击（DDoS ）、海量垃圾邮件等，同时黑客控制的 这些计算机所保存的信息也都可被黑客 随意“取用”。因此，不论是对网络安全运 行还是用户数据安全的保护来说，僵尸 网络都是极具威胁的隐患。 网络安全现状总结 计算机网络的安全现状表明随着Internet的普及，网络 应用的增多，不可避免地漏洞也越来越多。 信息系统软件的安全漏洞仍是各种安全威胁的主要根 源，再加上黑客技术的提高，以及攻击工具化，这些 问题将导致网络安全事件数量整体呈上升趋势。 网络不断向高速化、大型化的方向发展，也给IDS越来 越大的压力。 网络安全状态空前严峻，对网络安全保障的需求史无 前例的迫切。 专门跟踪全世界网络运行情况的美国Keynote系 统公司的公务服务部总管唐-托德对于这次攻击 事件感叹地说：“雅虎是Internet世界最可靠的网 站之一，因此，这次袭击事件给所有依靠 Internet开展商务的人都提了一个醒就连最 可靠的网站也可能遭受袭击和中断服务。依我看 ，这次袭击事件还给人们这么一个警示：不管你 事先准备得多么完善，不管你有多少套应急方案 ，不管你的系统设计得多么完美，都仍有可能因 遭到攻击而瘫痪。” 安全问题 无处不在 安全问题的重要性 美国如何看待信息控制权 网络空间安全国家战略 这就是黑客 计算机网络的威胁 安全事件模式 传统的安全措施 加密 数字签签名 身份鉴别鉴别 ：口令、鉴别鉴别 交换协议换协议 、生物 特征 访问访问 控制：防火墙墙Firewall 安全协议协议 ： IPSec、SSL 网络安全漏洞扫描技术：Scanner 防火墙墙在大多数机构的网络络安全策略中起 到支柱作用 数字签名 （Digital Signature） 以电子形式存在于数据信息之中的，或作为其附件的 或逻辑上与之有联系的数据，可用于辨别数据签署人 的身份，并表明签署人对数据信息中包含的信息的认 可。 作用 1.保障文件的完整性；（不需要骑缝章，骑缝签名， 也 不需要笔迹专家） 2.防止被人(例如接收者)进行伪造； 3.数字签名具有不可抵赖性（不需要笔迹专家来验证 ）。 数字签名的作用 不可抵赖（不需要笔迹专家来验证） 确定消息确实是由发送方签名并发出来的，因为别人假 冒不了发送方的签名。 数据完整性（不需要骑缝章，骑缝签名） 数字签名能确定消息的完整性。因为数字签名的特点是 它代表了文件的特征，文件如果发生改变，数字签名 的值也将发生变化。不同的文件将得到不同的数字签 名。 一次数字签名涉及到一个哈希函数、发送者的公钥 、发送者的私钥。 访问控制 访问是使信息在主体和对象间流动的一种交互方式。 主体是指主动的实体，该实体造成了信息的流动和系统状态的改 变，主体通常包括人、进程和设备。 对象是指包含或接受信息的被动实体。对对象的访问意味着对其 中所包含信息的访问。对象通常包括记录、块、页、段、文件、 目录、目录树和程序以及位、字节、字、字段、处理器、显示器 、键盘、时钟、打印机和网络节点。 访问控制决定了谁能够访问系统，能访问系统的何种资源以及如 何使用这些资源。适当的访问控制能够阻止未经允许的用户有意 或无意地获取数据。访问控制的手段包括用户识别代码、口令、 登录控制、资源授权（例如用户配置文件、资源配置文件和控制 列表）、授权核查、日志和审计。 纵深防御体系 安全设备 扫描器(Scanner) 防火墙(Firewall) 入侵检测系统Intrusion Detection System(IDS) 扫描器 目的 了解到远程主机所存在的安全问题 定义 自动检测远程或本地主机安全脆弱点的程序 作用 扫描器采用模拟攻击的形式对目标可能存在的已知安 全漏洞进行逐项检查。目标可以是工作站、服务器、 交换机、数据库应用等各种对象。然后根据扫描结果 向系统管理员提供周密可靠的安全性分析报告，为提 高网络安全整体水平产生重要依据。 特点：不留痕迹 ping ping 的功能比较简单，只能确认目标主 机的存活状态，而对于其上运行的服务 和开放的端口无法查明。 防火墙 防火墙的位置 防火墙 STOP! 1. 验明正身 2. 检查权限 防火墙的作用 阻绝非法进出 防火墙办不到的事 防火墙 病毒等恶性程序可利用 email 夹带闯关 防火墙无法有效解决自 身的安全问题 不能提供实时的攻击检 测能力，防火墙只是按照 固定的工作模式来防范已 知的威胁 防火墙不能阻止来自内 部的攻击 防火墙的局限 防火墙不能防止通向站点的后门。 防火墙一般不提供对内部的保护。 防火墙无法防范数据驱动型的攻击。 防火墙不能防止用户由Internet上下载被 病毒感染的计算机程序或者将该类程序 附在电子邮件上传输。 确保网络的安全,就要对网络内部进行实时 的检测, 这就需要IDS无时不在的防护！ 入侵检测 入侵检测技术是近20年来出现的一种主动保护 自己以免受黑客供给的新型网络安全技术。 入侵检测被认为是防火墙之后的第二道安全闸 门。 入侵检测在不影响网络性能的情况下对网络进 行监测，从而提供对内部攻击、外部攻击和误 操作的实施保护。 入侵检测（2） 定义 l入侵(Intrusion)是指传统的安全策略所有企 图穿越被保护系统安全边界的（入侵）行为 ，这种行为是网络拥有者所不希望的，是对 网络安全目标的威胁。 l入侵检测（Intrusion Detection）对入 侵行为的检测 入侵检测（3） 入侵检测系统通过在计算机网络或计算机 系统中的若干关键点收集信息并进行分析 ，试图从中发现网络或系统中是否有违反 安全策略的行为和遭到攻击的迹象。通过 入侵检测能使安全管理员发现入侵行为的 存在，以便其采取适当措施来尽可能减少 入侵对系统造成的损害。 IDS置于防火墙与内部网之间 入侵检测系统作用 入侵检测系统技术特点 在安全体系中，IDS是唯一一个通过数据 和行为模式判断是否存在攻击的系统， 克服了其他安全措施的弱点。 其他安全措施的缺点 防火墙就象一道门，它可以阻止一类人 群的进入，但无法阻止同一类人群中的 破坏分子，也不能阻止内部的破坏分子 访问控制系统可以不让低级权限的人做 越权工作，但无法保证高级权限的人做 破坏工作，也无法保证低级权限的人通 过非法行为获得高级权限 IDS的优点 能检测所有企图穿越被保护系统安全边界的入侵行为 能防止通向站点的后门。 提供对内部的保护。 有效防范数据驱动型的攻击。 能防止用户由Internet上下载被病毒感染的计算机程序 或者将该类程序附在电子邮件上传输 保证高级权限的人做破坏工作，也无法保证低级权限 的人通过非法行为获得高级权限 各种网络安全工具的特点 优点局限性 防火墙可简化网络管理，产品成熟无法处理网络内部的攻击