《入侵检测技术及其在物联网中的应用.ppt》由会员分享,可在线阅读,更多相关《入侵检测技术及其在物联网中的应用.ppt(54页珍藏版)》请在三一办公上搜索。
1、入侵检测技术及其在物联网中的应用,Intrusion Detection and Its application in IOT,课时安排,上课时间:周二 第1012节 讲 课 周:2-12周课 时:32 考核方式:平时成绩50%+期末文章50%授课教师:宁卓(物联网学院)联系方式:,参考资料,教 材:入侵检测罗守山 北京邮电大学出版社参考书:网络安全导论 龚俭 东南大学出版社入侵检测西安电子科技大学出版社网络攻击原理与技术连一峰 科学出版社黑客攻击与防御Stuart McClure 清华大学出版社,本课程内容,网络安全概论网络攻击手段及防御入侵检测数据源检测方法检测原理警报后处理入侵检测系统体
2、系结构设计物联网基础知识入侵检测在物联网中的应用,本课程说明,所属领域:网络安全相关预备知识:计算机操作系统计算机网络C语言,认识新事物的方法,WhyWhathow,入侵的安全定义,网络攻击降级、瓦解、拒绝、摧毁计算机或计算机网络中的信息资源,或则降级、瓦解、拒绝、摧毁计算机或计算机网络本身的行为。入侵 狭义指的是试图摧毁资源完整性、机密性和可用性的一组行为;广义的入侵=计算机网络攻击,网络安全现状,1998年Morris蠕虫爆发。它导致了网络中6000台计算机被感染,几十个重要大学校园网、美国官方研究机构和商业公司的网络受到影响,甚至被迫中断与Internet的连接。直接经济损失达500万美
3、元,估计间接经济损失高达3亿美元。2001年蠕虫爆发几乎成为Internet的梦魇:2001年1月Ramen蠕虫爆发,3月Lion蠕虫爆发,4月Adore蠕虫爆发,5月cheese蠕虫和sadmind蠕虫爆发,9月Nimda蠕虫爆发,造成的损失难以估计。,网络安全现状(2),2004年Worm.Sasser震荡波蠕虫在中国仍然造成了84万台主机感染,累计传播247万次的严重伤害。继而2006年MocBot蠕虫成为震荡波之后一次大规模蠕虫攻击事件,病毒,定义 附着于程序或文件中的一段计算机代码,它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。,病毒特点,以自我复制为明
4、确目的编写的代码。病毒附着于宿主程序,然后试图在计算机之间传播。它可能损坏硬件、软件和信息。在没有人员操作的情况下,真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。,木马,木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。最近的特洛伊木马以电子邮件的形式出现,电子邮件包含的附件声称是 Microsoft 安全更新程序,但实际上是一些试图禁用防病毒软件和防火墙软件的病毒。,蠕虫,与病毒相似,蠕虫也是设计用来将自己从一台计算机复制到另一台计算机,但是它自动进行。它控制计算机上可以传输文件或信息的功能。一旦系统感染蠕虫,蠕虫即可独自传播。最危险
5、的是,蠕虫可大量复制。,网络安全现状(3),中国国家计算机网络应急技术处理协调中心(CNCERT/CC)发布安全公告 20032008年度网络安全工作报告显示网络攻击的频次、种类和复杂性均呈现出每年大幅增加的趋势,遭入侵和受控主机数量巨大,潜在威胁和攻击力持续增长。,网络安全现状(4),2008年垃圾邮件事件和网页恶意代码事件增长较快,网页恶意代码同比2007年增长近一倍;网页篡改事件和网络仿冒事件也有大幅增长,同比2007年增长率分别是23.7%和38%。网站被篡改数量较之2007年同比增长41%,大陆地区感染木马和僵尸网络的主机数量巨大,6月份出现跳跃式增长,黑客活动频繁。网络安全形势依旧
6、严峻,图 分布式蜜网每日样本捕获趋势图,网络安全现状(4),病毒木马蠕虫拒绝服务攻击僵尸僵尸网络,拒绝服务攻击Deny of Service(DoS),拒绝服务攻击即攻击者想办法让目标机器停止提供服务,是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。,僵尸网络(BotNet),是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。因此,不论是对网络安全运
7、行还是用户数据安全的保护来说,僵尸网络都是极具威胁的隐患。,网络安全现状总结,计算机网络的安全现状表明随着Internet的普及,网络应用的增多,不可避免地漏洞也越来越多。信息系统软件的安全漏洞仍是各种安全威胁的主要根源,再加上黑客技术的提高,以及攻击工具化,这些问题将导致网络安全事件数量整体呈上升趋势。网络不断向高速化、大型化的方向发展,也给IDS越来越大的压力。网络安全状态空前严峻,对网络安全保障的需求史无前例的迫切。,专门跟踪全世界网络运行情况的美国Keynote系统公司的公务服务部总管唐-托德对于这次攻击事件感叹地说:“雅虎是Internet世界最可靠的网站之一,因此,这次袭击事件给所
8、有依靠Internet开展商务的人都提了一个醒就连最可靠的网站也可能遭受袭击和中断服务。依我看,这次袭击事件还给人们这么一个警示:不管你事先准备得多么完善,不管你有多少套应急方案,不管你的系统设计得多么完美,都仍有可能因遭到攻击而瘫痪。”安全问题 无处不在,安全问题的重要性,美国如何看待信息控制权,网络空间安全国家战略,这就是黑客,计算机网络的威胁,安全事件模式,传统的安全措施,加密数字签名身份鉴别:口令、鉴别交换协议、生物特征访问控制:防火墙Firewall安全协议:IPSec、SSL网络安全漏洞扫描技术:Scanner防火墙在大多数机构的网络安全策略中起到支柱作用,数字签名(Digital
9、 Signature),以电子形式存在于数据信息之中的,或作为其附件的或逻辑上与之有联系的数据,可用于辨别数据签署人的身份,并表明签署人对数据信息中包含的信息的认可。作用 1.保障文件的完整性;(不需要骑缝章,骑缝签名,也 不需要笔迹专家)2.防止被人(例如接收者)进行伪造;3.数字签名具有不可抵赖性(不需要笔迹专家来验证)。,数字签名的作用,不可抵赖(不需要笔迹专家来验证)确定消息确实是由发送方签名并发出来的,因为别人假冒不了发送方的签名。数据完整性(不需要骑缝章,骑缝签名)数字签名能确定消息的完整性。因为数字签名的特点是它代表了文件的特征,文件如果发生改变,数字签名的值也将发生变化。不同的
10、文件将得到不同的数字签名。一次数字签名涉及到一个哈希函数、发送者的公钥、发送者的私钥。,访问控制,访问是使信息在主体和对象间流动的一种交互方式。主体是指主动的实体,该实体造成了信息的流动和系统状态的改变,主体通常包括人、进程和设备。对象是指包含或接受信息的被动实体。对对象的访问意味着对其中所包含信息的访问。对象通常包括记录、块、页、段、文件、目录、目录树和程序以及位、字节、字、字段、处理器、显示器、键盘、时钟、打印机和网络节点。访问控制决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。访问控制的手段包括用户识别代码、口令、
11、登录控制、资源授权(例如用户配置文件、资源配置文件和控制列表)、授权核查、日志和审计。,纵深防御体系,安全设备,扫描器(Scanner)防火墙(Firewall)入侵检测系统Intrusion Detection System(IDS),扫描器,目的 了解到远程主机所存在的安全问题定义 自动检测远程或本地主机安全脆弱点的程序作用 扫描器采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。特点:不留痕迹,ping,ping 的功能比较简单,
12、只能确认目标主机的存活状态,而对于其上运行的服务和开放的端口无法查明。,防火墙,防火墙的位置,防火墙,STOP!,1.验明正身2.检查权限,防火墙的作用,阻绝非法进出,防火墙办不到的事,防火墙,病毒等恶性程序可利用 email 夹带闯关 防火墙无法有效解决自身的安全问题 不能提供实时的攻击检测能力,防火墙只是按照固定的工作模式来防范已知的威胁 防火墙不能阻止来自内部的攻击,防火墙的局限,防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。确保网络的安全,就要
13、对网络内部进行实时的检测,这就需要IDS无时不在的防护!,入侵检测,入侵检测技术是近20年来出现的一种主动保护自己以免受黑客供给的新型网络安全技术。入侵检测被认为是防火墙之后的第二道安全闸门。入侵检测在不影响网络性能的情况下对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实施保护。,入侵检测(2),定义入侵(Intrusion)是指传统的安全策略所有企图穿越被保护系统安全边界的(入侵)行为,这种行为是网络拥有者所不希望的,是对网络安全目标的威胁。入侵检测(Intrusion Detection)对入侵行为的检测,入侵检测(3),入侵检测系统通过在计算机网络或计算机系统中的若干关键点收集信
14、息并进行分析,试图从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。通过入侵检测能使安全管理员发现入侵行为的存在,以便其采取适当措施来尽可能减少入侵对系统造成的损害。,IDS置于防火墙与内部网之间,入侵检测系统作用,入侵检测系统技术特点,在安全体系中,IDS是唯一一个通过数据和行为模式判断是否存在攻击的系统,克服了其他安全措施的弱点。,其他安全措施的缺点,防火墙就象一道门,它可以阻止一类人群的进入,但无法阻止同一类人群中的破坏分子,也不能阻止内部的破坏分子访问控制系统可以不让低级权限的人做越权工作,但无法保证高级权限的人做破坏工作,也无法保证低级权限的人通过非法行为获得高级权限,IDS的优点,能检测所有企图穿越被保护系统安全边界的入侵行为能防止通向站点的后门。提供对内部的保护。有效防范数据驱动型的攻击。能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输保证高级权限的人做破坏工作,也无法保证低级权限的人通过非法行为获得高级权限,各种网络安全工具的特点,内容总结,安全现状攻方和守方的总体概况黑客(一般攻击模式、攻击种类及其基本工作原理)传统的安全策略立体防御体系入侵检测系统的概念和作用,
