入侵检测技术及其在 物联网中的应用Intrusion Detection and Its application in IOT课时安排上课时间：周二 第1012节 讲 课 周：2-12周 课 时：32 考核方式：平时成绩50%+期末文章50% 授课教师：宁卓 （物联网学院） 联系方式：ningznjupt.edu.cn 参考资料教 材： 入侵检测罗守山 北京邮电大学出版社参考书： 网络安全导论 龚俭 东南大学出版社入侵检测西安电子科技大学出版社 网络攻击原理与技术连一峰 科学出版社 黑客攻击与防御Stuart McClure 清华大学 出版社 本课程内容网络安全概论网络攻击手段及防御入侵检测l数据源l检测方法l检测原理l警报后处理入侵检测系统体系结构设计物联网基础知识入侵检测在物联网中的应用本课程说明所属领域：网络安全相关预备知识：l计算机操作系统l计算机网络lC语言认识新事物的方法WhyWhathow入侵的安全定义网络攻击降级、瓦解、拒绝、摧毁 计算机或计算机网络中的信息资源，或 则降级、瓦解、拒绝、摧毁计算机或计 算机网络本身的行为。入侵狭义指的是试图摧毁资源完整性、机密 性和可用性的一组行为；广义的入侵=计算机网络攻击网络安全现状1998年Morris蠕虫爆发。它导致了网络中6000台计算 机被感染，几十个重要大学校园网、美国官方研究机 构和商业公司的网络受到影响，甚至被迫中断与 Internet的连接。直接经济损失达500万美元，估计间 接经济损失高达3亿美元。2001年蠕虫爆发几乎成为Internet的梦魇：2001年1月 Ramen蠕虫爆发，3月Lion蠕虫爆发，4月Adore蠕虫 爆发，5月cheese蠕虫和sadmind蠕虫爆发，9月Nimda蠕虫爆发，造成的损失难以估计。网络安全现状（2）2004年Worm.Sasser震荡波蠕虫在中国 仍然造成了84万台主机感染，累计传播 247万次的严重伤害。继而2006年 MocBot蠕虫成为震荡波之后一次大规模 蠕虫攻击事件病毒定义附着于程序或文件中的一段计算机代码 ，它可在计算机之间传播。它一边传播 一边感染计算机。病毒可损坏软件、硬 件和文件。病毒特点以自我复制为明确目的编写的代码。病 毒附着于宿主程序，然后试图在计算机 之间传播。它可能损坏硬件、软件和信 息。在没有人员操作的情况下，真正的病毒 不会传播。必须通过某个人共享文件和 发送电子邮件来将它一起移动。木马木马是指表面上是有用的软件、实际目 的却是危害计算机安全并导致严重破坏 的计算机程序。最近的特洛伊木马以电子邮件的形式出 现，电子邮件包含的附件声称是 Microsoft 安全更新程序，但实际上是一 些试图禁用防病毒软件和防火墙软件的 病毒。蠕虫与病毒相似，蠕虫也是设计用来将自己 从一台计算机复制到另一台计算机，但 是它自动进行。它控制计算机上可以传输文件或信息的 功能。一旦系统感染蠕虫，蠕虫即可独 自传播。最危险的是，蠕虫可大量复制 。网络安全现状（3）中国国家计算机网络应急技术处理协调 中心（CNCERT/CC） 发布安全公告20032008年度网络安全工作报告显示 网络攻击的频次、种类和复杂性均呈现 出每年大幅增加的趋势，遭入侵和受控 主机数量巨大，潜在威胁和攻击力持续 增长。网络安全现状（4）2008年垃圾邮件事件和网页恶意代码事件增长 较快，网页恶意代码同比2007年增长近一倍；网页篡改事件和网络仿冒事件也有大幅增长， 同比2007年增长率分别是23.7%和38%。 gov.cn网站被篡改数量较之2007年同比增长 41%，大陆地区感染木马和僵尸网络的主机数量巨大 ，6月份出现跳跃式增长，黑客活动频繁。 网络安全形势依旧严峻图 分布式蜜网每日样本捕获趋势图网络安全现状（4）病毒木马蠕虫拒绝服务攻击僵尸僵尸网络拒绝服务攻击 Deny of Service(DoS)拒绝服务攻击即攻击者想办法让目标机 器停止提供服务，是黑客常用的攻击手 段之一。其实对网络带宽进行的消耗性 攻击只是拒绝服务攻击的一小部分，只 要能够对目标造成麻烦，使某些服务被 暂停甚至主机死机，都属于拒绝服务攻 击。僵尸网络（BotNet）是互联网上受到黑客集中控制的一群计 算机，往往被黑客用来发起大规模的网 络攻击，如分布式拒绝服务攻击（DDoS ）、海量垃圾邮件等，同时黑客控制的 这些计算机所保存的信息也都可被黑客 随意“取用”。因此，不论是对网络安全运 行还是用户数据安全的保护来说，僵尸 网络都是极具威胁的隐患。网络安全现状总结计算机网络的安全现状表明随着Internet的普及，网络 应用的增多，不可避免地漏洞也越来越多。信息系统软件的安全漏洞仍是各种安全威胁的主要根 源，再加上黑客技术的提高，以及攻击工具化，这些 问题将导致网络安全事件数量整体呈上升趋势。网络不断向高速化、大型化的方向发展，也给IDS越来 越大的压力。网络安全状态空前严峻，对网络安全保障的需求史无 前例的迫切。专门跟踪全世界网络运行情况的美国Keynote系 统公司的公务服务部总管唐-托德对于这次攻击 事件感叹地说：“雅虎是Internet世界最可靠的网 站之一，因此，这次袭击事件给所有依靠 Internet开展商务的人都提了一个醒就连最 可靠的网站也可能遭受袭击和中断服务。依我看 ，这次袭击事件还给人们这么一个警示：不管你 事先准备得多么完善，不管你有多少套应急方案 ，不管你的系统设计得多么完美，都仍有可能因 遭到攻击而瘫痪。”安全问题 无处不在安全问题的重要性美国如何看待信息控制权网络空间安全国家战略这就是黑客计算机网络的威胁安全事件模式传统的安全措施加密数字签签名身份鉴别鉴别 ：口令、鉴别鉴别 交换协议换协议 、生物 特征访问访问 控制：防火墙墙Firewall安全协议协议 ： IPSec、SSL网络安全漏洞扫描技术：Scanner 防火墙墙在大多数机构的网络络安全策略中起 到支柱作用数字签名 （Digital Signature）以电子形式存在于数据信息之中的，或作为其附件的 或逻辑上与之有联系的数据，可用于辨别数据签署人 的身份，并表明签署人对数据信息中包含的信息的认 可。作用1.保障文件的完整性；（不需要骑缝章，骑缝签名， 也 不需要笔迹专家）2.防止被人(例如接收者)进行伪造；3.数字签名具有不可抵赖性（不需要笔迹专家来验证 ）。数字签名的作用不可抵赖（不需要笔迹专家来验证）确定消息确实是由发送方签名并发出来的，因为别人假 冒不了发送方的签名。数据完整性（不需要骑缝章，骑缝签名）数字签名能确定消息的完整性。因为数字签名的特点是 它代表了文件的特征，文件如果发生改变，数字签名 的值也将发生变化。不同的文件将得到不同的数字签 名。 一次数字签名涉及到一个哈希函数、发送者的公钥 、发送者的私钥。访问控制访问是使信息在主体和对象间流动的一种交互方式。主体是指主动的实体，该实体造成了信息的流动和系统状态的改 变，主体通常包括人、进程和设备。对象是指包含或接受信息的被动实体。对对象的访问意味着对其 中所包含信息的访问。对象通常包括记录、块、页、段、文件、 目录、目录树和程序以及位、字节、字、字段、处理器、显示器 、键盘、时钟、打印机和网络节点。访问控制决定了谁能够访问系统，能访问系统的何种资源以及如 何使用这些资源。适当的访问控制能够阻止未经允许的用户有意 或无意地获取数据。访问控制的手段包括用户识别代码、口令、 登录控制、资源授权（例如用户配置文件、资源配置文件和控制 列表）、授权核查、日志和审计。纵深防御体系安全设备扫描器(Scanner)防火墙(Firewall)入侵检测系统Intrusion Detection System(IDS)扫描器目的了解到远程主机所存在的安全问题定义自动检测远程或本地主机安全脆弱点的程序作用扫描器采用模拟攻击的形式对目标可能存在的已知安 全漏洞进行逐项检查。目标可以是工作站、服务器、 交换机、数据库应用等各种对象。然后根据扫描结果 向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。 特点：不留痕迹ping ping 的功能比较简单，只能确认目标主 机的存活状态，而对于其上运行的服务 和开放的端口无法查明。防火墙防火墙的位置防火墙STOP!1. 验明正身 2. 检查权限防火墙的作用阻绝非法进出防火墙办不到的事防火墙病毒等恶性程序可利用 email 夹带闯关防火墙无法有效解决自 身的安全问题不能提供实时的攻击检 测能力，防火墙只是按照 固定的工作模式来防范已 知的威胁防火墙不能阻止来自内 部的攻击防火墙的局限防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙不能防止用户由Internet上下载被 病毒感染的计算机程序或者将该类程序 附在电子邮件上传输。 确保网络的安全,就要对网络内部进行实时 的检测, 这就需要IDS无时不在的防护！入侵检测入侵检测技术是近20年来出现的一种主动保护 自己以免受黑客供给的新型网络安全技术。入侵检测被认为是防火墙之后的第二道安全闸 门。入侵检测在不影响网络性能的情况下对网络进 行监测，从而提供对内部攻击、外部攻击和误 操作的实施保护。入侵检测（2）定义l入侵(Intrusion)是指传统的安全策略所有企 图穿越被保护系统安全边界的（入侵）行为 ，这种行为是网络拥有者所不希望的，是对 网络安全目标的威胁。l入侵检测（Intrusion Detection）对入 侵行为的检测入侵检测（3）入侵检测系统通过在计算机网络或计算机 系统中的若干关键点收集信息并进行分析 ，试图从中发现网络或系统中是否有违反 安全策略的行为和遭到攻击的迹象。通过 入侵检测能使安全管理员发现入侵行为的 存在，以便其采取适当措施来尽可能减少 入侵对系统造成的损害。IDS置于防火墙与内部网之间入侵检测系统作用入侵检测系统技术特点在安全体系中，IDS是唯一一个通过数据 和行为模式判断是否存在攻击的系统， 克服了其他安全措施的弱点。其他安全措施的缺点防火墙就象一道门，它可以阻止一类人 群的进入，但无法阻止同一类人群中的 破坏分子，也不能阻止内部的破坏分子访问控制系统可以不让低级权限的人做 越权工作，但无法保证高级权限的人做 破坏工作，也无法保证低级权限的人通 过非法行为获得高级权限IDS的优点能检测所有企图穿越被保护系统安全边界的入侵行为能防止通向站点的后门。提供对内部的保护。有效防范数据驱动型的攻击。能防止用户由Internet上下载被病毒感染的计算机程序 或者将该类程序附在电子邮件上传输保证高级权限的人做破坏工作，也无法保证低级权限 的人通过非法行为获得高级权限各种网络安全工具的特点优点局限性防火墙可简化网络管理，产品成熟无法处理网络内部的攻击IDS实时监控网络安全状态误警率高，缓慢攻击检测 率低，无法察觉新的攻击 模式Scanner完全主动式安全工具，能够了 解网络现有的安全水平，简单 可操作，帮助系统管理员和安 全服务人员解决实际问题，并不能真正了解网络上即 时发生的攻击VPN保护公网上的内部通信可视为防火墙上的一个漏 洞防病毒针对文件与邮件，产品成熟功能单一内容总结安全现状攻方和守方的总体概况l黑客 （一般攻击模式、攻击种类及其基本 工作原理）l传统的安全策略l立体防御体系入侵检测系统的概念和作用