入侵检测技术及其在物联网中的应用Intrusion Detection and Its application in IOT课时安排上课时间：周二 第1012节 讲 课 周：2-12周课 时：32 考核方式：平时成绩50%+期末文章50%授课教师：宁卓 （物联网学院）联系方式：ningznjupt.edu.cn 参考资料参考资料教教 材：材：入侵检测罗守山入侵检测罗守山 北京邮电大学出版社北京邮电大学出版社参考书：参考书：网络安全导论网络安全导论 龚俭龚俭 东南大学出版社东南大学出版社入侵检测入侵检测西安电子科技大学出版社西安电子科技大学出版社网络攻击原理与技术连一峰网络攻击原理与技术连一峰 科学出版社科学出版社黑客攻击与防御黑客攻击与防御Stuart McClure 清华大学清华大学出版社出版社 本课程内容本课程内容网络安全概论网络安全概论网络攻击手段及防御网络攻击手段及防御入侵检测入侵检测l数据源数据源l检测方法检测方法l检测原理检测原理l警报后处理警报后处理入侵检测系统体系结构设计入侵检测系统体系结构设计物联网基础知识物联网基础知识入侵检测在物联网中的应用入侵检测在物联网中的应用本课程说明本课程说明所属领域：网络安全所属领域：网络安全相关预备知识：相关预备知识：l计算机操作系统计算机操作系统l计算机网络计算机网络lC语言语言认识新事物的方法WhyWhathow入侵的安全定义网络攻击降级、瓦解、拒绝、摧毁计算机或计算机网络中的信息资源，或则降级、瓦解、拒绝、摧毁计算机或计算机网络本身的行为。入侵 狭义指的是试图摧毁资源完整性、机密性和可用性的一组行为； 广义的入侵=计算机网络攻击网络安全现状网络安全现状1998年Morris蠕虫爆发。它导致了网络中6000台计算机被感染，几十个重要大学校园网、美国官方研究机构和商业公司的网络受到影响，甚至被迫中断与Internet的连接。直接经济损失达500万美元，估计间接经济损失高达3亿美元。2001年蠕虫爆发几乎成为Internet的梦魇：2001年1月Ramen蠕虫爆发，3月Lion蠕虫爆发，4月Adore蠕虫爆发，5月cheese蠕虫和sadmind蠕虫爆发，9月Nimda蠕虫爆发，造成的损失难以估计。网络安全现状（网络安全现状（2）2004年Worm.Sasser震荡波蠕虫在中国仍然造成了84万台主机感染，累计传播247万次的严重伤害。继而2006年MocBot蠕虫成为震荡波之后一次大规模蠕虫攻击事件病毒病毒定义 附着于程序或文件中的一段计算机代码，它可在计算机之间传播。它一边传播一边感染计算机。病毒可损坏软件、硬件和文件。病毒特点以自我复制为明确目的编写的代码。病毒附着于宿主程序，然后试图在计算机之间传播。它可能损坏硬件、软件和信息。在没有人员操作的情况下，真正的病毒不会传播。必须通过某个人共享文件和发送电子邮件来将它一起移动。木马木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。最近的特洛伊木马以电子邮件的形式出现，电子邮件包含的附件声称是 Microsoft 安全更新程序，但实际上是一些试图禁用防病毒软件和防火墙软件的病毒。蠕虫与病毒相似，蠕虫也是设计用来将自己从一台计算机复制到另一台计算机，但是它自动进行。它控制计算机上可以传输文件或信息的功能。一旦系统感染蠕虫，蠕虫即可独自传播。最危险的是，蠕虫可大量复制。网络安全现状（网络安全现状（3）中国国家计算机网络应急技术处理协调中心（CNCERT/CC） 发布安全公告 20032008年度网络安全工作报告显示网络攻击的频次、种类和复杂性均呈现出每年大幅增加的趋势，遭入侵和受控主机数量巨大，潜在威胁和攻击力持续增长。网络安全现状网络安全现状（4）2008年垃圾邮件事件和网页恶意代码事件增长较快，网页恶意代码同比2007年增长近一倍；网页篡改事件和网络仿冒事件也有大幅增长，同比2007年增长率分别是23.7%和38%。gov.cn网站被篡改数量较之2007年同比增长41%，大陆地区感染木马和僵尸网络的主机数量巨大，6月份出现跳跃式增长，黑客活动频繁。网络安全形势依旧严峻 图图 分布式蜜网每日样本捕获趋势图分布式蜜网每日样本捕获趋势图网络安全现状（4）病毒木马蠕虫拒绝服务攻击僵尸僵尸网络拒绝服务攻击拒绝服务攻击Deny of Service(DoS)拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。僵尸网络（BotNet）是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击（DDoS）、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。网络安全现状总结计算机网络的安全现状表明随着Internet的普及，网络应用的增多，不可避免地漏洞也越来越多。信息系统软件的安全漏洞仍是各种安全威胁的主要根源，再加上黑客技术的提高，以及攻击工具化，这些问题将导致网络安全事件数量整体呈上升趋势。网络不断向高速化、大型化的方向发展，也给IDS越来越大的压力。网络安全状态空前严峻，对网络安全保障的需求史无前例的迫切。专门跟踪全世界网络运行情况的美国专门跟踪全世界网络运行情况的美国Keynote系系统公司的公务服务部总管唐统公司的公务服务部总管唐-托德对于这次攻击托德对于这次攻击事件感叹地说：事件感叹地说：“雅虎是雅虎是Internet世界最可靠的世界最可靠的网站之一，因此，这次袭击事件给所有依靠网站之一，因此，这次袭击事件给所有依靠Internet开展商务的人都提了一个醒开展商务的人都提了一个醒就连最就连最可靠的网站也可能遭受袭击和中断服务。依我看，可靠的网站也可能遭受袭击和中断服务。依我看，这次袭击事件还给人们这么一个警示：不管你事这次袭击事件还给人们这么一个警示：不管你事先准备得多么完善，不管你有多少套应急方案，先准备得多么完善，不管你有多少套应急方案，不管你的系统设计得多么完美，都仍有可能因遭不管你的系统设计得多么完美，都仍有可能因遭到攻击而瘫痪。到攻击而瘫痪。” 安全问题安全问题 无处无处不在不在安全问题的重要性安全问题的重要性美国如何看待信息控制权网络空间安全国家战略这就是黑客计算机网络的威胁计算机网络的威胁安全事件模式传统的安全措施加密加密数字数字签名名身份身份鉴别：口令、：口令、鉴别交交换协议、生物、生物特征特征访问控制：防火控制：防火墙Firewall安全安全协议： IPSec、SSL网络安全漏洞扫描技术：Scanner防火防火墙在大多数机构的网在大多数机构的网络安全策略中起安全策略中起到支柱作用到支柱作用数字签名数字签名（Digital SignatureDigital Signature）以电子形式存在于数据信息之中的，或作为其附件的或逻辑上与之有联系的数据，可用于辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可。作用 1.保障文件的完整性；（不需要骑缝章，骑缝签名，也 不需要笔迹专家） 2.防止被人(例如接收者)进行伪造； 3.数字签名具有不可抵赖性（不需要笔迹专家来验证）。数字签名的作用不可抵赖（不需要笔迹专家来验证） 确定消息确实是由发送方签名并发出来的，因为别人假冒不了发送方的签名。数据完整性（不需要骑缝章，骑缝签名） 数字签名能确定消息的完整性。因为数字签名的特点是它代表了文件的特征，文件如果发生改变，数字签名的值也将发生变化。不同的文件将得到不同的数字签名。 一次数字签名涉及到一个哈希函数、发送者的公钥、发送者的私钥。访问控制访问访问是使信息在主体和对象间流动的一种交互方式。主体主体是指主动的实体，该实体造成了信息的流动和系统状态的改变，主体通常包括人、进程和设备。对象对象是指包含或接受信息的被动实体。对对象的访问意味着对其中所包含信息的访问。对象通常包括记录、块、页、段、文件、目录、目录树和程序以及位、字节、字、字段、处理器、显示器、键盘、时钟、打印机和网络节点。访问控制访问控制决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。访问控制的手段包括用户识别代码、口令、登录控制、资源授权（例如用户配置文件、资源配置文件和控制列表）、授权核查、日志和审计。纵深防御体系安全设备扫描器(Scanner)防火墙(Firewall)入侵检测系统Intrusion Detection System(IDS)扫描器目的 了解到远程主机所存在的安全问题定义 自动检测远程或本地主机安全脆弱点的程序作用 扫描器采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。特点：不留痕迹ping ping 的功能比较简单，只能确认目标主机的存活状态，而对于其上运行的服务和开放的端口无法查明。防火墙防火墙的位置防火墙防火墙防火墙的作用阻绝非法进出阻绝非法进出防火墙办不到的事防火墙防火墙病毒等恶性程序可利用病毒等恶性程序可利用 email email 夹带闯关夹带闯关 防火墙无法有效解决自防火墙无法有效解决自身的安全问题身的安全问题 不能提供实时的攻击检不能提供实时的攻击检测能力，防火墙只是按照测能力，防火墙只是按照固定的工作模式来防范已固定的工作模式来防范已知的威胁知的威胁 防火墙不能阻止来自内防火墙不能阻止来自内部的攻击部的攻击防火墙的局限防火墙不能防止通向站点的后门。防火墙一般不提供对内部的保护。防火墙无法防范数据驱动型的攻击。防火墙不能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输。确保网络的安全,就要对网络内部进行实时的检测, 这就需要IDS无时不在的防护！入侵检测入侵检测入侵检测技术是近入侵检测技术是近2020年来出现的一种主动保护年来出现的一种主动保护自己以免受黑客供给的新型网络安全技术。自己以免受黑客供给的新型网络安全技术。入侵检测被认为是防火墙之后的第二道安全闸入侵检测被认为是防火墙之后的第二道安全闸门。门。入侵检测在不影响网络性能的情况下对网络进入侵检测在不影响网络性能的情况下对网络进行监测，从而提供对内部攻击、外部攻击和误行监测，从而提供对内部攻击、外部攻击和误操作的实施保护。操作的实施保护。入侵检测（2）定义定义l入侵(Intrusion)是指传统传统的的安全策略安全策略所有企图穿越被保护系统安全边界的（入侵）行为，这种行为是网络拥有者所不希望的，是对网络安全目标的威胁。l入侵检测（Intrusion Detection）对入侵行为的检测入侵检测（入侵检测（3）入侵检测系统通过在计算机网络或计算机系统中的若干关键点收集信息并进行分析，试图从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。通过入侵检测能使安全管理员发现入侵行为的存在，以便其采取适当措施来尽可能减少入侵对系统造成的损害。IDSIDS置于防火墙与内部网之间置于防火墙与内部网之间入侵检测系统作用入侵检测系统作用入侵检测系统技术特点在安全体系中，IDS是唯一一个通过数据和行为模式判断是否存在攻击的系统，克服了其他安全措施的弱点。其他安全措施的缺点防火墙就象一道门，它可以阻止一类人群的进入，但无法阻止同一类人群中的破坏分子，也不能阻止内部的破坏分子访问控制系统可以不让低级权限的人做越权工作，但无法保证高级权限的人做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限IDS的优点能检测所有企图穿越被保护系统安全边界的入侵行为能防止通向站点的后门。提供对内部的保护。有效防范数据驱动型的攻击。能防止用户由Internet上下载被病毒感染的计算机程序或者将该类程序附在电子邮件上传输保证高级权限的人做破坏工作，也无法保证低级权限的人通过非法行为获得高级权限各种网络安全工具的特点各种网络安全工具的特点优点优点局限性局限性防火墙防火墙可简化网络管理，产品成熟可简化网络管理，产品成熟无法处理网络内部的攻击无法处理网络内部的攻击IDS实时监控网络安全状态实时监控网络安全状态误警率高，缓慢攻击检测误警率高，缓慢攻击检测率低，无法察觉新的攻击率低，无法察觉新的攻击模式模式Scanner完全主动式安全工具，能够了完全主动式安全工具，能够了解网络现有的安全水平，简单解网络现有的安全水平，简单可操作，帮助系统管理员和安可操作，帮助系统管理员和安全服务人员解决实际问题，全服务人员解决实际问题，并不能真正了解网络上即并不能真正了解网络上即时发生的攻击时发生的攻击VPN保护公网上的内部通信保护公网上的内部通信可视为防火墙上的一个漏可视为防火墙上的一个漏洞洞防病毒防病毒针对文件与邮件，产品成熟针对文件与邮件，产品成熟功能单一功能单一内容总结内容总结安全现状安全现状攻方和守方的总体概况攻方和守方的总体概况l黑客黑客 （一般攻击模式、攻击种类及其基本（一般攻击模式、攻击种类及其基本工作原理）工作原理）l传统的安全策略传统的安全策略l立体防御体系立体防御体系入侵检测系统的概念和作用入侵检测系统的概念和作用